Web Application Firewall(WAF)는 웹 서버가 정상적인 트래픽만 수신하도록 하여 다양한 공격 유형으로부터 웹 애플리케이션을 보호하는 네트워크 보안 시스템입니다.
방화벽은 이동하는(들어오고 나가는) 네트워크 트래픽을 모니터링하고 제어하는 시스템입니다. 네트워크와 개방형 인터넷 사이의 장벽 역할을 합니다.
웹 응용 프로그램 방화벽은 웹 응용 프로그램을 오가는 트래픽에 중점을 둔 특정 유형의 방화벽입니다. 표준 방화벽은 첫 번째 보안 수준 역할을 하지만 오늘날의 웹사이트와 웹 서비스에는 더 많은 보안이 필요합니다. 여기에서 WAF는 특수 기능을 제공하고 특히 애플리케이션 자체를 겨냥한 공격을 저지합니다.
WAF 솔루션을 찾고 계십니까? 씨디네트웍스를 확인하세요 Application Shield.
Web Application Firewall(WAF) 작동 방식
WAF는 웹 애플리케이션과 인터넷 간의 의심스러운 HTTP/s 트래픽을 필터링, 모니터링 및 차단하는 방식으로 작동합니다.
한동안 기존 방화벽을 구현하는 것이 기본적인 사이버 보안 관행이었습니다. 이러한 기능은 네트워크를 기반으로 배포되며 OSI(Open Systems Interconnection) 모델의 3~4 계층에서 작동합니다. IP 및 TCP/UDP 프로토콜을 통한 패킷 검사와 IP 주소 및 포토로콜 유형 및 포트 번호를 기준으로 트래픽을 필터링하는 역할로 제한됩니다.
반면에 WAF는 OSI 모델의 레이어 7(L7)에서 작동하며 웹 애플리케이션 프로토콜을 이해할 수 있습니다. 이는 웹 애플리케이션을 오가는 트래픽을 분석하고 기존 네트워크 방화벽을 통해 탐지되지 않고 포지티브 또는 네거티브 보안 모델의 일부로 사용될 수 있는 공격을 방지하는 데 필수적입니다.
WAF를 배포할 때 WAF는 애플리케이션과 인터넷 사이에서 리버스 프록시 보호막 역할을 합니다. 프록시 서버는 클라이언트 시스템을 보호하는 중개자입니다. 반면 리버스 프록시는 클라이언트가 서버에 도달하기 전에 프록시를 통과하도록 합니다. 결정적으로 WAF는 앞에 배치된 여러 애플리케이션을 보호하는 데 사용할 수 있습니다.
WAF는 정책이라는 일련의 규칙을 사용하여 OWASP Top 10을 비롯한 애플리케이션 취약점을 악용하지 못하도록 악의적인 트래픽을 걸러냅니다. 이러한 보안 정책은 종종 HTTP 헤더, HTTP 요청 본문 및 HTTP 응답과 같은 스캔포인트를 포함하여 알려진 웹 공격 서명을 기반으로 합니다. 몸. URL 또는 파일 확장자의 패턴을 감지하고, URI, 헤더 및 본문 길이를 제한하고, 서명 감지 및 동작을 기반으로 SQL/XSS 주입, 제로 데이 익스플로잇 및 봇을 감지하도록 규칙 세트를 지정할 수도 있습니다.
WAF 사용의 주요 이점은 이러한 정책을 쉽고 빠르게 수정하고 구현할 수 있다는 것입니다. 일부 WAF 공급자는 다음 기능도 제공합니다. 로드 밸런싱, SSL 오프로딩 및 머신 러닝을 사용하여 이러한 정책 수정을 지능적으로 자동화하여 클라우드 보안을 최적화합니다. 이를 통해 다양한 공격 벡터와 DDoS(Distributed Denial of Service) 보호에 쉽게 적응하고 대응할 수 있습니다.
WAF 단독으로 모든 공격을 방어할 수 없지만, 다음 일반적인 공격을 방어하기 위해 웹 애플리케이션 보안을 강화할 수 있습니다:
교차 사이트 위조
이는 웹 애플리케이션의 인증된 사용자가 앱의 보안을 손상시키는 조치를 취하도록 강제하는 공격입니다. 일반적으로 공격자는 이메일을 통해 링크를 보내 사용자가 링크를 클릭하도록 속입니다. 사용자 인증 및 로그인이 완료되면 사용자는 자금 이체 또는 프로필 세부 정보 및 이메일 주소 변경과 같은 요청을 강제로 수행할 수 있습니다. 관리자 계정을 겨냥한 공격이 성공하면 전체 웹 애플리케이션이 손상될 수 있습니다.
교차 사이트 스크립팅
교차 사이트 스크립팅 공격은 공격자가 클라이언트의 브라우저에 맬웨어를 삽입하여 세션 쿠키를 포함한 데이터를 훔치거나 콘텐츠를 편집하여 잘못된 정보를 표시하는 공격입니다. 이것은 일반적으로 JavaScript, PHP 및 .NET의 스크립트를 포함하는 동적 웹 사이트에 악성 코드가 삽입될 때 발생합니다. 사용자가 웹 페이지를 로드하면 공격자의 악성 스크립트가 실행됩니다. 예를 들어 사용자의 쿠키는 가장을 위해 사용할 수 있는 공격자에게 전송될 수 있습니다.
SQL 인젝션
SQL 인젝션 공격은 공격자가 연락처 정보와 같은 사용자 입력 데이터 필드가 있는 웹사이트 및 애플리케이션에 악의적인 SQL 명령을 주입하려고 시도하는 공격입니다. 주입된 코드는 데이터베이스의 무단 액세스 권한을 가지며 데이터베이스에 포함된 개인 정보를 빼내거나 수정하는 명령을 실행합니다.
DDoS 보호 및 고성능 보안 솔루션이 필요하십니까? 씨디네트웍스 Flood Shield DDoS 공격 완화에 완벽합니다.
다른 유형의 WAF는 무엇입니까?
WAF는 위협 인텔리전스를 활용하고 승인된 트래픽을 허용하면서 사전 설정된 특정 기준을 충족하는 공격을 차단하여 웹 애플리케이션을 보호합니다. 공격자가 중요한 데이터를 훔치거나 애플리케이션 자체를 손상시키기 위해 애플리케이션에 대한 무단 액세스를 시도하는 교차 사이트 위조, 교차 사이트 스크립팅, SQL 주입 및 파일 포함으로부터 보호하는 데 도움이 됩니다.
WAF는 실행 방식에 따라 3가지 형태로 구분합니다.
네트워크 기반 WAF
이것은 일반적으로 하드웨어 기반 WAF이며 로컬에 설치됩니다. 즉, 서버 가까이에 배치되어 액세스하기가 더 쉽습니다. 하드웨어 기반 배포의 경우와 마찬가지로 대기 시간을 최소화하는 데 도움이 되지만 저장 및 유지 관리 비용이 많이 들 수 있습니다.
호스트 기반 WAF
호스트 기반 WAF는 애플리케이션 소프트웨어에 완전히 통합되고 애플리케이션 서버 내부 모듈과 같이 구현됩니다. 호스트 기반 WAF는 네트워크 기반 WAF보다 비용이 저렴하고 사용자 지정 기능이 많아집니다. 단점으로는 로컬 서버 리소스를 고갈시키고 애플리케이션 성능에 영향을 미칠 수 있으며, 구현 및 유지관리가 복잡할 수 있습니다.
클라우드 WAF
클라우드 기반 WAF는 더 저렴하고 관리하는 데 더 적은 온프레미스 리소스가 필요합니다. 구현하기가 더 쉽고 종종 벤더가 SaaS로 제공합니다. 웹 트래픽을 리디렉션하기 위해 DNS를 변경하는 것처럼 간단하게 턴키 설치를 제공합니다. 클라우드 서비스 모델 덕분에 선결제 비용이 최소화되고 지속적으로 업데이트되어 위협 환경의 최신 공격에 대처할 수 있습니다. 씨디네트웍스는 글로벌 데이터 센터 및 CDN(Content Delivery Network)과 통합된 클라우드 기반 WAF를 제공하고 웹 애플리케이션 계층 공격을 실시간으로 방지합니다.
