WAF(Webアプリケーション・ファイアウォール)とは何か?

タマちゃん
ファイアウォールを設定すれば、安全なんだよね?
山ちゃん
実はファイアウォールを設定したからと言って安心していられないんだよ。
Webサイトへの攻撃の手口も巧妙化されてきているよ。

 

最近、レンタルサーバー会社のサイトで機能紹介(スペック紹介)で「WAFあり」の記載が多くなってきたような気がします。

 

さくらインターネット

WAF(Webアプリケーション・ファイアウォール)とは

 

ロリポップ!

WAF(Webアプリケーション・ファイアウォール)とは

 

他にも

  • Zenlogic
  • KAGOYA
  • ヘテムル

など大手のレンタルサーバー会社もレンタルサーバーに対してWAF機能を導入するようになりました。

WAF(Webアプリケーション・ファイアウォール)とは

WAFは、レンタルサーバーを狙った攻撃をブロックします。

特にWordPressは、PHP&MySQLで動作し、様々なプラグインが動いているので脆弱性を狙われることが多いです。

※逆にhtmlペースのシンプルなサイトは、脆弱性が発生しにくいです。(パスワードが緩いとか、権限設定が間違っているとかあれば別ですが)

 

WAFは、

  • ファイアウォール(Firewall、FW)
  • IDS(侵入検知システム)
  • IPS(侵入防止システム)

で防御できないサーバーへの攻撃をブロックします。

例えば、以下の攻撃をブロックできます。

  • サイト乗っ取り
  • サイト改ざん
  • 情報漏えい

簡単に説明すると、WAFはプロトコルのデータの中身までチェックして、Webアプリケーションの脆弱性に対する攻撃を検知・ブロックしてWebアプリケーションを保護します。

WAFは具体的にファイアウォールと何が違うのか?

タマちゃん
でもファイアウォールもレンタルサーバーを守るんだよね。
だったらファイアウォールとWAF、何が違うんだろう?

 

「ファイアウォールがチェックする部分」が異なります。

具体的に見ていきましょう。

ファイアウォールはヘッダー部分をチェックする

ファイアウォールがチェックするのは下図のようにIPヘッダ部分とTCPヘッダ部分です。

つまり、

  • どのプロトコル(TCP/UDP)を通すのか?
  • どのIPアドレス(192.1689.1.1など)を通すのか?
  • どのポート番号(HTTP、FTPなど)を通すのか?

という部分です。

WAF(Webアプリケーション・ファイアウォール)とは

分かりやすく言えば、郵便物の「宛先住所」や「氏名」、「送り元住所」や「送り元氏名」を確認しているだけです。

しかしWAFはデータ部分まで見ています。

郵便物なら封を開けて、手紙の内容まで見ているということになります。

ここまで来ると、完全に「検閲」ですよね。このレベルです。

WAFはデータの中身までチェックしている

WAFはパケットのデータ部分までチェックしています。

WAF(Webアプリケーション・ファイアウォール)とは

そして、このパケットがWebサーバー(Webサイト、レンタルサーバー)にアクセスしても問題ないかを確認しています。

もしWAFがない環境とすると、たとえばクライアントPCからHTTPプロトコルで送信されたHTTPリクエストは、内容をチェックされないのでサーバーのWebアプリまで到達してしまう可能性があります。

FW と IDS と IPS と WAF の違いをまとめると

  • ファイアウォール(FW) 

→ポートスキャン

  • IDS/IPS

→Dos攻撃、Synフラッド攻撃

  • WAF

→クロスサイト・スクリプティング、SQLインジェクション、OS・Webアプリケーションの脆弱性攻撃

 

WAFを導入しているレンタルサーバーまとめ

最後にWAFを導入しているレンタルサーバーをまとめます。

 

  • さくらのレンタルサーバー

さくらのレンタルサーバーの公式ページに進む

  • Zenlogic

Zenlogicの公式ページに進む

  • KAGOYA

KAGOYAの公式ページに進む

    • ヘテムル

ヘテムルの公式ページに進む

 

 

Posted by 100%レンタルサーバーを使いこなすサイト管理人

コメントを残す

メールアドレスが公開されることはありません。