Sabe o que é uma WAF (Web Application Firewall)?
A maioria dos utilizadores conhece o conceito de firewall, mas poucos sabem que existe uma solução especificamente concebida para proteger websites e aplicações Web. Chama-se WAF (Web Application Firewall).
Uma Web Application Firewall (WAF) é uma solução de segurança que monitoriza e filtra o tráfego HTTP e HTTPS entre os utilizadores e uma aplicação Web.
Ao contrário das firewalls tradicionais, que protegem a infraestrutura de rede, uma WAF opera ao nível da aplicação, analisando cada pedido recebido antes de este chegar ao servidor.
Na prática, funciona como um "porteiro" que decide quais os pedidos legítimos e quais devem ser bloqueados por apresentarem comportamentos suspeitos.
WAF: que ataques consegue bloquear?
Uma WAF pode proteger contra diversas ameaças dirigidas às aplicações Web, entre elas:
- SQL Injection (SQLi)
- Cross-Site Scripting (XSS)
- Command Injection
- Path Traversal
- Local File Inclusion (LFI)
- Remote File Inclusion (RFI)
- XML External Entity (XXE)
- Exploração de vulnerabilidades conhecidas
- Bots maliciosos
- Ataques DDoS ao nível da aplicação (Layer 7)
Grande parte destas proteções baseia-se nas recomendações do OWASP Top 10, uma das principais referências mundiais em segurança de aplicações.
O mercado disponibiliza várias soluções de referência, entre elas:
- Cloudflare WAF
- Diamwall (PT)
- AWS WAF
- Azure Web Application Firewall
- Fortinet FortiWeb
- F5 Advanced WAF
- Imperva WAF
- Akamai App & API Protector
- NGINX App Protect WAF
- ModSecurity (open source)
Embora seja uma camada de segurança extremamente importante, uma WAF não elimina a necessidade de desenvolver aplicações de forma segura.




















