WAF(Webアプリケーション・ファイアウォール)とは何か?

公開日時:2017年05月04日 / 最終更新日時:2019年02月11日
タマちゃん
ファイアウォールを設定すれば、安全なんだよね?
山ちゃん
実はファイアウォールを設定したからと言って安心していられないんだよ。
Webサイトへの攻撃の手口も巧妙化されてきているよ。

 

最近、レンタルサーバー会社のサイトで機能紹介(スペック紹介)で「WAFあり」の記載が多くなってきたような気がします。

 

さくらインターネット

WAF(Webアプリケーション・ファイアウォール)とは

 

ロリポップ!

WAF(Webアプリケーション・ファイアウォール)とは

 

他にも

など大手のレンタルサーバー会社もレンタルサーバーに対してWAF機能を導入するようになりました。

WAF(Webアプリケーション・ファイアウォール)とは

WAFは、レンタルサーバーを狙った攻撃をブロックします。

特にWordPressは、PHP&MySQLで動作し、様々なプラグインが動いているので脆弱性を狙われることが多いです。

※逆にhtmlペースのシンプルなサイトは、脆弱性が発生しにくいです。(パスワードが緩いとか、権限設定が間違っているとかあれば別ですが)

 

WAFは、

で防御できないサーバーへの攻撃をブロックします。

例えば、以下の攻撃をブロックできます。

簡単に説明すると、WAFはプロトコルのデータの中身までチェックして、Webアプリケーションの脆弱性に対する攻撃を検知・ブロックしてWebアプリケーションを保護します。

WAFは具体的にファイアウォールと何が違うのか?

タマちゃん
でもファイアウォールもレンタルサーバーを守るんだよね。
だったらファイアウォールとWAF、何が違うんだろう?

 

「ファイアウォールがチェックする部分」が異なります。

具体的に見ていきましょう。

ファイアウォールはヘッダー部分をチェックする

ファイアウォールがチェックするのは下図のようにIPヘッダ部分とTCPヘッダ部分です。

つまり、

という部分です。

WAF(Webアプリケーション・ファイアウォール)とは

分かりやすく言えば、郵便物の「宛先住所」や「氏名」、「送り元住所」や「送り元氏名」を確認しているだけです。

しかしWAFはデータ部分まで見ています。

郵便物なら封を開けて、手紙の内容まで見ているということになります。

ここまで来ると、完全に「検閲」ですよね。このレベルです。

WAFはデータの中身までチェックしている

WAFはパケットのデータ部分までチェックしています。

WAF(Webアプリケーション・ファイアウォール)とは

そして、このパケットがWebサーバー(Webサイト、レンタルサーバー)にアクセスしても問題ないかを確認しています。

もしWAFがない環境とすると、たとえばクライアントPCからHTTPプロトコルで送信されたHTTPリクエストは、内容をチェックされないのでサーバーのWebアプリまで到達してしまう可能性があります。

FW と IDS と IPS と WAF の違いをまとめると

→ポートスキャン

→Dos攻撃、Synフラッド攻撃

→クロスサイト・スクリプティング、SQLインジェクション、OS・Webアプリケーションの脆弱性攻撃

 

WAFを導入しているレンタルサーバーまとめ

最後にWAFを導入しているレンタルサーバーをまとめます。

 

さくらのレンタルサーバーの公式ページに進む

Zenlogicの公式ページに進む

KAGOYAの公式ページに進む

ヘテムルの公式ページに進む

 

 

Posted by 100%レンタルサーバーを使いこなすサイト管理人

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

AlphaOmega Captcha Medica  –  What Do You See?
     
 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

Secured By miniOrange