Définition d’un pare-feu applicatif web (WAF)
Un pare-feu applicatif web (WAF) offre une protection aux applications web en analysant le trafic entre les clients et les serveurs web au niveau de l’application. Il peut surveiller, filtrer et bloquer le trafic HTTP et est installé directement sur le serveur ou en tant que pare-feu autonome.
Lorsqu’il est question du pare-feu applicatif web (WAF), il s’agit d’un pare-feu de niveau application spécialement conçu pour les applications web. Il constitue une forme particulière de pare-feu de niveau applicatif (ALF). Le WAF protège les applications web en analysant, filtrant et bloquant les données HTTP (protocole de transfert hypertexte). Contrairement à un pare-feu traditionnel qui analyse les données au niveau du réseau et des protocoles, le WAF effectue une analyse directement au niveau de l’application.
Souvent, les pare-feux traditionnels et les WAF sont utilisés conjointement pour analyser la communication et les données en plusieurs étapes successives. Lors de l’analyse, le pare-feu d’application prend en compte à la fois les données envoyées par le serveur web et les données reçues. Le WAF peut être implémenté sous forme de logiciel ou de matériel, en tant qu’appliance autonome ou composant supplémentaire. Les services basés sur le cloud sont également possibles. Les données pouvant être inspectées incluent non seulement les paquets HTML et HTTPS, mais aussi les données XML-RPC et SOAP.
Selon la configuration et le type de pare-feu, il peut fonctionner avec des listes noires ou des listes blanches. Les listes définissent si seuls les flux de trafic prédéfinis sont autorisés et que le reste est bloqué, ou si tout sauf les modèles d’attaque reconnus est autorisé à passer le pare-feu. De nombreux pare-feux applicatifs sont capables d’apprendre en fonction du trafic analysé et de détecter des attaques inconnues grâce à des motifs inhabituels. L’analyse du trafic web est effectuée en temps réel avant que les données n’atteignent le serveur, ce qui nécessite une puissance de calcul adéquate du pare-feu. Un WAF peut protéger les applications web contre des attaques connues telles que le vol d’identité, les attaques de type zero-day, etc. Les pare-feux sont souvent également appelés “boucliers web”.
Fonctionnement du WAF et différences par rapport aux pare-feux traditionnels
Un WAF examine toutes les demandes envoyées à un serveur web et ses réponses. Lorsque le pare-feu détecte des motifs suspects ou dangereux, il bloque la communication ultérieure avec le client concerné ou l’ensemble des flux de données. En plus des motifs prédéfinis, les pare-feux applicatifs sont généralement capables de détecter de manière autonome du trafic dangereux ou interdit lors d’une phase d’apprentissage préalable.
Entre autres, le pare-feu analyse les paramètres d’entrée reçus par les champs de formulaire de l’application web et bloque les paramètres qui ne correspondent pas aux spécifications définies. Les spécifications peuvent inclure des longueurs de paramètres, des types de valeur de paramètre ou des nombres de paramètres, par exemple. Comparé aux pare-feux réseau traditionnels ou aux systèmes de détection d’intrusions (IDS), le WAF offre une protection accrue, car il fonctionne à un niveau plus élevé. Alors que les pare-feux réseau analysent uniquement les adresses source et destination, les ports utilisés et les services réseau dans les données de communication, le WAF fonctionne directement au niveau de l’application. Par conséquent, il offre une protection supplémentaire par rapport aux filtres réseau existants. Il peut également combler les vulnérabilités des applications qui n’ont pas encore été mises à jour et couvrir éventuellement plusieurs cibles d’attaque derrière un seul filtre.
Les menaces contre lesquelles le WAF peut protéger
Le WAF est conçu pour protéger les applications web contre une variété de menaces différentes. Cela comprend, par exemple, les attaques par injection SQL, les attaques par injection de script, les attaques de type cross-site scripting (XSS), les attaques par débordement de tampon ou par paramètre et les attaques de manipulation de champ masqué. Il peut également prévenir l’empoisonnement des cookies, l’accès non autorisé à certaines parties du serveur web et le vol d’identité.
Les architectures et types de WAF disponibles
En fonction de la position du pare-feu, il existe deux principales architectures de WAF. Il peut être placé derrière le pare-feu réseau et devant le serveur web ou être installé directement sur le serveur web. Dans le premier cas, il s’agit d’une architecture centralisée, tandis que dans le second cas, il s’agit d’une approche basée sur l’hôte. Dans une architecture centralisée, des appareils dédiés sont généralement utilisés pour le WAF. Le WAF dans une approche basée sur l’hôte consiste généralement en un logiciel additionnel. Ce logiciel peut être un plugin pour le serveur web ou intégré directement dans le logiciel du serveur web. Le mode proxy inverse est une utilisation courante du WAF. Le proxy est placé entre le serveur web et le pare-feu et termine les sessions web. Le proxy effectue les accès aux applications web au nom du client et analyse les demandes vers le serveur web réel dans une deuxième étape en tant que pare-feu d’application.
(ID:44801869)
