WAF được triển khai dưới dạng các thiết bị phần cứng, phần mềm, kết hợp hoặc trên đám mây. WAF hoạt động với một bộ quy tắc cụ thể được gọi là chính sách. Chính sách này giúp WAF phát hiện lỗ hổng bảo mật/ hành vi lưu lượng tìm kiếm v.v. Nói cách khác, các chính sách cho phép WAF bảo vệ các ứng dụng web và máy chủ khỏi các cuộc tấn công độc hại.
Dựa trên các chính sách này, WAF sẽ quét các ứng dụng web và dùng phương thức GET & POST để xác định và lọc các yêu cầu độc hại. WAF không chỉ phân tích tiêu đề mà còn phân tích nội dung của tất cả các gói để chặn các yêu cầu bất hợp lệ. WAF thông minh còn yêu cầu chứng minh họ là con người hay là bot.
Khi phát hiện lỗ hổng ứng dụng, WAF sẽ ngay lập tức ngăn chặn vá các lỗ hổng đó để tự động chặn hacker và các tác nhân độc hại (bot, tấn công địa chỉ IP, tấn công đầu vào v.v.). WAF thường được cấu hình theo ba mô hình bảo mật cơ bản, gồm có:
Mô hình danh sách trắng: Với mô hình này, WAF chỉ cho phép lưu lượng được phê duyệt trước theo các tiêu chí được cấu hình cụ thể và từ chối các yêu cầu truy cập còn lại. Nó cung cấp danh sách các địa chỉ IP được cho là đáng tin cậy. Mô hình danh sách trắng phù hợp để áp dụng với ứng dụng web trên mạng nội bộ, được sử dụng bởi một nhóm người dùng hạn chế (ví dụ: nhân viên). Tuy nhiên, nhược điểm của mô hình danh sách trắng là các yêu cầu và lưu lượng truy cập hợp lệ vẫn có thể bị chặn.
Mô hình danh sách đen: Với mô hình này, WAF cho phép tất cả các gói tin đi qua và sử dụng chữ ký đặt trước để chặn lưu lượng truy cập độc hại vào ứng dụng web. Các chữ ký được thiết kế để ngăn chặn các tấn công khai thác lỗ hổng trên ứng dụng và website. Đây là mô hình bảo mật phù hợp với các ứng dụng web trên mạng công cộng, nơi nhận lượng lớn truy cập từ các địa chỉ IP lạ khác nhau. Trái ngược với việc mặc định là địa chỉ IP đáng tin cậy, mô hình danh sách đen tiêu hao nhiều tài nguyên hơn để phân tích và lọc các gói tin dựa trên các đặc điểm cụ thể. WAF với mô hình danh sách đen có thể bảo vệ ứng dụng khỏi một số tấn công DDoS nhưng nó không hiệu quả với các tấn công Zero-day.
Mô hình kết hợp: WAF có thể được cấu hình để kết hợp hai phương pháp danh sách trắng và danh sách đen với nhau dựa trên nhu cầu cụ thể của ứng dụng. Tường lửa ứng dụng web kết hợp là sự lựa chọn tốt nhất cho các ứng dụng web trên mạng nội bộ và cả mạng công cộng.
Bài viết liên quan