- WAF(Web Application Firewall)

Webアプリケーションの脆弱性をついた攻撃に対するセキュリティ対策の1つである。SQLインジェクションやクロスサイトスクリプティングといった攻撃を防ぐことができる。アプリケーション層レベルで対策できる。拒否する通信のアクセスパターンをシグネチャに定義するブラックリスト型と、許可する通信のアクセスパターンをシグネチャに定義するホワイトリスト型の2種類がある。

- WAFとIPS/IDS(Intruction Prevention System)との違い

IPSは不正侵入防止システムともいい、プラットフォームレベルでのセキュリティ対策を行うことができる。OSやミドルウェアの脆弱性を利用した攻撃や、ファイル共有サービスへの攻撃といった、様々な攻撃への対策が可能である。
IDSは不正侵入検知システムともいい、異常な通信を検知し報告するものである。Webアプリケーションに対しても制限することができるが、WAFに比べると機能は簡素であるので、Webアプリケーションの防御にはWAFを使用することが多い。

- WAFとFW(Fire Wall)との違い

ネットワークレベルでの対策であり、送信元・先情報をもとにしてアクセスを制限できる。FWは外部へ公開する必要がなく、例えば社内システムへの外部からのアクセスを制限するといったことができる。Webアプリケーションは外部へ公開する必要があるため、FWでは制限できない。

- FW
上で述べたように、ネットワークの協会に設置され、内外の通信を中継・監視し外部からの攻撃を防ぐソフトウェアやシステムのことである。

- ステートフルパケットインスペクション(SPI)

ルータやFWのセキュリティ機能の1つで、内外を出入りするパケットの情報を読み取って通信状態を把握し、外部から送信されたパケットが内部に通信できるかどうかを動的に判断する。まず外部に出ていく通信を記録しておき、その通信に矛盾する外部からの通信、つまり外に出ていっていない通信からの返答が来た場合は、不審なパケットとして破棄する。

- 参考URL

WAFとは？今さら聞けないセキュリティ対策の仕組みを解説 | お役立ちブログ | 情報セキュリティ対策に関するお役立ち情報 | 企業の情報セキュリティ対策・ITシステム運用のＪＢＳ ＪＢサービス株式会社 ＪＢサービス株式会社

ステートフルパケットインスペクション（SPI）とは - IT用語辞典 e-Words