Me preguntaba por qué exactamente los firewalls de filtro de paquetes simples no son suficientes para la protección de aplicaciones web.
Un simple servidor de seguridad de filtro de paquetes solo puede filtrar criterios basados en paquetes, como la dirección IP de origen y el número de puerto de destino (por ejemplo, 80 y 443). Pero un paquete de firewall de filtro de paquetes puede permitir un paquete de una dirección IP de origen confiable (por ejemplo, un host de intranet) y destinado al puerto 80 (http) en el servidor web. Sin embargo, ese paquete (bueno, esa serie de paquetes) aún puede contener datos maliciosos, como los caracteres de entrada de formulario que conforman un ataque de inyección SQL contra la aplicación web.
Un simple servidor de seguridad de filtro de paquetes puede no ser necesariamente un estado, lo que significa que no puede mirar la conversación, no solo los paquetes individuales. Además, estos dispositivos no suelen ser lo suficientemente complejos para tratar con datos de aplicaciones (TCP / IP Layer 5) y datos específicos. Puede usar un servidor de seguridad de nivel de red para filtrar y bloquear los ataques de red, pero un servidor de seguridad de aplicación web está diseñado para tratar mejor los detalles de las solicitudes HTTP en la capa de aplicación. El uso de un firewall de capa 3 con estado con un firewall de aplicación web sería una buena combinación.
Lea otras preguntas en las etiquetas web-application firewalls