Xəbər 06 Apr 2026

Web Application Firewall (WAF) nədir və necə işləyir?

WAF (Web Application Firewall) - saytınıza gələn sorğuları yoxlayıb zərərli olanları bloklayan təhlükəsizlik təbəqəsidir. Network firewall trafik səviyyəsində, WAF isə HTTP sorğu məzmunu səviyyəsində işləyir.

Network firewall vs WAF

Network firewall

Layer 3-4 (TCP/IP). Portları açıb-bağlayır, IP-ləri filter edir. SQL injection-u görmür - bütün HTTPS trafik eyni görsənir.

WAF

Layer 7 (HTTP application). HTTP sorğusunun içinə baxır - URL, parametrlər, headers, body - hər birində zərərli pattern axtarır.

WAF nəyə qarşı qoruyur?

  • OWASP Top 10: SQL injection, XSS, CSRF
  • Brute force: rate limiting
  • Bot trafiki: avtomatik tap-ma
  • DDoS qoruması: kimi sənət yoxsa rate-limit
  • Zero-day: bilinməyən hücumlar üçün anomaly detection

WAF növləri

Network-based WAF

Hardware appliance - şirkət data center-də. Bahalıdır (10K+ USD), böyük korporativ.

Host-based WAF

Server-də quraşdırılır. ModSecurity ən populyar açıq mənbə host-based WAF.

Cloud-based WAF

Cloudflare, AWS WAF, Sucuri - sorğu serverə çatmadan əvvəl edge-də süzür.

ModSecurity necə işləyir?

Apache, Nginx, LiteSpeed-də modul olaraq quraşdırılır. OWASP Core Rule Set (CRS) - 1000+ qayda ilə standart hücumları aşkar edir.

Rule nümunəsi

SecRule REQUEST_URI "@rx (?:select|union|drop|insert)\s*\(" \
"id:1001, phase:2, deny, status:403, msg:SQL Injection attempt"

Cloudflare WAF

Free plan

Əsas DDoS qoruması + basic bot filtering. SSL/TLS pulsuz.

Pro plan ($20/ay)

OWASP rule set + custom firewall rules. WordPress üçün hazır şablonlar.

Business plan ($200/ay)Advanced bot management, image optimization, lossless streaming.

WAF false positive problemi

WAF bəzən normal istifadəçi trafiki də zərərli olaraq qəbul edə bilər. Məsələn, yaxşı niyyətli developer testləri.

Necə həll etmək?

WAF log-larında false positive-ləri tap, müvafiq qaydanı disable və ya exception əlavə et.

Hostinq.az-da WAF

Bütün hosting paketlərində server səviyyəsində ModSecurity OWASP CRS aktivdir - heç bir əlavə qonfiqurasiyaya ehtiyac yoxdur. Cloudflare DNS də pulsuz istifadə edilə bilər - extra qat.

WordPress-də WAF plagini

Wordfence

Plagin səviyyəsində - WordPress xüsusi qaydalar. Pulsuz versiya əksər saytlar üçün kifayətdir.

Sucuri

Cloud + plagin birləşməsi. Pro vəzifəli olduğunuz zaman seçilir.

WAF-ı necə test etmək?

OWASP ZAP, Burp Suite ilə öz saytınıza test attack edin - WAF onları bloklamalıdır.

Hostinq.az hosting - ModSecurity + isteklə Cloudflare WAF birgə qoruma.

Paylaş: