WAF

Eş anlamlılar: Web Application Firewall

WAF (Web Application Firewall), web uygulamalarını SQL injection, XSS, CSRF, path traversal gibi uygulama seviyesi saldırılardan koruyan güvenlik katmanıdır. HTTP trafiğini analiz eder, zararlı istekleri filtreler. ModSecurity, Cloudflare WAF, Imperva yaygın çözümlerdir.

WAF Nedir?

WAF (Web Application Firewall — Web Uygulama Güvenlik Duvarı), HTTP/HTTPS trafiğini uygulama katmanında (Layer 7) analiz eden, SQL injection, XSS, CSRF, LFI/RFI, komut injection gibi web uygulama saldırılarını filtreleyen güvenlik sistemidir. Geleneksel network firewall'lardan (Layer 3/4) farklı olarak HTTP istek içeriğini inceleyebilir.

WAF Neyi Engeller?

  • SQL Injection: ' OR 1=1-- gibi girdiler
  • XSS (Cross-Site Scripting): <script> enjeksiyonu
  • CSRF: Cross-site istek sahteciliği
  • LFI/RFI (File Inclusion): ../etc/passwd
  • Command Injection: ;rm -rf /
  • XXE (XML External Entity)
  • Session Hijacking
  • Bot saldırıları ve scraping
  • Zero-day saldırılar (imza bazlı)

WAF Türleri

1. Network-Based WAF

Donanım tabanlı, düşük latency. Büyük kurumsal kullanım. Imperva, F5, Barracuda.

2. Host-Based WAF

Sunucuda modül olarak çalışır. ModSecurity (Apache, NGINX, LiteSpeed modülü) en yaygın örnek.

3. Cloud-Based WAF

Trafiği CDN gibi yönlendirir, edge'de filtreler. Cloudflare WAF, AWS WAF, Akamai Kona.

ModSecurity

Açık kaynak en yaygın WAF motoru. Apache, NGINX ve LiteSpeed'de modül olarak çalışır. OWASP Core Rule Set (CRS) ile birlikte kullanılır — 2000+ kural içerir. cPanel ve Plesk'te yerleşik entegrasyon vardır.

OWASP CRS (Core Rule Set)

OWASP tarafından sürekli güncellenen, en yaygın web saldırılarına karşı ücretsiz kural setidir. Paranoia seviyeleri:

  • PL1: Temel koruma, düşük false positive
  • PL2: Standart koruma
  • PL3: Sıkı koruma, orta false positive
  • PL4: Paranoyak, yüksek false positive

WAF Deployment Modları

  • Detection Only: Sadece log, bloklamaz
  • Blocking: Zararlı istekleri engeller
  • Challenge: CAPTCHA, bot challenge

Popüler WAF Çözümleri

Cloudflare WAF

  • Ücretsiz planda temel kurallar
  • Pro planda OWASP + Cloudflare Managed Rules
  • Business planda özel kurallar
  • Rate limiting entegre

AWS WAF

  • CloudFront/ALB ile entegre
  • AWS Managed Rules
  • Bot Control eklentisi
  • Custom rules ile özelleştirme

Imunify360

  • CloudLinux ürünü
  • cPanel/Plesk/DirectAdmin entegrasyonu
  • ModSecurity + malware scanner + brute force koruması
  • AI tabanlı davranış analizi

Sucuri

  • WordPress'e özel güçlü
  • Malware temizleme dahil
  • DDoS koruma

WAF Yapılandırma İpuçları

  • İlk deployment detection-only modda
  • False positive'leri analiz et
  • Whitelist kuralları ekle
  • Paranoia level'ı adım adım artır
  • Kritik admin IP'leri bypass'a koy
  • Logları SIEM'e gönder

WAF Sınırlamaları

  • Zero-day saldırılar (imza yoksa)
  • False positive — meşru trafiği bloklama
  • Encrypted malware — SSL termination olmadan görmez
  • Logic flaw'lar — uygulama mantığı hatalarını görmez

MeoHost ve WAF

MeoHost tüm hosting paketlerinde ModSecurity + OWASP CRS yerleşiktir. Premium hosting paketlerinde Imunify360 eklenir — 7/24 güvenlik izleme, malware scanner ve davranış bazlı koruma sağlar. Cloudflare entegrasyonu ile edge'de ek WAF katmanı yapılandırılabilir.

İlgili Terimler