Web Application Firewall: jak chroni aplikacje webowe?

Ostatnia aktualizacja 2025-07-01

Web Application Firewall to obecnie jeden z najskuteczniejszych sposobów na zabezpieczenie witryn, usług i aplikacji działających w sieci web. W jaki sposób działa Web Application Firewall (WAF) i kto powinien go posiadać?

Obecnie wiele biznesów działa lub właśnie przynosi się do internetu. Oferowanie usług online wiąże się jednak z pewnymi zagrożeniami spowodowanymi działaniem cybernetycznych przestępców. Źle zabezpieczone aplikacje często stanowią furtkę dla przestępców próbujących przeniknąć do sieci.
Jak podaje Verizon Data Breach Investigations Report ^[1] już w 2020 roku niemal 43% wszystkich cyberprzestępstw dotyczyło aplikacji internetowych.
Global Threat Analysis Report ^[2] na lata 2021-2022 przestrzega z kolei, że liczba ataków na aplikacje internetowe wzrasta w zastraszającym tempie. Tylko w ciągu ostatnich dwóch lat liczba wszystkich prób ataków wzrosła o prawie 88%. W roku 2021 aż o 37% w porównaniu z rokiem poprzednim wzrosło liczba zdarzeń DDoS. Przy czym aż 40% wszystkich incydentów dotyczyło firm i organizacji z terenów Europy, Bliskiego Wschodu oraz Afryki (EMEA).
Niepokoi również fakt, że metody hakerów stają się coraz bardziej wyrafinowane, a tym samym trudniej jest skutecznie wykryć i zatrzymać potencjalne zagrożenie.
Jednym ze sposobów zabezpieczenia się przed atakami jest wykonanie audytu bezpieczeństwa aplikacji wdrożenie oprogramowania, które nazywa się Web Application Firewall (potocznie firewall webowy). Na czym to polega?

Co to jest Web Application Firewall (WAF)?

Działanie WAF-a jest bardzo podobne do klasycznego firewall-a. Różnica polega na tym, że nie chroni on dostępu do serwera, a do konkretnej witryny, sklepu internetowego czy aplikacji webowej. W największym skrócie WAF jest strażnikiem, który chroni aplikacje przed zagrożeniami, jakie mogą przyjść z globalnej sieci.
Web Application Firewall to zapora dla aplikacji HTTP (ang. Hypertext Transfer Protocol) i WWW (ang. World Wide Web). Przeznaczony = jest do ochrony najwyższej, 7 warstwy protokołu wg modelu OSI czyli aplikacji internetowych. Jego zadaniem jest monitorowanie, filtrowanie i blokowanie pakietów danych przepływających do i ze strony internetowej lub aplikacji sieciowej.
Firewall webowy filtruje ruch przepuszczając go przez zestaw reguł, które nazywane są politykami. Ich zadaniem jest ochrona aplikacji przed lukami w zabezpieczeniach poprzez niedopuszczanie złośliwego ruchu.
Web Application Firewall skutecznie radzi sobie z najczęściej pojawiającymi się atakami takimi jak cross-site forgery, cross-site-scripting (XSS), file inclusion, ataki DDoS czy SQL injection.

Do najważniejszych funkcji Web Application Firewall należy:

• monitorowanie ruchu do aplikacji webowych;
• działania prewencyjne w przypadku wykrycia zagrożenia;
• informowanie administratora w wykryciu luk w bezpieczeństwie (np. na bazie list reputacyjnych);
• balansowanie ruchu.

Przeczytaj również: Disaster Recovery – plan awaryjny na każdą sytuację

Jak działa Web Application Firewall?

WAF może przybierać różne formy. Niektórzy dostawcy oferują dedykowane urządzenia sprzętowe, ale najczęściej WAF dostępny jest jako oprogramowanie, maszyna wirtualna lub usługa typu cloud.
Najpopularniejszą, a jednocześnie najbardziej efektywną opcją jest stosowanie tak zwanego odwrotnego serwera proxy (ang. reverse proxy). Firewall webowy pełni funkcję pośrednika między klientem, a serwisami www.
W ten sposób klient nie komunikuję się bezpośrednio z serwisami www, ale z WAF. System ten analizuje żądania GET (służy do pobierania danych z serwera) i POST (wysyłania danych do serwera w celu zmiany jego stanu). Filtruje i weryfikuje ruch, a ten który narusza zasady uznane za niedozwolone lub za wrogie może zostać automatycznie zablokowany.

Przy analizie danych Web Application Firewall może przyjąć dwie metody:

• Biała lista. W tym przypadku ​​WAF zezwala tylko na żądania pochodzące z listy, w której znajdują się znane i bezpieczne adresy IP. Odrzuca natomiast wszystkie adresy, które są poza listą.
• Czarna lista. W tym podejściu utworzona jest lista aplikacji lub reguł, które mają wskazywać na złośliwe pakiety. Na podstawie wytycznych (polityk) firewall filtruje dane i odrzuca te, które mogą być potencjalnie uznane za niebezpieczne. Tego typu lista powinna być stosowana szczególnie przy zabezpieczeniu witryn i aplikacji publicznych, ponieważ to one narażone są zazwyczaj na ataki z adresów IP będących na czarnej liście firm/instytucji, które dokonują analizy reputacji adresów IP.
• Model hybrydowy. W tym rozwiązaniu wykorzystuje się elementy zarówno czarnej, jak i białej listy.

Przykład z życia

Sklep z alkoholami i przeciążony serwer

Zgłosiła się do nas firma, która prowadzi popularny sklep internetowy z alkoholami z całego świata. Osoba, która zarządza sprzedażą, zauważyła, że mimo dużego zainteresowania – sklep regularnie „siadał”, a strona przestawała działać. Okazało się, że serwer był zalewany setkami zapytań
o te same produkty, generowanych automatycznie – prawdopodobnie
przez boty lub złośliwe skrypty.

Zamiast ręcznie analizować każde połączenie, można wdrożyć WAF (Web Application Firewall), który dzięki odpowiednio ustawionej regule potrafił rozpoznać takie nienaturalne zachowanie i automatycznie je blokować. Efekt? Strona przestanie się zawieszać, a prawdziwi klienci mogą spokojnie składać zamówienia.

WAF a ataki DDoS

Warto dodać, że WAF potrafi także blokować ataki DDoS – zarówno te świadome, jak i przypadkowe. Przykład? Ktoś testuje swój skrypt na żywym sklepie – i nieświadomie go przeciąża. WAF wychwytuje nadmiarowe połączenia i blokuje je automatycznie, zanim zdążą zaszkodzić.

Co więcej, WAF można zintegrować z bazami refutacyjnymi IP – jeśli z jakiegoś adresu IP często pochodzą ataki, można go całkowicie zablokować lub nawet odciąć całą podsieć.

Przed czym chroni Web Application Firewall?

WAF (Web Application Firewall) to nie tylko filtr ruchu – to aktywna ochrona Twojej strony internetowej przed zagrożeniami, które w codziennym działaniu mogą pozostać niezauważone. System ten blokuje zapytania, które nie powinny się pojawić przy typowym użytkowaniu aplikacji webowej. W praktyce oznacza to ochronę przed atakami, które mogą prowadzić do przejęcia danych, awarii aplikacji lub wykorzystania serwera do dalszych działań.

Oto kilka typowych zagrożeń, przed którymi skutecznie chroni dobrze skonfigurowany WAF:

• Path Traversal – próby odczytu plików systemowych

Przykład podejrzanego adresu: https://mojadomena.net/../../../var/log/passwd

Tego typu zapytanie wskazuje na próbę obejścia struktury katalogów serwera w celu dostępu do plików, które nie powinny być dostępne z poziomu przeglądarki. WAF analizuje takie ciągi w URL-ach i blokuje je, zanim dotrą do aplikacji.

• Remote Code Execution – próby uruchomienia kodu na serwerze

Przykład złośliwego parametru: https://twojserwis.biz?run=/bin/sh

Takie zapytania mają na celu zdalne uruchomienie komend systemowych, co może prowadzić do przejęcia kontroli nad serwerem. WAF skutecznie wykrywa nietypowe ciągi znaków sugerujące próbę uruchomienia kodu i natychmiast odrzuca takie żądanie.

• SQL Injection – ataki na bazę danych

Przykład wprowadzonych danych w formularzu: admin' OR '1'='1

To klasyczny sposób na obejście uwierzytelniania i dostęp do bazy danych. WAF wykrywa schematy charakterystyczne dla SQL Injection i zapobiega ich wykonaniu – zanim trafią do aplikacji lub bazy.

• XSS (Cross-Site Scripting) – wstrzykiwanie złośliwych skryptów

Przykład ataku: <script>alert('XSS')</script>

Ten typ ataku polega na wstrzyknięciu kodu JavaScript, który zostaje później wykonany w przeglądarce innych użytkowników. Dzięki temu można np. kraść ciasteczka sesji. WAF identyfikuje i blokuje próby przesyłania skryptów, które mogłyby zostać zapisane w treści strony.

Rodzaje WAF: sprzętowy, wirtualny czy cloud?

Jak wspomniałem wcześniej, Web Application Firewall może być dostępny w kilku formach: jako urządzenie sprzętowe, oprogramowanie, maszyna wirtualna, a także jako usługa dostępna w chmurze.

• WAF sprzętowy. To po prostu urządzenie sprzętowe, które jest zainstalowane lokalnie. Zaletą takiego rozwiązania jest to, że działa szybciej i nie ma opóźnień. Z drugiej strony wymaga konserwacji i przechowywania w serwerowni podobnie jak inne urządzenia.
• WAF wirtualny/oparty na hoście. To zdecydowanie tańsze i bardziej elastyczne rozwiązanie w porównaniu z wersją sprzętową. Wadą jest to, że WAF w wersji wirtualnej bardziej zużywa zasoby lokalnego serwera.
• WAF oparte na chmurze to najnowsze rozwiązanie. Jego zaletą jest minimalny koszt początkowy i opłaty abonamentowe, które są rozłożone w czasie. Koszty po stronie użytkownika są zredukowane do minimum. Tego typu usługi chmurowe zazwyczaj są na bieżąco aktualizowane, dlatego mamy pewność, że nasza aplikacja jest chroniona przed najnowszymi zagrożeniami. Zaletą jest również skalowalność (pay as you grow).

Jakie są zalety z wykorzystania Web Application Firewall?

Skuteczna ochrona przed popularny atakami

Poprawnie wdrożony Web Application Firewall zapewnia skuteczną ochronę przed atakami wewnętrznymi i zewnętrznymi. Zabezpieczy aplikacje webowe przed groźnymi cookie poisoning, SQL injection, cross-site-scripting (XSS) czy atakami botów i złagodzi ataki DDOS.

Przy usłudze cloud: niższe koszty

W przypadku, gdy zdecydujemy się na wariant cloud możemy liczyć się z niższymi kosztami. Unikamy zakupu sprzętu, usługi wdrożenia, utrzymania sprzętu w serwerowni.

Bieżące aktualizacje

Tego typu rozwiązania pozwalają na szybkie dostosowanie się do bieżących zagrożeń. Aktualizowane polityki i listy pozwalają na skuteczną ochronę przed najnowszymi zagrożeniami.

Zobacz też: ZTNA – co to jest i dlaczego warto go wdrożyć?

Przykłady z życia

Boty z dużą ilością zapytań

Inna sytuacja z naszego podwórka– sklep, który często odwiedzały porównywarki cenowe i boty wyszukiwarek. Roboty tych porównywarek odwiedzały stronę i skanowały wszystkie produkty naraz, często co kilka minut. Przy słabszym serwerze kończyło się to przeciążeniem – tak jakby ktoś odkręcił kran na pełen gwizdek.

WAF pozwolił na ograniczenie liczby zapytań z jednego adresu IP lub regionu. Gdy robot przesadzał z częstotliwością, WAF „przykręcał kurek” – blokując dostęp na kilka sekund lub całkowicie zamykając połączenie, jeśli było podejrzane.

Zainfekowany komputer w hotelu w Niemczech

W jednej z firm zauważono nietypowy ruch przychodzący na serwer – pochodził z adresu IP zlokalizowanego w niemieckim hotelu. Na początku wyglądało to niewinnie, ale analiza pokazała, że ten komputer był zainfekowany i stale podłączony do sieci TOR. W praktyce oznaczało to, że ktoś zdalnie wykorzystywał go jako przekaźnik do dalszych działań – m.in. do skanowania, prób ataków czy testowania podatności.

Dzięki odpowiednio skonfigurowanemu WAF-owi udało się szybko odseparować ruch z tego źródła – bez ręcznego śledzenia i analizowania pakietów. WAF rozpoznał wzorce podejrzanego zachowania i automatycznie zablokował połączenia, zanim mogły wyrządzić szkody.

To pokazuje, że nawet jedno niepozorne połączenie z zainfekowanego komputera może stanowić realne zagrożenie – a dobrze ustawiony WAF jest pierwszą linią obrony, która działa błyskawicznie i bez przerwy.

Podsumowanie, czyli kto potrzebuje Web Application Firewall?

Odpowiedź na to pytanie jest dosyć prosta. Praktycznie każda firma, w której istnieje witryna internetowa, sklep internetowy czy inna aplikacja/ platforma oferująca usługi online, powinna rozważyć wdrożenie Web Application Firewall. Tego typu rozwiązanie warto przemyśleć, zwłaszcza gdy jesteśmy małą firmą. Jak wynika z ostatnich danych, właśnie małe firmy coraz częściej padają ofiarą przestępstw cybernetycznych. Powód jest bardzo prozaiczny — małe firmy najmniej inwestują w bezpieczeństwo witryn, portali i sklepów internetowych.

Firewall webowy powinny również wdrożyć firmy, które działają w potencjalnie niebezpiecznych strefach działalności i branżach.

• firmy działające w branży e-commerce oferujące sprzedaż przez internetowy sklep;
• organizacje udostępniający usługi finansowe online;
• witryny z branży medycznej oferujące artykuły lub usługi online;
• organizacje, które są zobowiązane do przestrzegania standardów zgodności.

Web Application Firewall pozwoli ci zabezpieczyć swoją witrynę przed tymi najczęstszymi, a jednocześnie najgroźniejszymi atakami hakerów. W ten sposób zabezpieczysz nie tylko poufne dane osobowe i finansowe klientów, ale również uchronisz firmę przed stratami i kosztami, jakie mogłyby zostać wygenerowane w przypadku udanego ataku.

Przypisy:

1. Verizon Data Breach Investigations Report , https://www.verizon.com/business/resources/reports/dbir/ [dostęp 08.04.2022r]
2. Global Threat Analysis Report, https://www.crowdstrike.com/global-threat-report/ [dostęp 08.04.2022r]

Piotr Tamulewicz, doradca ds. rozwiązań IT w SEBITU.