解説
WAF(Web Application Firewall)とは、一言で表すと Web アプリケーションのセキュリティホールを狙った攻撃から守ってくれるセキュリティーの一つです。
もう少し詳しく言うと、WAF は OSI model の Application layer に対して動作するセキュリティーで、シグネチャー(攻撃を識別するルール)に基づいて HTTP(Hypertext Transfer Protocol) トラフィックをフィルタリング、監視、ブロックします。
因みに、WAF は「ワフ」と読みます。WTF(What the fuck)と読み間違えないように注意しましょう。
WAF は基本的に下記のような攻撃に対応しています。
- DDoS(Distributed Denial of Service)attack
- SQL Injection
- XSS(Cross Site Scripting)
- Brute-force attack
- Buffer Overrun or Buffer Overflow
- Directory Traversal
- Zero-Day attack
- File inclusion
また、WAF には下記のような種類があります。
ソフトウェア型(ホスト型): Web サーバーにソフトウェアをインストールする。アプライアンス型(ゲートウェイ型): Web サーバーの通信経路に専用機器を設置する。クラウド型: インターネットを経由してサービスを利用する。
近年では、ローコストで予算の見通しが立てやすく導入が簡単なクラウド型の利用が増えています。
以上です。
