仕事でWAFなるものを使うことを検討中なんだが、
WAF?ファイアウォールをサーバでやんの?
くらいの理解だったので概要だけでもと勉強してみた。
基本は、以下リンクのIPAのWAF読本なるものを読んでみたがわかりやすい。
Web Application Firewall 読本
http://www.ipa.go.jp/security/vuln/waf.html
WAFは、Web Application Firewallの略でFirewallとは違うようだ。
FirewallはIPアドレス、ポートでアクセス制御をする。が、WAFは名前にもある通りウェブ・アプリケーションのためのファイアウォールのようなもので、外からウェブ・アプリケーションに対してのアクセスを検査し、このアクセスは通す、このアクセスは弾くといった処理を行なってくれる。
これによって、外部からのSQLインジェクションなどの脆弱性に絡んだ攻撃を防ぐための仕組み。
似たようなものにIPS(Instruction Prevention System)があるが、IPSはこの種類のアクセスは弾くといった”ブラックリスト”によるアクセス制御しか出来ない。
一方、WAFは”ブラックリスト”に加え、この種類のアクセスは通すといった”ホワイトリスト”の設定が出来る。といった違いがある。
しかし、これは運用大変そうだし。大体httpリクエストの中身で文字列判定で検査するようなので、渡されたデータを検査したりするのはアプリケーションのフロント側でやった方がいいような気がする。そこでやっちゃうとダメなケースもあるのだろうが。
以下参考になったリンク
三重苦を乗り越えてWAFが普及するための条件とは
http://www.tokumaru.org/d/20080722.html
話は逸れるが、上にあげたWAF読本。IPAの人ってこういうことを検証したりしてドキュメントにまとめる仕事もしてるんだ。と思いながら読んでいたら、しっかり最後に著者として各ベンダーのセキュリティ子会社の名前が。色々な仕事でお金がもらえるものです。ただ、WAF読本は、ModSecurityのインストール方法から書いてあるので有用です。
