情報処理安全確保支援士

WAF(Webアプリケーションファイアウォール)について

投稿日:2016年5月29日 更新日:

今回は、WAF(Webアプリケーションファイアウォール)についてです。

WAFとはその名の通り、Webアプリケーションに対する攻撃を防御するための製品です。
Webアプリケーションの攻撃として、クロスサイトスプリプティングSQLインジェクションOSコマンドインジェクションセッションハイジャックなどがあります。

→ HTTPの脆弱性ついて

WAFの機能

・Webアプリケーションへの攻撃の検知・防御
Webアプリケーションへの攻撃の検知行うために以下の情報を確認します。
・接続先ホスト
・HTTPリクエスト
・URLパラメータ
・HTTPヘッダ情報
・POSTデータ
・クッキーの内容

これらの情報に対し、検知の条件を設定します。

検知した通信は、
・ブロック
・特定のURLにリダイレクト
・アラート
・メール送信
・ログに記録

などのアクションを起こすことができます。


・SSLアクセラレータ機能

HTTPSのパケットもチェックを行うためには、SSL/TLSで暗号化されたパケットを復号化する必要があります。
その機能をSSLアクセラレータと言います。

WAFがその機能を持つ場合もあります。
ただし、暗号化・復号化を行うためには大きな処理を行う必要があるため、
性能に余裕のある製品を選ぶ必要があります。

 

・負荷分散機能
Webサーバのロードバランサとして動作する機能を持つ機器もあります。

 

WAFの構成

WAFはWebサーバへのリバースプロキシとして設置し、
HTTP/HTTPSのパケットを全てWAF経由で通信を行う構成を取ることが一般的です。
全てWAF経由にすることで、HTTPSパケットの暗号化・復号化および攻撃に対する検知・遮断が可能となります。
WAF構成

WAFの運用

検知するための条件やパラメータなどは運用者が随時チューニングしていく必要があり、
誤検知・遮断を防ぐためには、知識のある管理者による適切な運用が必要です。

WAFの運用のために知識を身につけたり、外部から専門家を呼ぶ必要があることが大きな課題と言えます。

また、WAF自身へ攻撃を受ける可能性もあるため、
ファイアウォールで防御すること、WAF自身のバージョンアップなども重要です。
その他、信頼性や可能性を高める上でも、
・製品選定
・冗長化
・SNMPなどによる監視

なども必要です。

WAFの障害により、Webサイトへアクセスができなくなる可能性があるため、
WAF導入の構成や設計ポリシに注意を払う必要があります。

 







-情報処理安全確保支援士
-

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

関連記事

HTTP・Webアプリケーションの脆弱性

HTTP,Webアプリケーション関連の脆弱性としては、 主に以下の種類があります。

情報セキュリティの脆弱性ついて

脆弱性とは一般的にはソフトウェアやネットワークの欠陥(バグ)を指しますが、 広義にはシステム面だけでなく、建物・設備面や管理・セキュリティポリシー面での不備も挙げられます。 今回はその中でもネットワー …

暗号化について

暗号化とは文字列に対して、なんらかの暗号アルゴリズムを用いて、 他の文字列に変換することです。 また、暗号化された文字列を元の文字列に戻すことを復号といいます。 暗号化には様々な方式や方法があります。

シングルサインオン(SSO)について

シングルサインオン(Single Sign-On)はSSOと略されますが、 複数の認証が必要なシステムに対して、最初に1回認証を行えば、システムが変わっても以降の認証は全て許可されて実行できるシステム …

認証システムについて

今回は様々な認証システムについて説明していきたいと思います。 その前に、まずは認証ってどういったものなのかの確認となります。 認証はそもそも何のためにするものかというと、 人(ユーザ名)や端末(IPア …

ナナシ

名前:ナナシ(30前後の男)



プロフィールはこちら