Qué es un firewall de aplicaciones Web o WAF :

• Una solución de software o hardware que protege aplicaciones web de

amenazas / ataques.

• La solución debe comprender la protección de la capa de aplicación

(conversaciones HTTP y HTTPS sus aplicaciones web, XML / SOAP y Servicios
Web).

• La solución debe detectar/prevenir las principales amenazas de OWASP.

• Capacidad de aprender una politica de proteccion customizada sobre las

aplicaciones web que van proteger.

• Terminador de SSL/TLS para poder inspeccionar el trafico HTTPS encriptado

además del trafico HTTP.
¿Qué hace un firewall de aplicaciones Web o WAF?

Un firewall de aplicación web (o WAF) filtra, supervisa y bloquea el tráfico

HTTP/HTTPS hacia y desde una aplicación web.

Un WAF se diferencia de un firewall regular en que un WAF es capaz de filtrar el

contenido de aplicaciones web específicas, mientras que los firewalls regulares
sirven como una puerta de acceso entre internet y los servidores.

Al inspeccionar el tráfico HTTP y HTTPS, puede evitar ataques derivados de fallas

de seguridad de aplicaciones web, como SQL injection, cross-site scripting (XSS),
inclusión de archivos y configuraciones erróneas de seguridad.
 Los desarrolladores deben programar en forma segura, pero ademas se ocupan de
la perfomance, escalabilidad, actualizaciones, la seguridad de las aplicaciones no
puede depender solo de ellos...

Application
Security? Application
Patching

Application Application
Development Scalability

Application
Performance
 Web Application Firewall –
F5/ASM
Clientes externos Infraestructura de Red Infraestructura de Aplicaciones Aplicaciones

DDOS Brute Force

Buffer Overflow
XSS Cross-Site Scripting Error Messages
SQL/OS Injection Trafico HTTP/S Non-compliant Content
Application DoS Attacks Credit Card / SSN data

WAF
Firewall
Usuario App App
IPS Firewall
Firewall
Tradicional
IDS-IPS
Dispositivos de Seguridad Tradicionales vs. WAF
Network ASM
Firewall IPS

Known Web Worms Limited  

Unknown Web Worms X Limited 
Known Web Vulnerabilities Limited Partial 
Unknown Web Vulnerabilities X Limited 
Illegal Access to Web-server files Limited X 
Forceful Browsing X X 
File/Directory Enumerations X Limited 
Buffer Overflow Limited Limited 
Cross-Site Scripting Limited Limited 
SQL/OS Injection X Limited 
Cookie Poisoning X X 
Hidden-Field Manipulation X X 
Parameter Tampering X X 
Layer 7 DoS Attacks X X 
Brute Force Login Attacks X X 
App. Security and Acceleration X X 
Protección frente a todas las principales
vulnerabilidades
• OWASP Top 10 Web Application Security Risks:
• A1: Injection
• A2: Cross-Site Scripting (XSS)
• A3: Broken Authentication and Session Management
• A4: Insecure Direct Object References
• A5: Cross-Site Request Forgery (CSRF)
• A6: Security Misconfiguration
• A7: Insecure Cryptographic Storage
• A8: Failure to Restrict URL Access
• A9: Insufficient Transport Layer Protection
• A10: Unvalidated Redirects and Forwards