Un firewall de aplicaciones web (WAF) ayuda a proteger las aplicaciones web al filtrar y monitorear el tráfico HTTP entre una aplicación web e Internet. Normalmente, protege las aplicaciones web de ataques tales como falsificaciones entre sitios, scripts entre sitios (XSS), inclusiones de archivos e inyecciones de código SQL, entre otros. El WAF es una defensa del protocolo de capa 7 (en el modelo OSI) y no está diseñado para defender de todos los tipos de ataques. Este método de mitigación de ataques suele formar parte de un paquete de herramientas que, en conjunto, crean una defensa integral contra una amplia gama de vectores de ataque.

Al desplegar un WAF en una aplicación web, se coloca un escudo entre la aplicación web e Internet. Si bien un servidor proxy protege la identidad del equipo del cliente por medio de un intermediario, un WAF es un tipo de proxy inverso que protege al servidor de los riesgos al hacer que los clientes atraviesen el WAF antes de llegar al servidor.

El WAF opera por medio de un conjunto de reglas, normalmente denominadas directivas. Estas directivas tienen el fin de proteger contra vulnerabilidades en la aplicación al filtrar el tráfico malicioso. El valor de un WAF procede, en parte, de la velocidad y facilidad con que se pueden aplicar modificaciones en las directivas que permiten una respuesta más rápida ante diversos vectores de ataque; durante un ataque DDoS, se puede implementar rápidamente la limitación de velocidad modificando las directivas del WAF.

¿Cuál es la diferencia entre los WAF basados en lista negra y los WAF basados en lista blanca?

Un WAF que opera basándose en una lista negra (modelo de seguridad negativa) protege de ataques conocidos. Un WAF de lista negra es como el guardia de seguridad de una discoteca al que se le indica que impida la entrada a invitados que no cumplan con el código de vestimenta. Por el contrario, un WAF basado en lista blanca (modelo de seguridad positiva) solo admite tráfico que haya sido aprobado previamente. Sería como el guardia de seguridad de una fiesta exclusiva que solo admite a las personas que se encuentran en la lista. Tanto la lista negra como la lista blanca tienen sus ventajas y desventajas, por lo que muchos WAF ofrecen un modelo de seguridad híbrido que implementa ambas.

¿Qué son los WAF basados en la red, basados en host y basados en la nube?

Un WAF puede implementarse de tres maneras, cada una con sus propias ventajas y desventajas:

• Un WAF basado en la red suele estar basado en un hardware. Al instalarse de forma local, reducen la latencia. Sin embargo, los WAF basados en la red son la opción más costosa y también requieren el almacenamiento y mantenimiento de equipos físicos.
• Un WAF basado en host puede estar totalmente integrado en el software de una aplicación. Esta solución es más barata que un WAF basado en la red y se puede personalizar con más facilidad. Pero un WAF basado en host también tiene desventajas, como el consumo de recursos del servidor local, la complejidad de la implementación y los costes de mantenimiento. Estos componentes suelen necesitar tiempo de ingeniería, y esto puede ser caro.
• Los WAF basados en la nube ofrecen una opción accesible que es muy fácil de implementar; suelen ofrecer una instalación lista para usar que es tan simple como aplicar un cambio en el DNS para redireccionar el tráfico. Los WAF basados en la nube también tienen un costo inicial mínimo, ya que los usuarios pagan mensual o anualmente por la seguridad como servicio. Los WAF basados en la nube también pueden ofrecer una solución que se actualiza constantemente para proteger de las amenazas más nuevas sin trabajo o costes adicionales para el usuario. La desventaja de un WAF basado en la nube es que los usuarios derivan la responsabilidad a un tercero, por lo que algunas funciones del WAF pueden representar un misterio para ellos. (Un WAF basado en la nube es un tipo de firewall en la nube; más información sobre los firewalls en la nube.)

PLESK PANEL Y CPANEL Ofrecen un WAF integrado en sus paneles enfocados a proteger el servidor LOCAL. Existen otras soluciones WAF ofrecidas por los CDNs. En elservidordeaplicaciones.com ofrecemos configuracion waf en todos los servicios ofrecidos: hosting, VPS Y Dedicado

Fuente: https://www.cloudflare.com/es-es/learning/ddos/glossary/web-application-firewall-waf/