WAF Nedir 
Web Uygulamalarını Hedef Alan Saldırılara Karşı Son Hat
“Ağ kapısını kilitlemek yetmez; uygulamanın dilini de anlamak gerekir.”
— Ersan Karavelioğlu
WAF Nedir
WAF (Web Application Firewall), web uygulamalarına gelen HTTP/HTTPS trafiğini
uygulama katmanında (L7) inceleyen güvenlik katmanıdır.
Ağ firewall’larının göremediği uygulama mantığını okur.
Web’e özel tehditlere karşı
son savunma hattıdır.
Neden WAF’e İhtiyaç Duyulur
Modern saldırılar port değil
uygulama mantığını hedefler.
SQL sorguları, formlar, cookie’ler istismar edilir.
WAF, bu dili anlayan filtredir.
WAF Hangi Katmanda Çalışır
OSI Katman 7 (Application Layer).
URL, header, body, parametre analiz edilir.
“Bu istek ne yapmak istiyor?” sorusuna cevap arar.
Firewall ile WAF Arasındaki Fark
Network Firewall → IP, port, protokol
WAF → HTTP içeriği, uygulama davranışı
Biri yolu korur, diğeri kapının kilidini.
WAF Hangi Saldırıları Engeller
OWASP Top 10 başta olmak üzere:
- SQL Injection
- XSS
- CSRF
- File Inclusion
- Command Injection
Uygulama odaklı saldırılar filtrelenir.
İmza Tabanlı Koruma
Bilinen saldırı kalıplarıyla eşleşme yapılır.
Güncel imza yoksa risk artar.
Bakım ve güncelleme hayati önemdedir.
Davranışsal Analiz
Normal–anormal istek farkı izlenir.
Ani ve olağandışı davranışlar yakalanır.
Zero-day tehditlerde avantaj sağlar.
False Positive Riski
Meşru istekler yanlışlıkla engellenebilir.
“Learning / tuning” süreci şarttır.
Kör bloklama hizmet kesintisi yaratır.
WAF Konumlandırması
Reverse Proxy önünde
CDN / Cloud WAF
Sunucu üzerinde (host-based)
Konum, performans ve etkiyi belirler.
Cloud WAF vs On-Prem WAF
Cloud WAF:
- Kolay kurulum
- DDoS emilimi
- Hızlı güncelleme
On-Prem WAF:
- Tam kontrol
- Özelleştirme
- Donanım ihtiyacı
İhtiyaca göre seçilir.
WAF ve DDoS İlişkisi
WAF,
uygulama katmanı DDoS’larını filtreler.
Network DDoS için yeterli değildir.
Katmanlar birlikte çalışmalıdır.
WAF ve IDS/IPS
IDS görür,
IPS durdurur,
WAF uygulama özelinde
seçici durdurur.
Birbirini tamamlarlar.
SSL/TLS ve WAF
Trafiğin çözülebilmesi gerekir.
SSL termination noktası doğru seçilmelidir.
Aksi hâlde WAF kör kalır.
WAF Zero Trust’a Nasıl Uyar
Her isteği
ayrı ayrı değerlendirir.
Varsayıma değil içeriğe bakar.
Zero Trust’un uygulama katmanındaki karşılığıdır.
En Yaygın Yapılandırma Hataları
Varsayılan kurallarla bırakmak.
Logları incelememek.
WAF “kur ve unut” değildir.
Küçük Siteler İçin Gerekli mi
Evet.
Otomatik botlar küçük–büyük ayırmaz.
Küçük siteler daha kolay hedeftir.
WAF Ne Zaman Alarmdır
Sürekli bloklanan gerçek kullanıcılar.
Loglarda anormal yoğunluk.
Ayarların gözden geçirilmesi gerekir.
Yanlış Anlaşılan Nokta
WAF uygulama güvenliğini
tek başına sağlamaz.
Kod güvenliği, güncelleme ve yapılandırma şarttır.
WAF son hattır, ilk savunma değil.
Son Söz Uygulamanın Kalkanı
WAF, web uygulamasının
konuşma dilini anlayan koruyucudur.
Doğru ayarlandığında sessizce çalışır.
Ve modern web güvenliğinde vazgeçilmez bir son hattır.
“Uygulamayı korumak, yalnızca sunucuyu değil; niyeti de filtrelemektir.”
— Ersan Karavelioğlu
