WAFについて
今日は2021年4月4日日曜日。
前回の投稿は3月31日だったので、4日ぶりの投稿ということになる。
4月1日に投稿を忘れてしまってから、2日、3日とやる気を失い更新を止めてしまった。
これからまた頑張ろう。
自分のよくないところは、もういいやと諦めたくなったときにやっぱがんばらないと
と思えないところだと思う。
なぜまあいっかとなってしまうのか、少し考えてみた。
何もしないのが楽からだろうか。それはある。
やった後の喜びよりもやらない時の喜びの方が大きいから。
体力がなくて動きたくないから。
体力がなくなると動きがなくなり、また体力がなくなるという悪循環。
これは永久の問題かもしれない。
全てのトリガーは運動を始めることではないか。
そう思った朝であった。
さて、今日はウェブサイトのセキュリティについて調べる機会があったので
復習用としてまとめておきたい。
今回調べたのは「WAF」だ。
WAFとはWeb Application Firewall の略で、その名の通り、ウェブアプリケーション(ウェブサイト)のセキュリティを守るためのファイアウォールだ。
ファイアウォールといえば、一般的にインターネットとプライベートなネットワーク空間の間に設置されるハードウェアやソフトウェアをイメージするが、WAFは別物である。
一般的に、ファイアウォールはネットワークレベルのレイヤー(OSI参照モデルで言うと第3層と第4層)で有効な対策です。
一方のWAFは、ネットワークやOSレベルより上の、Webアプリケーションレベルのレイヤーで有効な対策です。(OSI参照モデルで言うと第7層)
(OSレベルはIDS/IPSが有効)
別の観点からだと一般的にFirewallの通信の遮断可否を決めるのは、IPアドレスとポート番号です。
しかし、インターネット技術の向上により、アプリケーション層でも対策が必要となりました。
Webサーバへのアクセスにはポート80番(HTTP)や443番(HTTPS)が使われることが多いため、一般的にインターネット上からの通信でもこれらのポートに対するアクセス制限はされていません。
しかし、SQLインジェクションやクロスサイトスクリプティングは80,443の通信を利用するためファイアウォールでは防げないのです。
そんな中、誕生したのがWAFです。
WAFはWebアプリケーションにおける通信の中身をチェックし、不正な通信や通過させたくない通信を遮断することができます。
詳細は以下のリンクを確認。