WAF (Web Uygulama Güvenlik Duvarı) Nedir? Kurulum, Yapılandırma ve En İyi Uygulamalar
WAF (Web Uygulama Güvenlik Duvarı) Nedir? Kurulum, Yapılandırma ve En İyi Uygulamalar
Son Güncelleme: Mart 2026
WAF (Web Uygulama Güvenlik Duvarı), web uygulamalarınızı hedef alan saldırılara karşı bir koruma katmanı sağlar. Bu rehberde WAF kavramını, türlerini, kurulum ve yapılandırma adımlarını ile en iyi uygulamaları uygulamalı örneklerle anlatacağım.
İçindekiler
- WAF Nedir: WAF Nedir?
- Faydaları: WAF'in Faydaları
- Türleri: WAF Türleri ve Karşılaştırma
- Kurulum: WAF Kurulum Rehberi
- Yapılandırma: WAF Yapılandırma ve Politika Oluşturma
- En İyi Uygulamalar: En İyi Uygulamalar
- Senaryolar: Pratik Kullanım Senaryoları
- SSS: Sıkça Sorulan Sorular
- Sonuç: Sonuç
WAF Nedir?
WAF (Web Uygulama Güvenlik Duvarı), HTTP/HTTPS trafiğini inceleyerek uygulama katmanı (OSI modelinde katman 7) için özel güvenlik kuralları uygulayan bir güvenlik çözümüdür. Temel amacı SQL injection, Cross-Site Scripting (XSS), dos (hizmet engelleme) odaklı bot saldırıları ve kötü amaçlı istekleri tespit edip engellemektir.
Web uygulama güvenliği gereksinimi, klasik bir ağ güvenlik duvarının (network firewall) ötesinde davranış analizi ve içeriğe özgü kurallar gerektirir; işte WAF bu boşluğu doldurur.
WAF'in Faydaları
- Saldırı Önleme: SQL injection, XSS ve dos gibi uygulama katmanı saldırılarını engeller.
- Hızlı Müdahale: Yeni keşfedilen açıklıklara karşı kural güncellemeleri ile hızlı koruma sağlar.
- Bot Yönetimi: Kötü niyetli botları rate limiting (istek sınırlama) ile kontrol eder.
- Uyumluluk: PCI-DSS, GDPR gibi düzenlemeler için ek bir güvenlik katmanı sunar.
- Gözlem ve Log: Web trafiği ve saldırı denemeleri hakkında ayrıntılı log ve raporlama sağlar.
WAF Türleri ve Karşılaştırma
WAF çözümleri genel olarak üç ana kategoriye ayrılır: Network-based (donanım/sunucu üzeri), Host-based (uygulama içine entegre) ve Cloud-based (hizmet olarak sunulan). Aşağıdaki tabloda özet ve karşılaştırma yer almaktadır.
| Tür | Avantajları | Dezavantajları | Kullanım Alanı |
|---|---|---|---|
| Network-based | Düşük gecikme, yerel ağ entegrasyonu | Donanım maliyeti, esneklik sınırlı | Büyük kurumlar, veri merkezleri |
| Host-based | Uygulamaya özel kurallar, derinlikli denetim | Kaynak tüketimi, yönetim karmaşıklığı | Özel uygulamalar, özelleştirilmiş hedefler |
| Cloud-based | Kolay kurulum, ölçeklenebilir, hızlı güncelleme | Gecikme/bracket, veri egemenliği endişeleri | Küçük ve orta ölçekli işletmeler, hızlı dağıtım isteyenler |
WAF Kurulum Rehberi
Kurulum seçimi, kullanılan altyapıya (ör. Linux, Windows, bulut sağlayıcısı) ve gereksinimlere göre değişir. Temel adımlar şunlardır:
- İhtiyaç Analizi: Uygulama trafiği, hassas veriler ve uyumluluk gereksinimleri belirlenir.
- Tür Seçimi: Network/Host/Cloud arasında karar verilir.
- Test Ortamı: Üretim öncesi test sunucusunda (staging) kural setleri denenir.
- Canlıya Alma: İzleme modundan (detect only) engelleme moduna yavaşça geçiş yapılır.
- Güncelleme ve Bakım: Kural setleri, imza veritabanı ve davranış modelleri düzenli olarak güncellenir.
Örnek: Cloud tabanlı bir WAF kullanacaksanız DNS yönlendirmesi yaparak trafiği WAF üzerinden geçirmeniz gerekir. Kiralık sunucu veya VPS üzerinde self-hosted WAF tercih ediyorsanız, ters proxy (reverse proxy) şeklinde Nginx/HAProxy ile entegrasyon kurulabilir.
Corelux kiralık sunucu ve sanal sunucu hizmetleri ile (ör. Kiralık Sunucu, Türkiye VPS Sunucu) WAF entegrasyonu için uygun altyapı sağlanabilir.
WAF Yapılandırma ve Politika Oluşturma
Yapılandırma aşamasında dikkat edilmesi gerekenler:
- Kural Seti: OWASP ModSecurity Core Rule Set (CRS) gibi hazırlık setleri başlangıç için iyi bir temel sağlar.
- Whitelist ve Blacklist: Güvenli IP(ler) için whitelist, bilinen kötü IP(ler) için blacklist belirlenmelidir.
- Rate Limiting: API uç noktaları ve login sayfaları için isteği sınırlama kuralları eklenmelidir.
- Heuristic Davranış Analizi: Anormal istek paterni tespiti için eşik değerleri belirlenmelidir.
- False Positive Yönetimi: Yanlış pozitifleri azaltmak için istisnalar ve öğrenme modu kullanılmalıdır.
Politika örneği (kısa):
- Genel Kural: Tüm gelen istekler XSS ve SQL injection imzalarına karşı taransın.
- API Kuralı: /api/* yoluna gelen isteklerde rate limit: 100 isteğe 1 dakika uygulanacaktır.
- Admin Paneli: /admin erişimi sadece belirli IP aralığına izin verecek şekilde kısıtlanacaktır.
WAF için En İyi Uygulamalar
Aşağıdaki en iyi uygulamalar, WAF kurulumunuzun etkin ve sürdürülebilir olmasını sağlar:
- Adım Adım Geçiş: İlk olarak detect (sadece tespit) modunda çalıştırın, false positive oranını takip ederek engelleme moduna geçin.
- Log ve Alert Yönetimi: Merkezi loglama ve SIEM entegrasyonu ile saldırı zincirlerini daha hızlı tespit edin.
- SSL/TLS Kullanımı: TLS (Transport Layer Security, Taşıma Katmanı Güvenliği) ile şifrelenmiş trafiği WAF üzerinden doğru şekilde terminate edin. Corelux SSL hizmetleri için SSL Sertifikası sayfasına bakabilirsiniz.
- Otomatik Güncellemeler: İmza ve kural setlerini otomatik güncelleyin ancak değişiklikleri staging ortamında test edin.
- Performans İzleme: WAF, yanlış yapılandırıldığında gecikmeyi artırabilir; performans metriklerini sürekli izleyin.
Pratik Kullanım Senaryoları
1) WordPress Sitenizi Korumak
WordPress sitelerin sık karşılaştığı sorunlar: brute-force login, plugin açıklıkları ve XSS. WAF ile şunları uygulayın:
- Login Kısıtlaması: /wp-login.php ve /wp-admin yollarına rate limiting uygulayın.
- Plugin Koruması: Bilinen exploit imzalarını engelleyin ve bilinmeyen patternler için anormal aktivite tespitini aktif edin.
- IP Whitelist: Yönetici IP(ler)ini whitelist listesine ekleyin.
2) REST API ve Mobil Uygulamalar
API'ler için token tabanlı doğrulama ile birlikte WAF üzerinde Payload doğrulaması ve rate limiting uygulanmalıdır. JSON gövdesi içindeki beklenmeyen anahtarlar veya uzunluklar anormallik olarak ele alınmalıdır.
3) E-Ticaret Siteleri
E-ticaret sitelerinde ödeme sayfaları ve müşteri verileri hassastır. WAF ile ödeme işlemi noktasında ekstra kontroller (referrer doğrulama, IP analizi, TLS zorlama) uygulanmalıdır. Ayrıca yedekleme ve Disaster Recovery için Corelux yedekleme hizmetleri incelenebilir: Yedekleme Hizmeti.
Sıkça Sorulan Sorular
WAF ile klasik ağ güvenlik duvarı (firewall) aynı mıdır?
Hayır. Ağ güvenlik duvarı paket/port bazlı filtreleme yaparken, WAF HTTP/HTTPS içeriğini analiz ederek uygulama katmanı saldırılarını engeller.
WAF performansı yavaşlatır mı?
Yanlış yapılandırıldığında gecikme (latency) ekleyebilir. Bu nedenle performans izleme ve ölçeklenebilir bir WAF mimarisi kullanmak önemlidir.
Hangi kural setleri önerilir?
OWASP ModSecurity Core Rule Set (CRS) yaygın tercih edilen bir başlangıç setidir. Ancak uygulamaya özel kurallar da eklenmelidir.
Cloud WAF mi yoksa self-hosted mi daha iyi?
Cloud WAF hızlı dağıtım ve kolay yönetim sağlar; self-hosted daha fazla kontrol ve veri egemenliği sunar. Seçim, gizlilik, performans ve bütçeye göre yapılmalıdır.
WAF false positive (yanlış pozitif) üretiyorsa ne yapmalıyım?
Öncelikle WAF'i detect modunda çalıştırıp logları analiz edin, sık kullanılan yollar için istisnalar (exceptions) ekleyin ve kuralları hassaslaştırın.
WAF ile SSL trafiği nasıl işlenir?
WAF'in HTTPS trafiğini inceleyebilmesi için TLS terminasyonu yapılmalıdır. Bu işlem sunucuda veya WAF cihazında gerçekleşir; sertifika yönetimi doğru yapılandırılmalıdır.
Sonuç
Özetle, WAF (Web Uygulama Güvenlik Duvarı) modern web uygulamalarının korunmasında kritik bir bileşendir. Doğru tür seçimi, test edilmiş politika setleri, düzenli güncellemeler ve performans izleme ile WAF, SQL injection, XSS ve kötü niyetli botlara karşı etkili koruma sağlar. Corelux altyapısı üzerinde WAF entegrasyonu için hem Kiralık Sunucu hem de Türkiye VDS Sunucu seçenekleri değerlendirilebilir; ayrıca TLS/SSL gereksinimleriniz için SSL Sertifikası hizmetimize göz atmanızı öneririz.
WAF kurulumunda yardıma ihtiyacınız olursa Corelux Hizmetler sayfamızdan destek alabilirsiniz.
Yazar
Boran BAR
