WAF
WAF(Web Application Firewall)はファイアウォールの一種で、Webアプリケーションの防御に特化したものです。
WAFとは
WAFは通過するパケットのIPアドレスやポート番号だけでなくペイロード部(データ部分)をチェックすることで、Webアプリケーションに対する攻撃を検知し、遮断することが可能です。
Webアプリケーションへの攻撃は、従来アプリ側で対処すべき問題ですが、脆弱性のないWebアプリケーションを作成するためには専門的な知識や技術が必要です。
したがって、すべてのWebアプリケーションにたいしてセキュリティ対策をほどこすことは難しいです。
そこで、セキュリティ対策の不十分さを補完し、Webアプリケーションの堅牢性を高める役割を担うWAFが考案されました。
WAFで防げる攻撃
WAFで防げる攻撃は、以下のようなWeb関連の攻撃です。
WAFで防げる攻撃
- DDoS攻撃
- OSコマンドインジェクション
- SQLインジェクション
- XSS
- 総当たり攻撃 など
WAFで防げない攻撃
WAFでは以下のような攻撃は防げません。
WAFで防げない攻撃
- botによる不正アクセス
- OS・ミドルウェアへの標的型攻撃
- ネットワークに対する標的型攻撃 など
ネットワークやOSといった、アプリケーション層以外への攻撃は別途対策が必要です。
スポンサーリンク
WAFの関連語
WAFの関連語を確認しておきましょう。
ファイアウォール
ファイアウォールは、ネットワークの境界に設置され、不正なデータの通過を防止する防火壁となります。
データの遮断方法として、パケットの中身を見るパケットフィルタ型と、プロトコルの階層によって分ける方法などがあります。
WAFまとめ
WAFはファイアウォールの一種なので、あわせて覚えておこうくらいにとどめる方も少なくありません。
しかし、情報処理技術者試験の午後問題でWAFと答えさせる問題や詳細を問われる問題も過去には出題されています。
重要な概念なので、しっかりと押さえておいてください。
