O que é um WAF (firewall de aplicação web)?
Um WAF (firewall de aplicação web) é a camada de segurança que fica na frente de um site ou aplicação e inspeciona cada requisição web (HTTP e HTTPS) antes que ela chegue ao sistema, bloqueando os ataques que exploram a própria aplicação, como injeção de SQL e cross-site scripting. Diferente do firewall de rede, que controla a porta, o WAF entende a conversa da aplicação. É uma camada de defesa, não um substituto de corrigir o código.
Como um WAF funciona
O WAF trabalha como um intermediário (proxy inverso) entre o visitante e a aplicação: toda requisição passa por ele antes de chegar ao servidor. Ele lê o conteúdo do tráfego web (parâmetros, cabeçalhos, formulários) e decide, a cada requisição, se libera, bloqueia ou registra, combinando padrões de ataque conhecidos (a lista de bloqueio) com regras do que a aplicação legitimamente aceita (a lista de permissão).
Intercepta a requisição
Fica na frente da aplicação como um porteiro: nenhuma requisição web chega ao sistema sem antes passar por ele e ser avaliada.
Lê o conteúdo, não só o endereço
Abre a requisição e examina os parâmetros, os cabeçalhos e o corpo do formulário, onde moram os ataques de aplicação que o firewall de rede não enxerga.
Compara com padrões e comportamento
Reconhece as assinaturas de ataques conhecidos (injeção de SQL, cross-site scripting) e sinaliza também o comportamento fora do normal, como uma enxurrada de requisições.
Bloqueia, libera ou registra
Aplica a política: barra a requisição maliciosa, deixa passar a legítima e guarda o registro, que é o que permite investigar depois o que foi tentado.
Fonte: Cyber Encyclopedia da N-able (definição, operação na camada de aplicação e os três modelos de WAF) e OWASP (relação com os riscos do Top 10, como injeção e cross-site scripting).
Por que ter um WAF não é o mesmo que estar protegido
- O WAF filtra o tráfego da aplicação, mas não corrige a falha no código. Ele compra tempo contra uma vulnerabilidade; quem fecha o buraco de verdade é a correção no próprio software.
- Uma credencial roubada entra pela porta da frente. Quando o atacante faz login como um usuário legítimo, o WAF vê uma sessão normal: 88% dos ataques básicos a aplicações web usam credenciais roubadas, e nenhum WAF barra um login válido.
- Regras mal ajustadas custam nos dois sentidos. Frouxas demais, deixam o ataque passar; apertadas demais, bloqueiam o cliente real e geram a pressão para deixar o WAF só observando, modo em que ele registra e não impede.
- O WAF entende o tráfego web, mas não a lógica do seu negócio. Um abuso automatizado por robôs, um ataque à API ou uma fraude que segue as regras da aplicação passam como uso legítimo e pedem defesas próprias.
Os tipos de WAF
- Baseado em rede Um equipamento dedicado, instalado junto à infraestrutura. Entrega a menor latência, ao custo de hardware próprio e manutenção.
- Baseado em host Software integrado à própria aplicação. Mais flexível e barato, mas consome recursos do servidor e se mistura ao ciclo de vida do sistema.
- Na nuvem Entregue como serviço, à frente da aplicação. Sobe rápido, escala sozinho e costuma já incluir proteção contra sobrecarga (DDoS). É o modelo mais comum hoje.
Por que a aplicação web é o alvo
A aplicação web é a vitrine da empresa e, por ficar exposta à internet o tempo todo, virou um dos alvos mais visados. Os ataques básicos a aplicações web originam 12% das violações (Verizon DBIR 2025), e a injeção segue entre os riscos mais críticos de aplicação no OWASP Top 10, justamente a classe que o WAF filtra. Mas o dado que redefine o papel do WAF é outro: 88% desses ataques usaram credenciais roubadas, ou seja, o criminoso não arromba a aplicação, ele entra logado. O WAF barra o exploit, não o login legítimo, e é por isso que ele vale como camada, nunca como muralha única. Com uma violação custando, em média, $ 4,44 milhões (IBM, 2025), a conta de deixar a aplicação sem essa camada, e sem a correção no código por trás dela, aparece rápido.
Como usar um WAF de forma eficaz
Um WAF entrega proteção real quando é ajustado e operado, não quando é apenas ligado:
- Comece protegendo, não só observandoUm WAF em modo de monitoramento registra o ataque e o deixa passar. O valor vem de colocá-lo em bloqueio, com as regras calibradas para não barrar o cliente real.
- Ajuste as regras à sua aplicaçãoCada aplicação tem o seu tráfego legítimo. Afinar a lista de permissão e a de bloqueio ao que o sistema de fato recebe é o que separa a proteção do falso positivo.
- Trate o WAF como camada, não como consertoEle ganha tempo contra uma vulnerabilidade, mas a falha continua no código. Use esse tempo para corrigir a raiz, não para adiar a correção sem prazo.
- Some ao WAF a defesa de credenciaisComo a maioria dos ataques entra logada, o WAF só protege de verdade ao lado de uma segunda verificação de identidade, além da senha, e do monitoramento de acessos.
- Monitore e reviseOs padrões de ataque mudam. Rever regras, acompanhar o que foi bloqueado e ajustar continuamente é o que mantém o WAF útil, e não um alarme silenciado.
Na prática
Um WAF em modo 'só observar' que nunca sai do lugar é um alarme desligado com a luz acesa: registra cada ataque que passa e não impede nenhum, e a empresa só descobre no dia do vazamento.
Como a Zamak trata a proteção da aplicação
A Zamak Technologies trata o WAF pelo que ele é, uma camada, e não uma promessa de segurança total: reforça a aplicação com o firewall de aplicação web ao lado da defesa de credenciais e do monitoramento, ao lado da sua equipe de desenvolvimento e não no lugar dela. Antes de tudo, um diagnóstico de cibersegurança mostra onde a aplicação e o acesso ainda estão expostos. Essa proteção faz parte da Cibersegurança gerenciada do Método Zamak.