← Blog
Guvenlik8 dk okumaMegis

Web Application Firewall: WAF ile Uygulama Koruma

Web Application Firewall kullanarak uygulamalarinizi kotu amacli trafige karsi koruyun.

WAF (Web Application Firewall) Nedir?

Web Application Firewall (WAF), web uygulamalarinizi HTTP/HTTPS trafigiini filtreleyerek kotu niyetli isteklere karsi koruyan bir guvenlik katmanidir. Geleneksel ag guvenligi duvarlari (network firewall) IP adresi ve port bazinda filtreleme yaparken, WAF uygulama katmaninda (OSI modeli 7. katman) calisarak istek icerigini analiz eder. SQL injection, cross-site scripting (XSS), dosya dahil etme (file inclusion) ve diger web uygulamasi saldirilarina karsi gercek zamanli koruma saglar.

2026 yilinda web uygulamalarina yonelik saldirilarin sayisi ve karmasikligi her gecen gun artmaktadir. OWASP verilerine gore, her uc web uygulamasindan biri en az bir kritik guvenlik acigi barindirmaktadir. WAF, bu aciklarin istismar edilmesini engelleyen onemli bir savunma katmani olarak modern guvenlik mimarisinin vazgecilmez bir parcasidir. Bu rehberde WAF'in calisma prensiplerini, onde gelen cozumleri, kural setlerini ve yapilandirma en iyi uygulamalarini detayli sekilde inceleyecegiz.

WAF Nasil Calisir?

WAF, web sunucunuzun onune yerlestirilen bir ters proxy (reverse proxy) olarak calisir. Gelen her HTTP/HTTPS istegi once WAF tarafindan incelenir ve tanimli kurallara gore degerlendiirilir. Uc temel calisma modeli vardir:

  • Negatif Guvenlik Modeli (Kara Liste): Bilinen saldiri kaliplarini tanimlayan imza tabanli kurallar kullanir. Bir istek bilinen bir saldiri kalibina uyuyorsa engellenir. Hizli kurulum avantajina sahiptir ancak bilinmeyen (zero-day) saldirilara karsi sinirlidir.
  • Pozitif Guvenlik Modeli (Beyaz Liste): Yalnizca tanimlanmis gecerli istek kaliplarini kabul eder; geri kalan her seyi reddeder. Daha guclu koruma saglar ancak dogru yapilandirmak daha fazla caba gerektirir ve yanlis pozitif orani yuksek olabilir.
  • Hibrit Model: Her iki yaklasimi birlestirerek hem bilinen saldirilari engeller hem de anormal davranislari tespit eder. Modern WAF cozumlerinin cogu bu yaklasimi benimser.

Modern WAF'lar ayrica makine ogrenimi ve davranissal analiz teknikleri kullanarak normal trafik kaliplarini ogrenir ve anormallikleri otomatik olarak tespit eder. Bu sayede imza tabanlari guncellemelerine bagimlilik azalir ve sifirinci gun saldirilarina karsi daha etkin koruma saglanir.

WAF Dagitim Modelleri

WAF cozumleri farkli dagitim modellerinde sunulur. Her modelin kendine ozgu avantajlari ve kullanim senaryolari vardir:

  • Bulut Tabanli WAF: SaaS olarak sunulur; altyapi yonetimi gerektirmez. DNS kayitlarinizi degistirerek trafigi WAF uzerinden yonlendirirsiniz. Hizli kurulum, otomatik guncelleme ve olceklenebilirlik avantajlari sunar. Cloudflare WAF ve AWS WAF bu kategoridedir.
  • Yerel (On-Premise) WAF: Fiziksel veya sanal bir cihaz olarak kendi altyapinizda calisir. Tam kontrol saglar ancak bakim ve guncelleme sorumlulugu size aittir. ModSecurity bu kategoride populer bir acik kaynak cozumdur.
  • Sunucu Tabanli WAF: Web sunucusuna modul olarak yuklenir (ornegin ModSecurity + Apache/Nginx). Ek donanim gerektirmez ancak sunucu kaynaklarini paylar.

Cloudflare WAF

Cloudflare WAF, dunyanin en yaygin kullanilan bulut tabanli WAF cozumlerinden biridir. Cloudflare'in global CDN agi uzerinde calisarak hem guvenlik hem de performans avantaji saglar.

  • Yonetilen Kurallar (Managed Rules): Cloudflare'in guvenlik ekibi tarafindan surekli guncellenen hazir kural setleri. OWASP Core Rule Set, Cloudflare Managed Ruleset ve Cloudflare OWASP Core Ruleset olarak uc ana kategoride sunulur.
  • Ozel Kurallar (Custom Rules): Is mantinginiza ozgu kurallar olusturabilirsiniz. IP adresi, ulke, URI, kullanici ajansi, istek metodu ve daha bircogu kosul olarak kullanilabilir.
  • Rate Limiting: Belirli kaliplardaki asorili istekleri otomatik olarak sinirlar veya engeller.
  • Bot Yonetimi: Iyi botlari (arama motoru tarayicilari) kotu botlardan ayirt ederek yalnizca kotu niyetli bot trafigini engeller.
  • DDoS Korumasi: Katman 3, 4 ve 7 DDoS saldirilarina karsi otomatik koruma saglar.
  • Yapilandirma: Cloudflare panosu uzerinden veya Terraform, API ve Cloudflare Rules Language kullanilarak yapilandirilir. Kurallari once "Log" modunda calistirarak yanlis pozitifleri tespit edin, ardindan "Block" moduna gecin.

AWS WAF

AWS WAF, Amazon Web Services ekosisteminde calisan uygulamalar icin tasarlanmis bir WAF cozumudur. CloudFront, Application Load Balancer (ALB), API Gateway ve AppSync ile entegre calisir.

  • Web ACL (Access Control List): Kurallarin gruplanip onceliklendirildi temel yapilandirma birlmidir. Her Web ACL bir veya daha fazla kural grubu icerir.
  • AWS Managed Rule Groups: AWS tarafindan yonetilen hazir kural gruplari. Core Rule Set, SQL Database Rule Set, Known Bad Inputs ve diger kategorilerde sunulur.
  • AWS Marketplace Kurallari: Fortinet, F5, Imperva gibi ucuncu parti saglayicilarin kural setlerini AWS Marketplace uzerinden satin alabilirsiniz.
  • IP Set ve Regex Pattern Set: IP adreslerini veya regex kaliplarini kural kosullari olarak tanimlayabilirsiniz.
  • Olcum ve Loglama: CloudWatch metrikleri, Kinesis Firehose veya S3 uzerinden detayli loglama. WAF loglarini Amazon Athena ile sorgulayarak saldiri kaliplarini analiz edebilirsiniz.
  • Maliyet modeli: Kullandiginiz kadar odeyin modeli ile calisir. Web ACL, kural ve istek sayisina gore faturalanir.

OWASP Core Rule Set (CRS)

OWASP CRS, WAF'lar icin gelistirilmis acik kaynakli ve jenerik bir kural setidir. Web uygulamalarindaki en yaygin saldiri vektorlerine karsi koruma saglar. ModSecurity, Cloudflare, AWS WAF ve diger bircogu WAF cozumu OWASP CRS'yi destekler.

OWASP CRS'nin korudugu temel saldiri kategorileri:

KategoriAciklamaOrnek Saldiri
SQL InjectionVeritabani sorgularina kotu niyetli kod enjeksiyonu' OR 1=1 --
XSSSayfaya kotu niyetli script enjeksiyonu<script>alert(1)</script>
LFI/RFIYerel/uzak dosya dahil etme saldirilari../../etc/passwd
RCEUzaktan komut calistirmaIsletim sistemi komut enjeksiyonu
Session FixationOturum sabitleme saldirilariOturum kimligini zorlama
Scanner DetectionOtomatik tarama aracllarini tespit etmeNikto, SQLMap imzalari
Protocol AttackHTTP protokol ihlalleriHTTP request smuggling

OWASP CRS, Paranoia Seviyesi (1-4) kavrami ile calisiir. Seviye 1 en az yanlis pozitifle temel koruma saglarken, seviye 4 en katii kontrolleri uygular ancak yanlis pozitif orani artar. Cogu uygulama icin seviye 1 veya 2 ile baslamak onerilir.

WAF Yapilandirma En Iyi Uygulamalari

WAF'inizi etkili bir sekilde yapilandirmak icin asagidaki adimlari takip edin:

  1. Izleme modu ile baslayin: Kurallari engelleme moduna almadan once "detection only" veya "log" modunda calistirin. Gercek trafiginizi analiz ederek yanlis pozitifleri tespit edin.
  2. Yanlis pozitif analizi yapin: Engellenen mesu istekleri inceleyin. Ozellikle dosya yukleme, zengin metin editoru ve API endpoint'leri yanlis pozitife duyarli alanlardir. Bu alanlar icin kural istisnalari (exclusion) tanimlayin.
  3. Kurallari kademeli olarak etkinlestirin: Tum kurallari ayni anda aktif etmek yerine kategori bazinda kademeli olarak etkinlestirin. Her asamada trafiigi izleyin.
  4. Ozel kurallar olusturun: Is mantinginiza ozgu kurallar ekleyin. Ornegin belirli ulkelerden gelen trafigi kisitlama, belirli URL kaliplarini koruma veya belirli kullanici ajanllarini engelleme.
  5. Beyaz listeler tanimlayin: Guvenilen IP adresleri (ofis IP'leri, is ortaklari, odeme saglayicilari) icin beyaz liste olusturun. Ancak beyaz listeyi mumkun oldugunca dar tutun.
  6. Duzenli guncelleme yapin: Yonetilen kural setlerini duzenli olarak guncelleyin. Yeni saldiri vektorleri surekli kesfedilmektedir.
  7. Loglari analiz edin: WAF loglarini SIEM sisteminize aktarin ve duzenli olarak analiz edin. Saldiri kaliplarini, kaynak IP'leri ve hedeflenen endpoint'leri izleyin.
  8. Performans etkisini olicun: WAF'in ekledi gecikmeyi (latency) izleyin. Ozellikle yuksek trafikli uygulamalarda performans etkisini minimize etmek icin kural sayisini ve karmasikligini optimize edin.

WAF ile Korunamayacak Durumlar

WAF guclu bir guvenlik katmani olsa da tek basina tum tehditleri onleyemez. Asagidaki durumlarda ek onlemler gerekir:

  • Is mantigi aciklari: WAF, uygulamanizin is mantigindaki hatalari tespit edemez. Ornegin yetkisiz fiyat degisikligi veya kupon kotu kullanimi gibi senaryolar uygulama katmaninda ele alinmalidir.
  • Kimlik bilgisi doldurma (Credential Stuffing): Gecerli kullanici adi ve sifre ciffleriyle yapilan otomatik giris denemeleri, WAF tarafindan zorlukla tespit edilebilir. Rate limiting ve cok faktorlu dogrulama (MFA) ile desteklenmelidir.
  • Sifrelenmis saldirilar: End-to-end sifrelenmis trafik icindeki saldirilar, WAF tarafindan incelenemez. TLS sonlandirma noktasi WAF'in onunde olmalidir.
  • Iceriden gelen tehditler: WAF dis kaynaklardan gelen saldirilara odaklanir. Ic tehditler icin erisim kontrolu, loglama ve davranissal analiz gerekir.

Sonuc:WAF, web uygulamalarinizin guvenlik mimarisinde kritik bir katmandir ancak tek basina yeterli degildir. WAF'i guvenli kodlama pratikleri, duzenli guvenlik taramalari, penetrasyon testleri ve guvenlik farkindaliigi egitimleri ile birlestirerek derinlemesine bir savunma stratejisi olusturun. Dogru yapilandirilmis bir WAF, bilinen saldirilarin buyuk cogunlugunu otomatik olarak engelleyerek guvenlik ekibinizin daha karmasik tehditlere odaklanmasini saglar.

#waf#web firewall#uygulama guvenlik#trafik filtreleme