WAF (ang. Web Application Firewall) to zapora sieciowa wyspecjalizowana w ochronie aplikacji webowych.
Działa na poziomie warstwy aplikacji (HTTP/HTTPS, warstwa 7 modelu OSI) i analizuje ruch między klientem (np. przeglądarką) a serwerem WWW.
Chroni przed atakami typowymi dla aplikacji webowych, takimi jak:
- SQL Injection
- Cross-Site Scripting (XSS)
- File Inclusion
- Command Injection
- Session Hijacking
WAF może działać w trybie:
- Inline (reverse proxy) – cały ruch przechodzi przez WAF i jest filtrowany w czasie rzeczywistym.
- Out-of-band / monitoring – WAF analizuje ruch, ale nie blokuje go bezpośrednio (np. tylko alertuje)
WAF oprócz funkcji bezpieczeństwa może pełnić inne funkcje takie jak:
- load balancing
- kontrola dostępu (np. geolokalizacja, blokowanie botów)
- TLS offloading
Różnica względem klasycznego firewalla -> Klasyczny firewall (stateful/stateless) działa głównie na warstwach sieciowych i transportowych (adresy IP, porty, protokoły). WAF działa na poziomie treści HTTP/HTTPS i rozumie logikę aplikacji – potrafi np. zablokować próbę wstrzyknięcia zapytania SQL w polu formularza.
Komercyjne WAF:
- F5 BIG-IP Advanced WAF
- Imperva WAF
- Akamai Kona Site Defender
- Fortinet FortiWeb
Open Source WAF:
- ModSecurity
- Naxsi
- OpenWAF