WAF (Web Application Firewall)

Définition

Un WAF (Web Application Firewall) est une solution de sécurité qui filtre, surveille et bloque le trafic HTTP/HTTPS vers et depuis une application web. Contrairement aux firewalls traditionnels (qui filtrent les ports et IPs), un WAF inspecte le contenu au niveau applicatif (requêtes HTTP) pour détecter des motifs malveillants.

Les WAFs protègent contre les vulnabilités OWASP Top 10, y compris les injections SQL, le cross-site scripting (XSS) et d’autres attaques web.

Types de WAF

|| Type | Déploiement | Fonctionnement | |——|————|————–| | Réseau | On-prem | Appliance matérielle devant le serveur web | | Cloud | SaaS | Reverse proxy dans le cloud (Cloudflare, AWS WAF) | | Hôte | Sur le serveur | Module (ModSecurity) sur le serveur web |

Capacités de protection

  • Prévention d’injection SQL : Détecte et bloque les motifs d’injection SQL
  • Prévention XSS : Bloque les tentatives de cross-site scripting
  • Protection CSRF : Valide les origines des requêtes
  • Rate limiting : Prévient les attaques par force brute et DDoS
  • Gestion des bots : Identifie et bloque les bots malveillants
  • Geo-blocking : Restreint le trafic de régions spécifiques
  • Règles personnalisées : Règles définies par l’utilisateur pour les besoins spécifiques à l’application
  • OWASP Core Rule Set (CRS) : Ensembles de règles pré-construits pour les attaques courantes

Modes WAF

|| Mode | Comportement | Cas d’utilisation | |——|———-|———-| | Détection/Logging | Surveille et journalise les requêtes bloquées | Tests avant mise en production | | Blocking | Bloque activement les requêtes malveillantes | Protection en production | | Whitelist/Allow | Autorise uniquement le trafic explicitement autorisé | Environnements haute sécurité |

Solutions WAF populaires

|| Solution | Type | Remarques | |———-|——|——-| | Cloudflare WAF | Cloud | Plan gratuit disponible, configuration facile | | AWS WAF | Cloud | Intègre avec CloudFront, ALB | | ModSecurity | Hôte | Open-source, module Apache/Nginx | | Imperva WAF | Cloud/On-prem | Orienté entreprise | | F5 BIG-IP ASM | On-prem | Appliance matérielle entreprise | | NGINX WAF | Hôte | Module WAF NGINX Plus |

WAF vs pare-feu traditionnel

|| Fonctionnalité | WAF | Pare-feu traditionnel | |———|—–|———————| | Couche OSI | 7 (Application) | 3-4 (Réseau/Transport) | | Inspecte | Contenu HTTP/HTTPS | Adresses IP, ports, protocoles | | Protège | Applications web | Limites réseau | | Règles | Motifs URL, payloads | Règles IP/port | | Cas d’utilisation | SQLi, XSS, CSRF | Accès non autorisé, DDoS |

Termes associés

  • Cdn
  • Firewall — protection traditionnelle au niveau réseau
  • Tls — le WAF peut atténuer le DDoS au niveau applicatif
  • OWASP — les règles WAF ciblent l’OWASP Top 10

Références