F5 GLOSSARY

WAF (Web Application Firewall)

WAFとは、Webアプリケーション ファイアウォールの略で、WebサーバやWebアプリケーションを、悪意のある攻撃から保護するための機器です。WebサーバやWebアプリケーションへの攻撃としては、以下のものが挙げられます。

  • クロスサイト スクリプティング
    攻撃対象となるWebアプリケーションの入力フォームに不正な文字列を混入し、不正なスクリプトを実行することで、セッション管理を行っているCookieの乗っ取り等を行います。 
  • SQLインジェクション
    攻撃対象となるWebアプリケーションの入力フォームに不正な文字列を混入し、バックエンドのデータベースを不正に操作します。 
  • パス トラバーサル(ディレクトリ トラバーサル)
    URLに不正なパスを指定し、本来であればアクセスされたくないファイル等に不正にアクセスします。 
  • Cookieポイズニング
    Webサーバから送られてきたCookieの内容を改ざんし、Webアプリケーションを不正に操作します。

これらの攻撃を回避するには、入力フォームのサニタイズやCookieの慎重な利用といったWebアプリケーションの改修や、Webサーバ設定の適正化が必要です。これらを全てのWebアプリケーションやWebサーバで行うのは、決して簡単ではありません。この問題を解決できるのがWAFです。Webサーバの前段にWAFを設置すれば、WAFの設定を行うだけで、全てのWebアプリケーションの保護が可能になるからです。F5ではこのようなWAFの機能を実装した製品として「F5 BIG-IP Application Security Manager」を提供しています。

関連情報

>Advanced WAF

>WAFとは~動画で徹底解説