WAF signifie Web Application Firewall que l'on traduit en pare-feu web. C'est un dispositif spécialisé de filtrage des requêtes HTTP/s. L'analyse des requêtes s'appuie en général sur des des règles en RegEx.

L’intérêt de ce type de pare-feu est multiple :

• Bloquer les tentatives de piratages du serveur WEB à partir de signatures:
  • Cross‑site scripting (XSS), (CSRF);
  • Remote File Include (RFI);
  • Remote code execution (RCE);
  • Local File Include (LFI).
• Améliorer les protections contre les 0-days;
• Bloquer des requêtes HTTP à partir d’une adresse IP, UserAgent, référent, GeoIP;
• Protéger certaines ressources sensibles et critiques (Page d’administration, etc);
• Atténuer le trafic automatique et les bots;
• Journalisation plus précise sur les requêtes HTTP et mise en place d’alerte en cas d’attaques.

Ces analyses se font sur différentes parties de la requête HTTP et demandent une capacité de calcul et de mémoire supplémentaire.

Le module modsecurity disponible pour Apache et Nginx est la référence. Le WAF peut également être installé sur un reverse proxy (serveur mandataire inversé).

Le WAF est un élément pouvant être intégré dans une défense en profondeur.