Um WAF, ou Web Application Firewall, é um sistema que é responsável por proteger aplicações WEB independente da sua plataforma, o WAF cria uma barreira entre a comunicação do cliente com o servidor.

O WAF é mais utilizado para proteger e-commerces, blogs, softwares e sites institucionais, ele tem a capacidade de proteger as aplicações dos ataques mais conhecidos na web que estão referenciados no TOP-10 OWASP Attacks, em alguns casos é possível criar regras especificas no WAF para restringir acessos com base em IP ou geolocalização, por exemplo.

WAF é muito caro ?

Hoje nós temos vários lideres de mercado no ramo de WAF, como mostra a imagem abaixo, referenciada pelo Gartner no seu “magic quadrant for web application firewalls 2018” :

Mas, para quem não pode gastar muito dinheiro, tem algumas soluções gratuitas que podem ajudar você a manter o ambiente um pouco mais seguro com relação aos Ciberataques, o software gratuito mais usado é o ModSecurity, este é um módulo do apache (também funciona no nginx) que intercepta as conexões que são estabelecidas com o servidor, analisa as requisições e em caso de ataque ele faz o bloqueio.

E para não deixar o ModSecurity sozinho, existem vários outros softwares similares para proteção de plataformas web, como é o caso do NAXSI (Nginx Anti XSS & SQL Injection), este é um pouco mais limitado com relação aos tipos de proteções mas pode fazer a proteção básica da sua aplicação no NGINX. 


Carlos Vieira

Cyber Security Analyst and ReSearch

2 comentários

Willian Agostinhacki · dezembro 7, 2018 às 10:25 am

Muito bom o conteúdo, Cadu! E muito esclarecedor.

Cesar Adriano Klassen Danecke · dezembro 7, 2018 às 2:36 pm

Boa guri agora to esperando o post de instalação do ModSecurity 🙂

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *