WAF란 Web Application Firewall의 약자로서 웹 방화벽을 나타낸다.
WAF는 웹에 특화된 L7방화벽이다. 웹 서비스 취약점을 이용한 공격을 탐지/차단하는 보안시스템으로 OWASP top 10을 기반으로 적용된 차단 룰을 바탕으로 방어한다.
OWASP top 10이란 국제 웹 보안 표준기구이며 3년마다 웹 어플리케이션 취약점 중 빈도가 높고 영향을 많이 줄 수 있는 취약점 Top10을 정리해서 발표하는 것이다. 공식사이트는 https://www.owasp.org 이다.
현 날짜 2016.04.25 에는 최근 OWASP top 10은 2013년도이며 2016년에 새롭게 갱신 될 예정이다.
(사진출처:http://blog.naver.com/dorose2000/220593904146)
지금의 WAF는 OWASP top 10 2013을 기준으로 방어 한다는 것이다.
요즘은 NG(차세대 방화벽), IPS 등에서도 충분히 웹 취약점 감지가 가능한데 WAF을 쓰는 이유는 따로있다.
NG로 방화벽을 사용할 수 있지만, 엄청나게 비싼가격 때문에 사용하지 못한다.
때문에 SSL통신도 감지 가능하고 가장 많이 들어오는 공격인 웹 공격을 방어할 수 있는 장비인 WAF를 쓰는 것이다.
WAF는
WAF는 여러가지 기능들을 한다.
WAF에서는
1. 웹보안 기능 : Content filtering, OWASP top 10방어, Wen cloaking, 쿠키암호화, 주요정보 암호화, ASL등을 한다.
2. 정책관리 기능: Self Learning에 의한 DB구축, Black List/White List구분
이러한 기능들 외에도 WAF에는 웹 프로그래밍이 잘 되어있는 상황이라면 IPS와 기능상 영역 구분이 애매한 솔루션이라는 한계점이 있다.
그러므로 WAF에만 의존 하지말고 애초에 웹 프로그래밍 자체를 보안성향상을 위해 노력해야한다.
R.
1. http://kin.naver.com/open100/detail.nhn?d1id=11&dirId=110501&docId=1448179&qb=d2Fm&enc=utf8§ion=kin&rank=2&search_sort=0&spq=0&pid=SoSNDwoRR24ssu2XM0ssssssstN-482943&sid=palE7uVRyCOvKR/2PTb45A%3D%3D
2. http://s2kiess.blog.me/220679457699
'Hacking > Web technique' 카테고리의 다른 글
디렉터리 리스팅(directory listing)취약점 (0) | 2017.02.05 |
---|---|
Cookie, Session (0) | 2015.12.14 |
Encoding(인코딩) (0) | 2015.12.14 |
메타문자 (0) | 2015.12.14 |
HTTP (Hyper Text Transfer Protocol) (0) | 2015.12.14 |