웹 방화벽(Web Application Firewall - WAF)

* 웹 방화벽 : 웹 트래픽을 검사, 악의적 웹 트래픽을 차단하는 방화벽

 

 

 

* 웹 방화벽 검사 유형

1) BoF (Buffer over Flow) : 애플리케이션의 접근 제어 및 권한 탈취를 위한 공격

2) SQL Injection : 얻을 수 없는 데이터의 조회를 수행

3) XSS (Cross Site Scripting) : 스크립트 수행을 통해 정보를 유출

등등...

4) 개인정보 : 신용카드 정보, 주민등록번호, 핸드폰 번호 등의 내부에서 유출이 가능한 주요 정보

 

 

 

* FW / WAF 차이

구분	비교 항목	방화벽	웹 방화벽
탐지 영역	네트워크 (OSI L3 ~ L4)	O	X
	애플리케이션 (OSI L7)	X	O
보호 대상	로컬 클라이언트	O	X
	웹 서버(공개/애플리케이션)	X	O

- FW과 다르게 패킷의 페이로드(Payload, 내용)을 직접확인, SSL 복호화(Offloading)을 통한 HTTPS 트래픽 복호화 가능