Webアプリケーションファイアウォール(WAF)は、Web対応アプリケーションの前にあって悪質な各種攻撃を検出し、それらを防御するハードウェアアプライアンス、仮想アプライアンス、またはクラウドベースのサービスを指します。WAFはWebアプリケーションのトラフィック(HTTP/S)に焦点を当て、ネットワーク上でインターネットに接続する部分にあるアプリケーションを防御します。
WAFは、振る舞いアルゴリズム(機械学習やポジティブセキュリティモデル)、またはネガティブセキュリティモデルなど多くの技術を用いて、アプリケーションへのトラフィックを許可すべきか、あるいはブロックすべきかを判断します。
WAFはスタンドアロンのツールから、完全に統合されたWeb Application and API Protection(WAAP)サービスへと移行しつつあります。これには、APIの防御、ボット管理および防御機能、アプリケーションレイヤ7 DDoS防御、Webアプリケーションセキュリティなどのサービスが含まれます。
不正侵入防止システム(IPS)は、ネットワークを戦略的なポイントごとに監視し、悪意のあるアクティビティをスキャンして、構成に従って悪意のあるトラフィックを報告、ブロック、もしくは遮断するネットワークセキュリティデバイスです。IPSは通常WAFの前、ネットワーク内のファイアウォールの後ろに展開されます。
IPSは、 WAF/WAAPソリューションを補完するもので、通常は併せて実装されます。WAFの実装はWebアプリケーションのトラフィックを防御する一方、IPSの実装はすべてのパケットを検査することで、ネットワークレベルでスキャンと防御を行います。IPSは主に受信トラフィックにインラインで実装され、ほとんどのネットワークプロトコル内の脅威をスキャンし、OSIレイヤ4-7で動作します。通常、WAFとWAAPソリューションは受信トラフィック向けにIPSの後ろに実装され、OSIレイヤ-7でアプリケーションに対する脅威をスキャンします。
比較表:WAFとIPS
| |
WAF |
IPS |
| 機能 |
レイヤ-7攻撃からWebアプリケーションを防御 |
ネットワークの保護 |
| 範囲 |
OSIレイヤ7のセッション |
OSIレイヤ 4~7のパケット |
| プロトコル |
HTTP/HTTPS |
ネットワークプロトコル |
| 実装 |
インラインまたはアウトオブパス |
主にインライン |
| 暗号化/復号化 |
SSL/TLSに対応 |
非対応 |
| 実装 |
インラインまたはアウトオブパス |
インライン |
その他のリソース