WAF(Web Application Firewall)とは、WebアプリーケーションをXSSやSQLインジェクションなどのセキュリティ攻撃から守るもの。
ネットワーク・ファイアウォールはネットワークの境で防御する。
一方、WAFはWebブラウザなどのクライアントとWebサーバの間にあってサーバを守る。
IPS(Intrusion Protection System: 侵入防止システム)とも違う。
要はWebアプリーケーション専用のファイアウォールだ。
WAFは以下の特長を備えていなければならないと云う。
- HTTP通信の完全な解析が可能
- ポジティブ・セキュリティ・モデルの提供
- アプリーケーション・レイヤに対応したルールを持つ
- セッション・ベースの攻撃からの保護が可能
- 細かなポリシー管理が可能
ポジティブ・セキュリティ・モデルというのは、正当なトラフィックのモデルのこと。ホワイト・リスティングとよばれる処理により正当なトラフィックかを判断する。ホワイト・リスティングの反対はブラック・リスティング。
Postfixのホワイト・リストによるアドレス検証なんかと同じ考えだと思えば良いのか。
じゃあ具体的に、WAFにはどんな製品があるのかというと…。
色々ある様だが唯一興味を持てたのがmod_security 。Apacheのモジュールらしい。
なんとなくインストールから設定まで想像がつく。
Parosとか使用して作成したWebアプリーケーションのテストをしていた頃が懐かしい。
Webアプリーケーション側では当然セキュリティに注意を払うが、もはやそれだけでは済まないのだろう。
0 件のコメント:
コメントを投稿