Webアプリケーションファイアウォール(WAF)とは何ですか?効果的なファイアウォールには何を探す必要がありますか? IPSだけでなくWAFを導入する理由は何ですか?
Webアプリケーションファイアウォール(WAF)は、HTTP会話に一連のルールを適用するアプライアンス、サーバープラグイン、またはフィルターです。ルールを利用することで、クロスサイトスクリプティング(XSS)やSQLインジェクションなどの多くの攻撃を検出してブロックできます。
より詳細な説明については、 OWASP Webサイト および Wikipedia を参照してください。
Webアプリケーションファイアウォールの選択に関しては、 Wikipedia に適切なリストがあります。個人的には、Apacheを使用する場合は ModSecurity をお勧めします。
WAFを個人的に選択する場合、私が考慮する2つの最も重要なことは、デフォルトのルールセットがどれほど効果的であるか(つまり、箱から出してどれほど効果的か)と、特定のアプリケーションに合わせてルールセットをカスタマイズできるかどうかです。ほとんどの場合、デフォルトのルールセットアプリケーションを使用すると、アプリケーションが機能しなくなり、ルールセットを変更する必要があります。明らかに考慮しなければならないことは、そのロギングがどれほど効果的であるか、それがどのような速度で処理できるか、それがサポートできるプラットフォーム、そしてどれほどよく維持されているかです。他のファイアウォールと同様に、新しい攻撃に対して最高のパフォーマンスを発揮するには、ファイアウォールを最新の状態に保つ必要があります。
Snort などの一部のIPSシステムには、Webアプリケーション攻撃を監視できるルールセットがあります。私の経験では、IPSはネットワークレベルでの攻撃をキャッチするのに優れており、適切なルールセットを備えたWAFがアプリケーションレイヤーでのものをキャッチするのに最適です。また、WAFを使用することで、IPSを使用する場合よりも、応答をより適切に選択できます。代わりに、ブロックするか許可するかを選択する必要がなく、アクションを引き継ぐことができます。