Um WAF inspeciona tráfego HTTP e bloqueia SQLi, XSS e outros padrões. Pode ser em nuvem ou on-prem. Ajuste regras para não bloquear tráfego legítimo; use logging e modo (detect vs block) no rollout.
O que um WAF faz
- Inspeção: Analisa requisições e respostas HTTP/HTTPS. Procura assinaturas de ataque (SQL injection, XSS, path traversal etc.) e pode impor limites (rate, tamanho de payload).
- Ações: Bloquear, desafiar (ex. CAPTCHA) ou permitir. Muitas vezes configurável por regra ou por URI.
- Posicionamento: Na frente da app—como serviço em nuvem (CDN/WAF) ou componente on-prem/self-hosted (ex. ModSecurity).
Regras e ajuste
- Regras padrão: A maioria dos WAFs vem com conjuntos de regras (ex. OWASP Core Rule Set). Reduzem ataques comuns mas podem gerar falsos positivos.
- Ajuste: Desabilite ou relaxe regras que quebram sua app. Use allowlists para paths ou params conhecidos como bons. Prefira ajustar por exceção.
- Detect vs block: No rollout, use modo "detect" ou "report-only". Registre o que seria bloqueado; corrija falsos positivos; depois mude para block. Revise após mudanças grandes na app.
Operação
- Logging: Envie logs do WAF para seu SIEM ou stack de logs. Use para resposta a incidentes e ajuste. Alerte em hits críticos ou pico de bloqueios.
- Atualizações: Conjuntos de regras recebem atualizações para novos CVEs. Planeje teste e implantação para não quebrar a app.
- Desempenho: WAF adiciona latência. Meça e otimize; use WAF na borda quando possível.
Resumo
Um WAF inspeciona tráfego HTTP e bloqueia SQLi, XSS e outros padrões. Pode ser nuvem ou on-prem. Ajuste regras para evitar falsos positivos; use modo detect no rollout; registre e atualize regras regularmente.
