WAF
Firewall específico para webs: filtra ataques (SQL injection, XSS, bots) antes de que lleguen a tu aplicación.
Qué es WAF
Un WAF (Web Application Firewall) protege aplicaciones web filtrando, monitorizando y bloqueando tráfico malicioso. Detecta ataques OWASP Top 10, bots, scrapers y abusos.
Cómo funciona
Se sitúa entre Internet y tu app. Inspecciona requests HTTP. Aplica reglas: signatures de ataques conocidos, rate limiting, geoblock, machine learning. Bloquea o desafía sospechosos.
Cuándo usarlo
Esencial para aplicaciones expuestas. Cloudflare WAF (gratis básico, premium 20€/mes/sitio). AWS WAF, Sucuri, Imperva para enterprise. Si tu hosting no incluye, añadir es buena práctica.
Datos curiosos
- Cloudflare bloquea diariamente miles de millones de ataques con su WAF.
- OWASP CRS (Core Rule Set) es el conjunto de reglas WAF más usado open source.
- Bot management es ya parte de WAFs modernos.
Preguntas frecuentes
¿Necesito uno?
Cualquier app con login o formularios sí. Para blogs estáticos menos crítico.
¿Vs firewall normal?
Firewall trabaja en capas red. WAF en capa aplicación HTTP, entendiendo contexto web.
¿Frena tráfico legítimo?
A veces falsos positivos. Por eso hay modos "monitor" y "block" y reglas ajustables.