ハク
WAFっているのかな?サーバ直接アクセスのほうが通信速いよね?
レイ
それでは悪意ある攻撃も通してしまいます。
そのため、WAFが必要なのです。
WAFとは?
WAF(Web Application Firewall)とは、
Webアプリケーションを攻撃から守るための仕組みです。
代表的な攻撃:
- SQLインジェクション
→Webアプリケーション上で、不正なSQL文を実行することで、データベースを改ざんしたり、不正にデータを取得したりする攻撃。
- クロスサイトスクリプティング(XSS)
→第三者が悪意あるスクリプトをフォームに埋め込むことでデータを盗み出す攻撃
WAFの設置場所(ここが超重要)
👉 結論
WAFはWebサーバの前に設置する
なぜこの場所に置くの?
理由はシンプルです。
👉 攻撃をサーバに届く前に止めるため
もしWAFがなければ
→ 攻撃がそのままサーバに到達してしまいます。
イメージで理解する
- WAF:門番(入口でチェック)
- Webサーバ:建物の中
👉 怪しい人は入口で止める
他のセキュリティとの違い
| 種類 | 守る範囲 | 設置場所 |
|---|---|---|
| WAF | Webアプリ | Webサーバの前 |
| ファイアウォール | ネットワーク | 外と内の境界 |
| IDS/IPS | 通信監視 | ネットワーク内 |
◆ IDS / IPS
- IDS:検知だけ
- IPS:防御まで
試験でのポイント
- WAF → Webサーバの前
- 役割 → Web攻撃の防御
- リバースプロキシとして動作
■ まとめ
WAFは
- Webアプリを守る
- Webサーバの前に置く
- 攻撃を事前にブロックする
👉 **「Webの前で守る」**と覚えればOKです
コメント