웹방화벽 WAF 란?

웹방화벽(WAF)에 대해서 알아보자.

 

웹방화벽(Web Application Firewall, WAF) 은 일반적인 네트워크 방화벽 (Firewall)과는 달리 웹 애플리케이션 보안에 특화되어 개발된 솔루션이다.

 

• 웹방화벽의 기본 역할은 그 이름에서도 알 수 있듯, SQL Injection, Cross-Site Scripting(XSS)등과 같은 웹 공격을 탐지하고 차단하는 역할이다.
• 웹방화벽은 직접적인 웹 공격 대응 이 외에도, 정보유출방지솔루션, 부정로그인방지솔루션, 웹사이트위변조방지솔루션 등으로 활용이 가능하다.
• 정보유출방지솔루션으로 웹방화벽을 이용할 경우, 개인정보가 웹 게시판에 게시되거나 개인 정보가 포함된 파일 등이 웹을 통해 업로드 및 다운로드 되는 경우에 대해서 탐지하고 이에 대응하는 것이 가능하다.
• 부정로그인방지솔루션으로서는, 추정 가능한 모든 경우의 수를 대입하여 웹사이트에 로그인을 시도하는 경우와 같은 비정상적인 접근에 대한 접근 제어 기능을 합니다.
• 주로 해커가 해킹을 한 후에 과시하는 것이 목적인 웹사이트 위변조가 발생했을 경우, 이에 대해 탐지하고 대응하는 웹사이트위변조방지솔루션의 역할을 합니다.
• 즉, 웹방화벽은 위에서 기술한 4 가지 웹 보안 기능을 제공하면서, 웹 애플리케이션이라는 [ 집 ]을 미처 예상하지 못했던 외부의 공격으로부터 지켜내고, 사전에 발견하지 못했던 내부의 위험 요소로부터 지켜내는 [ 울타리 ] 역할을 수행하는 존재라고 할 수 있습니다.

WAF 동작 원리

 

 

Web 애플리케이션의 동작원리

웹 공격의 대부분은 어플리케이션을 구축할 때 생기는 취약점을 통해 웹 서버를 공격하거나 DB 내용을 악용해 정보를 탈취하거나 노출한다. 
공격자는 HTTP Request에 특정 공격코드 또는 취약점을 우회하는 코드를 삽입 해 웹서버에 전송하게 되고 웹 어플리케이션은 의도하지 않은 동작을 하게되어 공격자에게 다양한 정보를 전송한다. 

 

 

 

그래서 필요한 것이 웹 방화벽이다. 

• 웹서버로 전송되는 HTTP 패킷을 검사하여 의도하지 않은 내용들을 어플리케이션 앞단에서 막는 것이다. 
  이는 Proxy Server의 원리를 가져온다.
• Client는 Proxy Server로 접속하게 되고 실제 애플리케이션 서버에 접속하는 것은 Proxy Server이다.
• 즉 클라이언트와 서버의 통신을 중계한다.
• 그러므로 프록시 서버에서 URL을 살펴보며 이상한 형태의 URL이면 Drop 허용된 URL이면 프록시 서버가 애플리케이션 서버에 접속하게 된다. 

WAF와 차세대 방화벽(NGFW) 비교

 

WAF는 애플리케이션 레이어에서 각 HTTP/S 요청을 분석해 웹 애플리케이션을 보호한다.

차세대 방화벽(NGFW)은 웹사이트, 이메일 계정 및 SaaS 어플리케이션에서 인터넷으로 나가는 트래픽을 모니터링 하도록 설계한다.