{"id":8344,"date":"2020-12-28T09:12:15","date_gmt":"2020-12-28T09:12:15","guid":{"rendered":"https:\/\/hosteko.com\/blog\/?p=8344"},"modified":"2020-12-28T09:12:15","modified_gmt":"2020-12-28T09:12:15","slug":"mengenal-web-application-firewall","status":"publish","type":"post","link":"https:\/\/hosteko.com\/blog\/mengenal-web-application-firewall","title":{"rendered":"Mengenal Web Application Firewall"},"content":{"rendered":"

Pengertian WAF<\/strong><\/h1>\n

WAF (Web Application Firewall)<\/strong> adalah sebuah susunan filter yang berfungsi untuk menyaring, memonitor dan melakukan blocking terhadap data yang berasal dari client ke sebuah webserver. Web Application Firewall menganalisa lalu lintas HTTP untuk memutuskan apakah traffic yang masuk valid dan berupaya untuk mencegah serangan web seperti serangan DDoS, cross-site scripting (XSS) dan SQL Injection. Biasanya sering di anggap sebagai reverse proxy.<\/p>\n

Web Application Firewall difokuskan pada layer ke-7; Application layer dari OSI Model. Access Control diimplementasikan dengan menggunakan Access Control Lists sebagai rules untuk mengizinkan atau menolak traffic. WAF bisa datang dalam bentuk alat, server plugin, atau filter, dan mungkin disesuaikan dengan aplikasi. Upaya untuk melakukan kustomasi ini dapat menjadi signifikan dan perlu dijaga karena aplikasi tersebut di modifikasi.<\/p>\n

Meskipun nama untuk mode operasi ini mungkin berbeda, WAF pada dasarnya digunakan secara inline dalam tiga cara yang berbeda. Menurut NSS Labs, opsi penggunaan seperti transparent bridge, transparent reverse proxy, dan reverse proxy.<\/p>\n

“Transparent” mengacu pada fakta bahwa traffice HTTP dikirim langsung ke aplikasi web, oleh karena itu WAF transparan antara klien dan server. Hal ini berbeda dengan reverse proxy, dimana WAF bertindak sebagai proxy dan traffic klien dikirim langsung ke WAF. WAF kemudian secara terpisah mengirimkan traffic yang telah disaring ke aplikasi web. Hal ini bisa memberikan manfaat tambahan seperti masking IP namun juga bisa membawa kelemahan seperti latensi kinerja.<\/p>\n

Sejarah WAF<\/span><\/strong><\/h1>\n

Firewall aplikasi web khusus memasuki pasar pada akhir 1990-an pada saat serangan server web <\/span>menjadi lebih umum.<\/span><\/p>\n

Versi awal WAF dikembangkan oleh Perfecto Technologies dengan produk AppShield yang berfokus<\/span>\u00a0pada pasar e-niaga dan dilindungi dari entri karakter halaman web ilegal.\u00a0Pada tahun 2002, proyek open source ModSecurity<\/span>\u00a0dibentuk untuk membuat teknologi WAF lebih mudah diakses.\u00a0Mereka menyelesaikan aturan inti yang ditetapkan untuk melindungi aplikasi web, berdasarkan pekerjaan kerentanan Komite Teknis Keamanan Aplikasi Web (WAS TC) OASIS.\u00a0Pada tahun 2003, mereka memperluas dan menstandarkan aturan melalui Proyek Keamanan Aplikasi Web Terbuka <\/span>Daftar 10 Teratas (OWASP), peringkat tahunan untuk kerentanan keamanan web.\u00a0Daftar ini akan menjadi standar industri untuk kepatuhan keamanan aplikasi web.<\/span><\/sup><\/p>\n

Sejak saat itu, pasar terus tumbuh dan berkembang, terutama berfokus pada\u00a0pencegahan penipuan kartu kredit. <\/span>Dengan pengembangan Standar Keamanan Data Industri Kartu Pembayaran <\/span>(PCI DSS), sebuah standarisasi kontrol atas data pemegang kartu, keamanan menjadi lebih diatur di sektor ini.\u00a0Menurut Majalah CISO, pasar WAF diharapkan tumbuh menjadi $ 5,48 miliar pada tahun 2022.<\/span><\/p>\n

Vendor WAF Commercial<\/strong><\/h1>\n

\"\"<\/p>\n

Banyak penyedia WAF komersil yang menawarkan fitur-fitur yang hampir sama, tetapi memiliki perbedaan dasar seperti user interface, deployment option, atau kebutuhan didalam lingkungan yang spesifik.<\/p>\n