Un WAF inspecciona tráfico HTTP y bloquea SQLi, XSS y otros patrones. Puede ser en la nube o on-prem. Ajuste reglas para no bloquear tráfico legítimo; use logging y modo (detect vs block) en el despliegue.
Qué hace un WAF
- Inspección: Analiza peticiones y respuestas HTTP/HTTPS. Busca firmas de ataque (inyección SQL, XSS, path traversal, etc.) y puede imponer límites (rate, tamaño de payload).
- Acciones: Bloquear, desafiar (ej. CAPTCHA) o permitir. A menudo configurable por regla o por URI.
- Ubicación: Delante de su app—como servicio en la nube (CDN/WAF) o componente on-prem/autohospedado (ej. ModSecurity).
Reglas y ajuste
- Reglas por defecto: La mayoría de WAFs traen conjuntos de reglas (ej. OWASP Core Rule Set). Reducen ataques comunes pero pueden causar falsos positivos.
- Ajuste: Deshabilite o relaje reglas que rompen su app. Use listas de permitidos para paths o params conocidos como buenos. Prefiera ajustar por excepción.
- Detect vs block: En el despliegue, use modo "detect" o "report-only". Registre lo que se bloquearía; corrija falsos positivos; luego pase a block. Revise tras cambios grandes en la app.
Operación
- Logging: Envíe logs del WAF a su SIEM o stack de logs. Úselos para respuesta a incidentes y ajuste. Alerte por impactos críticos o pico de bloqueos.
- Actualizaciones: Los conjuntos de reglas se actualizan por nuevos CVEs. Planee pruebas y despliegue para no romper la app.
- Rendimiento: El WAF añade latencia. Mida y optimice; use WAF en el borde cuando pueda.
Resumen
Un WAF inspecciona tráfico HTTP y bloquea SQLi, XSS y otros patrones. Puede ser nube u on-prem. Ajuste reglas para evitar falsos positivos; use modo detect en el despliegue; registre y actualice reglas con regularidad.
