WAF - тип брандмауэра, применяемый непосредственно к веб-приложениям. Он анализирует входящий и исходящий трафики (HTTP и HTTPS) веб-приложения, обнаруживая и блокируя вредоносный код. Также
WAF может быть и виртуальным устройством, которое не позволяет использовать уязвимости в веб-приложениях внешними угрозами. Такие уязвимости могут возникать из-за того, что само приложение устаревшее либо недостаточно закодировано в соответствии с проектом.
WAF способен устранить такие недостатки кода при помощи специальных политик межсетевых экранов.
Чтобы обнаружить ранее неизвестные уязвимости обычно проводят тестирование на проникновение или используют
сканер уязвимостей. Обнаруженные уязвимости устраняют, внося необходимые исправления в код приложения. Но, как правило, необходимо более оперативное реагирование. В таком случае может потребоваться применение настраиваемой политики для уникальной уязвимости веб-приложения для обеспечения немедленного исправления (виртуальное исправление).
При всех своих преимуществах,
WAF не является полноценным решением проблем безопасности. В общем случае рекомендовано использовать их в комплексе с другими решениями, такими как сетевые брандмауэры и системы предотвращения вторжений, для обеспечения целостной стратегии защиты.