Pular para o conteúdo
Rede e Acesso

O que é um WAF (firewall de aplicação web)?

Um WAF (firewall de aplicação web) é a camada de segurança que fica na frente de um site ou aplicação e inspeciona cada requisição web (HTTP e HTTPS) antes que ela chegue ao sistema, bloqueando os ataques que exploram a própria aplicação, como injeção de SQL e cross-site scripting. Diferente do firewall de rede, que controla a porta, o WAF entende a conversa da aplicação. É uma camada de defesa, não um substituto de corrigir o código.

Zamak TechnologiesAtualizado em 12 de julho de 2026

Como um WAF funciona

O WAF trabalha como um intermediário (proxy inverso) entre o visitante e a aplicação: toda requisição passa por ele antes de chegar ao servidor. Ele lê o conteúdo do tráfego web (parâmetros, cabeçalhos, formulários) e decide, a cada requisição, se libera, bloqueia ou registra, combinando padrões de ataque conhecidos (a lista de bloqueio) com regras do que a aplicação legitimamente aceita (a lista de permissão).

1

Intercepta a requisição

Fica na frente da aplicação como um porteiro: nenhuma requisição web chega ao sistema sem antes passar por ele e ser avaliada.

2

Lê o conteúdo, não só o endereço

Abre a requisição e examina os parâmetros, os cabeçalhos e o corpo do formulário, onde moram os ataques de aplicação que o firewall de rede não enxerga.

3

Compara com padrões e comportamento

Reconhece as assinaturas de ataques conhecidos (injeção de SQL, cross-site scripting) e sinaliza também o comportamento fora do normal, como uma enxurrada de requisições.

4

Bloqueia, libera ou registra

Aplica a política: barra a requisição maliciosa, deixa passar a legítima e guarda o registro, que é o que permite investigar depois o que foi tentado.

Fonte: Cyber Encyclopedia da N-able (definição, operação na camada de aplicação e os três modelos de WAF) e OWASP (relação com os riscos do Top 10, como injeção e cross-site scripting).

Por que ter um WAF não é o mesmo que estar protegido

  • O WAF filtra o tráfego da aplicação, mas não corrige a falha no código. Ele compra tempo contra uma vulnerabilidade; quem fecha o buraco de verdade é a correção no próprio software.
  • Uma credencial roubada entra pela porta da frente. Quando o atacante faz login como um usuário legítimo, o WAF vê uma sessão normal: 88% dos ataques básicos a aplicações web usam credenciais roubadas, e nenhum WAF barra um login válido.
  • Regras mal ajustadas custam nos dois sentidos. Frouxas demais, deixam o ataque passar; apertadas demais, bloqueiam o cliente real e geram a pressão para deixar o WAF só observando, modo em que ele registra e não impede.
  • O WAF entende o tráfego web, mas não a lógica do seu negócio. Um abuso automatizado por robôs, um ataque à API ou uma fraude que segue as regras da aplicação passam como uso legítimo e pedem defesas próprias.

Os tipos de WAF

  • Baseado em rede Um equipamento dedicado, instalado junto à infraestrutura. Entrega a menor latência, ao custo de hardware próprio e manutenção.
  • Baseado em host Software integrado à própria aplicação. Mais flexível e barato, mas consome recursos do servidor e se mistura ao ciclo de vida do sistema.
  • Na nuvem Entregue como serviço, à frente da aplicação. Sobe rápido, escala sozinho e costuma já incluir proteção contra sobrecarga (DDoS). É o modelo mais comum hoje.

Por que a aplicação web é o alvo

12%
das violações partem de ataques básicos a aplicações web, um dos padrões de maior volume (Verizon DBIR 2025)
88%
desses ataques a aplicações web usaram credenciais roubadas, contra o que nenhum WAF protege sozinho (Verizon DBIR 2025)
$ 4,44 mi
é o custo médio global de uma violação de dados (IBM, 2025)

A aplicação web é a vitrine da empresa e, por ficar exposta à internet o tempo todo, virou um dos alvos mais visados. Os ataques básicos a aplicações web originam 12% das violações (Verizon DBIR 2025), e a injeção segue entre os riscos mais críticos de aplicação no OWASP Top 10, justamente a classe que o WAF filtra. Mas o dado que redefine o papel do WAF é outro: 88% desses ataques usaram credenciais roubadas, ou seja, o criminoso não arromba a aplicação, ele entra logado. O WAF barra o exploit, não o login legítimo, e é por isso que ele vale como camada, nunca como muralha única. Com uma violação custando, em média, $ 4,44 milhões (IBM, 2025), a conta de deixar a aplicação sem essa camada, e sem a correção no código por trás dela, aparece rápido.

Como usar um WAF de forma eficaz

Um WAF entrega proteção real quando é ajustado e operado, não quando é apenas ligado:

  1. Comece protegendo, não só observandoUm WAF em modo de monitoramento registra o ataque e o deixa passar. O valor vem de colocá-lo em bloqueio, com as regras calibradas para não barrar o cliente real.
  2. Ajuste as regras à sua aplicaçãoCada aplicação tem o seu tráfego legítimo. Afinar a lista de permissão e a de bloqueio ao que o sistema de fato recebe é o que separa a proteção do falso positivo.
  3. Trate o WAF como camada, não como consertoEle ganha tempo contra uma vulnerabilidade, mas a falha continua no código. Use esse tempo para corrigir a raiz, não para adiar a correção sem prazo.
  4. Some ao WAF a defesa de credenciaisComo a maioria dos ataques entra logada, o WAF só protege de verdade ao lado de uma segunda verificação de identidade, além da senha, e do monitoramento de acessos.
  5. Monitore e reviseOs padrões de ataque mudam. Rever regras, acompanhar o que foi bloqueado e ajustar continuamente é o que mantém o WAF útil, e não um alarme silenciado.

Na prática

Um WAF em modo 'só observar' que nunca sai do lugar é um alarme desligado com a luz acesa: registra cada ataque que passa e não impede nenhum, e a empresa só descobre no dia do vazamento.

Como a Zamak trata a proteção da aplicação

A Zamak Technologies trata o WAF pelo que ele é, uma camada, e não uma promessa de segurança total: reforça a aplicação com o firewall de aplicação web ao lado da defesa de credenciais e do monitoramento, ao lado da sua equipe de desenvolvimento e não no lugar dela. Antes de tudo, um diagnóstico de cibersegurança mostra onde a aplicação e o acesso ainda estão expostos. Essa proteção faz parte da Cibersegurança gerenciada do Método Zamak.

Perguntas frequentes sobre WAF

WAF é o mesmo que firewall?
Não, e os dois se complementam. O firewall de rede controla as conexões que entram e saem, olhando endereço e porta; o WAF fica na frente da aplicação web e entende o conteúdo da requisição, para barrar ataques como injeção de SQL e cross-site scripting que o firewall de rede não enxerga. Um cuida da porta da rede, o outro da conversa da aplicação.
Contra o que um WAF protege?
Contra os ataques que exploram a própria aplicação web: injeção de SQL, cross-site scripting (XSS), falsificação de requisição, abuso de formulários e sobrecarga na camada de aplicação. É a classe de risco do OWASP Top 10 voltada à aplicação, que as defesas de rede não cobrem.
WAF substitui corrigir o código?
Não. O WAF filtra o ataque e ganha tempo, mas a vulnerabilidade continua no software até ser corrigida. Ele é a camada que protege enquanto a correção na origem não sai; tratá-lo como conserto definitivo é o erro que deixa a falha aberta.
WAF na nuvem ou próprio, qual escolher?
Depende de onde a aplicação vive e do time disponível. O WAF na nuvem sobe rápido, escala sozinho e costuma já trazer proteção contra sobrecarga; o baseado em rede ou em host dá mais controle, ao custo de hardware e manutenção. Para a maioria, faz sentido operá-lo como serviço.
O WAF para um ataque de credencial roubada?
Não, e esse é o seu limite. Quando o atacante entra com uma senha válida, o WAF vê uma sessão legítima. Como a maioria dos ataques a aplicações web usa credencial roubada, o WAF precisa vir junto com uma segunda verificação de identidade e o monitoramento de acesso.
Empresa pequena precisa de WAF?
Se tem uma aplicação ou site exposto à internet, sim. O tamanho não muda a exposição, muda o formato: para a maioria, o mais eficiente é ter o WAF operado como serviço, sem uma equipe de segurança dedicada internamente.