24 | 04 | 2019

Cortafuegos de aplicaciones web (WAF): escudo para aplicaciones

¿Cómo funciona - Web Application Firewall (WAF)?

WAF o Firewall de aplicaciones web ayuda a proteger las aplicaciones web. Filtrando y monitoreando el tráfico HTTP entre una aplicación web e Internet. Por lo general, protege las aplicaciones web de ataques, como la falsificación entre sitios, la creación de scripts entre sitios (XSS), la inclusión de archivos y la inyección SQL. Un WAF es un protocolo en la defensa de la capa de aplicación 7 (en el modelo OSI). No está diseñado para defenderse de todo tipo de ataques. Este método de mitigación de ataques suele ser parte de un conjunto de herramientas. Juntos crean una defensa holística contra una variedad de vectores de ataque.

Al implementar un WAF frente a una aplicación web, se coloca un escudo entre la aplicación web e Internet. Un servidor proxy protegerá la identidad de una máquina cliente mediante el uso de un intermediario. Un WAF es un proxy inverso que protege al servidor de la exposición al hacer que los clientes pasen por el WAF antes de llegar al servidor.

Un WAF opera a través de un conjunto de reglas, a menudo llamadas políticas. Estas políticas tienen como objetivo proteger contra vulnerabilidades en la aplicación al filtrar el tráfico malicioso. El valor de un WAF proviene en parte de la velocidad y la facilidad con que se puede implementar la modificación de la política, lo que permite una respuesta más rápida a diferentes vectores de ataque. Durante un ataque DDoS, la limitación de velocidad puede aplicarse rápidamente modificando las políticas WAF.

Diferencias entre la lista negra y la lista blanca WAF

Un WAF que opera basado en una lista negra (modelo de seguridad negativa) protege contra ataques conocidos. Piense en un WAF de lista negra como un portero de club. Se le indica que niegue la entrada a los huéspedes que no cumplan con el código de vestimenta. Por el contrario, un WAF basado en una lista blanca (modelo de seguridad positiva) solo admite tráfico preaprobado. Es como el portero de una fiesta exclusiva; solo aceptan personas en la lista. Tanto las listas negras como las listas blancas tienen sus ventajas e inconvenientes. Posteriormente, es por eso que muchos WAF ofrecen un modelo de seguridad híbrido, que implementa ambos.

En detalle: WAF basados ​​en la red, en el host y en la nube

WAF se puede implementar como se muestra a continuación. Todas las opciones tienen ventajas y desventajas.
  • WAF basado en red generalmente está basado en hardware. Como WAF se instala localmente, minimizan la latencia. Los WAF basados ​​en red son la opción más costosa y también requieren el almacenamiento y mantenimiento de equipos físicos.
  • WAF basado en host puede estar completamente integrado en el software de una aplicación. Esta solución es menos costosa que un WAF basado en red y ofrece más personalización. La desventaja de un WAF basado en host es el consumo de recursos del servidor local. Complejidad de implementación y costos de mantenimiento. Por lo general, estos componentes requieren tiempo de ingeniería y pueden ser costosos.
  •  WAFs basados ​​en la nube ofrecen una opción asequible y muy fácil de implementar. Por lo general, ofrecen una instalación llave en mano que es tan simple como un cambio en el DNS para redirigir el tráfico. Los WAF basados ​​en la nube también tienen un costo inicial mínimo. Los usuarios pagan mensual o anualmente por la seguridad como servicio. Los WAF basados ​​en la nube también pueden ofrecer una solución que se actualiza constantemente. El inconveniente de un WAF basado en la nube es que los usuarios ceden la responsabilidad a un tercero. Por lo tanto, algunas características del WAF pueden ser una caja negra para ellos.

Introducción a los firewalls y beneficios de aplicaciones web

Video proporcionado por CompTIA Security + SY0-401

Consulte también nuestra sección sobre Ciberseguridad y cómo puede ayudar a su empresa a mantenerse segura en Digital World.

 

¿Listo para empezar?

Contáctenos para obtener más información e implementar y configurar WAF para proteger sus activos digitales. Podemos proporcionar consejos y recomendaciones para entornos locales y en la nube.
Contáctenos >>>

 

Por favor, eche un vistazo a nuestros estudios de casos y otras publicaciones para obtener más información:

Autenticación multifactor: una capa de seguridad para mantenerlo a salvo.

Beneficios de los firewalls de próxima generación para organizaciones

F5 WAF en AWS; soluciones innovadoras para proteger las aplicaciones web

Tendencias de computación en la nube, ciberseguridad y redes para 2021 y más allá

Ciberseguridad inteligente

ARTÍCULOS RELACIONADOS

24 | 02 | 2024

¿Por qué la gente trabaja de maneras que saben que son ineficientes y derrochadoras?

Embárquese en el viaje de Quantum5 Alliance Group en la temporada 1, mientras descubre los beneficios transformadores de la IA para revolucionar sus operaciones.
05 | 02 | 2024

Asegure su trabajo: ¡aprenda cómo aprovechar la inteligencia artificial ahora!

Descubra el poder transformador de la Inteligencia Artificial en el procesamiento de documentos. Explora aplicaciones del mundo real y desbloquea nuevos niveles de eficiencia para preparar tu carrera para el futuro
24 | 01 | 2024

Cómo generar $2,000/mes
con análisis y comprensión de documentos mediante IA

Aprenda cómo ganar $2,000 por mes aprovechando la IA para la revisión de documentos. Optimice su proceso, ahorre tiempo y maximice sus ingresos con soluciones eficientes impulsadas por IA.
20 | 01 | 2024

En su opinión, ¿cómo se desempeñó Tauron en el tercer trimestre de 3? Según el informe, ¿existe algún riesgo al que se enfrenta la empresa?

Descubra una nueva era en el escrutinio financiero a medida que la IA ocupa un lugar central. Explore el desempeño de Tauron en el tercer trimestre de 3 a través de un conjunto conciso de 2023 preguntas, que brindan información rápida, rentable y precisa. El futuro del análisis financiero es ahora.