Web Application Firewall (WAF): cos’è, come funziona e perché ogni azienda dovrebbe usarlo
X
Web Application Firewall (WAF): cos’è, come funziona e perché ogni azienda dovrebbe usarlo
Di : Alessandro Achilli29 Dicembre 2025
Con il preoccupante aumento degli attacchi informatici alla cyber security, sono sempre di più le soluzioni IT pensate per garantire sicurezza e lavorare con serenità. Tra queste abbiamo anche il WAF, ovvero il Web Application Firewall: un riferimento per proteggere i dati dalle minacce digitali in maniera efficace.
In realtà, ne abbiamo veramente bisogno: parlare di un continuo aumento delle minacce ai danni delle infrastrutture IT aziendali non è una distorsione paranoica. Sono i dati a confermare la tendenza.
Secondo il Rapporto Clusit, le minacce informatiche andate a buon fine sono cresciute del 15% e gli incidenti attribuibili al cybercrime hanno subito un incremento del 40% rispetto all’anno precedente. L’Italia ha subito il 10% degli attacchi a livello globale, mentre la Francia è al 4% e la Germania al 3%. Vale la pena ignorare la centralità di uno strumento vincente come il WAF? Meglio approfondire l’argomento.
Indice dei contenuti
Che cos’è un Web Application Firewall (WAF)
Il WAF, acronimo di Web Application Firewall, è una versione specializzata di un normale firewall; serve per filtrare il traffico in entrata e uscita da una rete controllando gli accessi e le risorse di sistema. Impedendo, nello stesso momento, l’uscita di dati non autorizzati dall’applicazione.
Questo strumento essenziale per migliorare la cyber security aziendale può monitorare e analizzare tutto il traffico HTTP e HTTPS tra un’applicazione web e la rete geografica, consentendo il passaggio solo alle connessioni valide. E individuando messaggi o azioni che potrebbero risultare delle vere e proprie minacce informatiche. Per verificare la pericolosità di ciò che intercetta, il WAF si basa su un database di white e black list, policy e regole logiche.
Come funziona un WAF: protezione in tempo reale
Il Web Application Firewall funziona come un reverse proxy, posizionandosi tra l’utente e l’applicazione per analizzare tutte le comunicazioni prima che raggiungano l’app o l’utente. I client non comunicano direttamente ma lo scambio avviene solo con il firewall avanzato. Questo processo rimane invisibile ai client, che lo percepiscono come un’operazione trasparente.
Bisogna aggiungere che i WAF moderni non si limitano alle regole statiche. Il motore di machine learning identifica bypass e anomalie prima che vengano sfruttati o identificati da ricercatori umani. I Web Application Firewall basati sull’intelligenza artificiale si adattano e imparano da nuovi pattern di attacco, permettendo di migliorare continuamente la capacità di rilevare e rispondere alle minacce. Questo avviene perché i servizi di sicurezza devono cambiare le loro assunzioni e operare nel contesto dell’ambiente in cui si trovano.
Quali sono le principali minacce bloccate?
Un WAF è specificamente progettato per intercettare e neutralizzare gli attacchi che colpiscono il livello applicativo. Prendendo spunto dalla classifica OWASP, possiamo ritrovare le minacce informatiche annullate da questo tipo di firewall in questa lista ragionata:
Cross-Site Scripting (XSS) che sfruttano vulnerabilità lasciate durante lo sviluppo per iniettare codice malevolo (tipicamente JavaScript) nelle pagine web.
SQL injection, pensati per iniettare comandi SQL malevoli nelle query del database, ingannare il server e fargli eseguire operazioni non autorizzate.
Local File Inclusion in grado di includere ed eseguire file locali presenti sul server, esponendo dati di configurazione sensibili, password, log di sistema.
Remote File Inclusion, per includere ed eseguire file remoti controllati dall’attaccante. Questo può portare alla compromissione totale del server.
Command injection, sfruttano applicazioni che eseguono comandi di sistema usando input non validato. L’attaccante può eseguire comandi arbitrari.
Non solo, il WAF è fondamentale per bloccare altri attacchi come i DDoS Layer 7 (attacchi applicativi che simulano comportamenti di utenti reali), ma non contro DDoS volumetrici Layer 3/4 che saturano la banda di rete. Per questi serve una soluzione anti-DDoS dedicata.
WAF rule-based vs WAF con machine learning
Un WAF rule-based usa un set predefinito di regole e signature per identificare traffico malevolo. Sai esattamente quali regole sono attive e cosa bloccano ma questi modelli di firewall richiedono aggiornamenti frequenti delle regole per stare al passo con nuove tecniche di attacco. E questo è un lavoro manuale costoso.
Il limite fondamentale è che possono bloccare solo ciò che conoscono. Di fronte a un attacco completamente nuovo, un WAF rule-based è cieco. Questo però non avviene con la soluzione basata sul machine learning che analizza il traffico usando modelli addestrati su enormi dataset di richieste benigne e malevole. Invece di cercare pattern specifici, il sistema impara a riconoscere caratteristiche statistiche che distinguono un attacco da traffico legittimo.
Differenza tra WAF vs Firewall tradizionale
Chiaramente, dopo aver definito il WAF è normale chiedersi perché si dovrebbe scegliere questa opzione rispetto a una ordinaria. La differenza fondamentale sta nel livello a cui operano e in cosa proteggono. Un firewall tradizionale lavora ai livelli più bassi dello stack di rete: livello 3 (IP) e 4 (TCP/UDP). Quindi monitora gli indirizzi IP, le porte, i protocolli.
Un WAF (Web Application Firewall) opera al livello 7, quello applicativo. Non si limita a guardare se la connessione HTTP è permessa: entra nel contenuto della richiesta HTTP. Analizza le URL, i parametri, gli header, i cookie, il body e prende una decisione per tutelare la sicurezza dei tuoi dati. Lo fa cercando schemi di attacco noti come SQL injection, attacchi DOS, Cross Site Scripting XSS, inclusione di file malevoli e così via.
C’è un’altra differenza da considerare: il WAF capisce il contesto delle applicazioni web. Sa cosa sono i cookie di sessione, può fare rate limiting sulle API, può bloccare bot malevoli, e può anche fare cose positive come comprimere il traffico o fare caching.
Tipologie di WAF: quale scegliere per la tua azienda?
Giunti a questo punto, appare logico chiedere se esistono diverse tipologie di WAF. La risposta è affermativa: non esiste un unico tipo di Web Application Firewall, ma si possono distinguere tre diverse tipologie in base a come viene implementato.
On-Premise
In questo caso, il WAF si implementa localmente attraverso un hardware presente in azienda. I vantaggi sono chiari: hai massimo controllo delle impostazioni, la latenza è ridotta al minimo e puoi ottenere tutta la tempestività necessaria per intervenire e ridurre i rischi. C’è bisogno, però, di un ampio spazio fisico e costante manutenzione delle apparecchiature.
Inoltre è una soluzione molto costosa, difficile da implementare all’inizio soprattutto per le PMI. Ecco perché è l’opzione preferita da banche, aziende che operano nel settore sanitario, PA o realtà con requisiti di compliance molto rigidi che vietano l’uscita dei dati. Funziona bene anche se hai già un team security strutturato.
Cloud
Un servizio WAF per aziende attivato attraverso servizi cloud è facile da gestire e prevede un’installazione chiavi in mano. È il più conveniente dal punto di vista economico e non necessita grossi investimenti perché puoi pagare un canone mensile o annuale e sfruttarlo come un normale servizio.
Un Web Application Firewall su cloud permette di controllare il traffico di rete tramite una semplice modifica del DNS e offre aggiornamenti costanti senza che si debbano implementare o pagare funzionalità aggiuntive. Questa soluzione non è gestibile direttamente, ma è affidata ad aziende specializzate in cyber security proprio come noi di IT Impresa.
Ibrido
Una combinazione dei due modelli già elencati: una parte del WAF funziona con la logica on-premise, una parte gira sul cloud. O magari usi un Web Application Firewall cloud come prima linea e uno on-premise per controlli più specifici. Hai flessibilità massima, puoi proteggere i tuoi dati mantenendoli in sede ed esternalizzando solo quello che serve: funziona bene con grandi aziende enterprise che presentano infrastrutture complesse, ambienti multi-cloud o chi sta migrando al cloud.
Quando un’azienda ha davvero bisogno di un WAF
La verità è semplice: non tutte le aziende hanno bisogno di un Web Application Firewall, ma ci sono segnali di rischio evidenti che indicano quando diventa necessario. Ad esempio, quando gestisci applicazioni web che raccolgono o processano dati personali. In questo caso sei già nel mirino degli hacker e i rischi aumentano esponenzialmente se:
Hai form di login, e-commerce o portali clienti
Elabori pagamenti online
Gestisci dati sanitari o finanziari
La tua applicazione è accessibile pubblicamente da Internet
Alcune normative rendono l’implementazione di un WAF professionale praticamente obbligatoria. Il PCI DSS 4.0 richiede esplicitamente una soluzione tecnica automatizzata che rilevi e prevenga attacchi web su applicazioni pubbliche. Se accetti carte di credito, non è più una scelta.
La tua azienda ha bisogno di un WAF professionale.
Non dimenticare che il GDPR esige che le organizzazioni implementino misure tecniche e organizzative appropriate per proteggere i dati personali processati tramite applicazioni web. Un WAF contribuisce dimostrando che hai preso precauzioni ragionevoli.
I vantaggi di un WAF per PMI e team IT
Perché una piccola e media impresa dovrebbe adottare questa tecnologia? In primo luogo per ridurre sia il numero che l’efficacia degli attacchi. Un WAF filtra il traffico che potrebbe minacciare l’integrità dell’infrastruttura senza intervento umano. Questo significa sventare i tentativi di SQL injection, cross-site scripting e altri exploit che non raggiungeranno mai la tua applicazione.
Cosa significa in termini pratici? I WAF per PMI riducono il rischio di downtime, furto di dati e violazioni della sicurezza. Possono gestire anche attacchi DDoS al livello applicativo, distribuendo il carico e filtrando il traffico fasullo prima che saturi i tuoi server. E se scegli una soluzione WAF cloud-based puoi adeguare l’impegno automaticamente per soddisfare le esigenze aziendali, sia in caso di picchi di traffico stagionali che di crescita rapida.
WAF gestito: perché conviene alle PMI
Tanti sono i vantaggi che possono spingerti verso l’uso di un WAF gestito. Ad esempio, con questa soluzione puoi creare regole personalizzate per le applicazioni sviluppate internamente che sono particolarmente vulnerabili. Le policy di Web Application Firewall per affrontare efficacemente queste criticità richiedono competenze specialistiche che la maggior parte delle PMI non ha internamente. Ecco perché i servizi gestiti fanno la differenza.
Altro fronte è quello del monitoraggio costante che con un WAF gestito trova una condizione ideale. Se ti appoggi a professionisti certificati, il Web Application Firewall sarà implementato correttamente e il monitoraggio non avrà punti deboli: i log vengono esaminati regolarmente e le azioni utili si attivano in poco tempo per sminare potenziali minacce. Non serve un team di sicurezza dedicato h24.
Il WAF gestito conviene anche per avere sotto controllo le tecniche di attacco che evolvono continuamente: tenere il passo manualmente è praticamente impossibile per una PMI ma non per chi gestisce il Web Application Firewall in modo professionale. I team di managed services monitorano e regolano per trovare il giusto equilibrio tra sicurezza e performance, garantendo una protezione senza rallentare il sistema. Il tutto con costi prevedibili e includendo scansione vulnerabilità, patching istantaneo e supporto 24/7.
Come implementare un WAF in modo corretto
Attivare un WAF è un processo che richiede pianificazione, testing e monitoraggio continuo. La preparazione è la fase decisiva: prima di installare un qualsiasi tipo di firewall, devi capire cosa stai proteggendo. Documenta le tue applicazioni ed endpoint, includendo web server e indirizzi IP. Molte implementazioni falliscono proprio perché non si ha chiara la topologia di rete.
Valutare le esigenze, devi scegliere e installare l’applicazione WAF adeguata. Per chi è all’inizio è consigliabile un’applicazione non critica. Questa strategia fornisce un ambiente più sicuro per imparare il funzionamento del programma, affinare le impostazioni e acquisire esperienza operativa. Meglio selezionare un’applicazione con cui il team di sicurezza ha alta familiarità, ma è chiaro che la scelta dipende sempre dalle esigenze.
Il firewall non si lancia mai direttamente in produzione ma sempre in un ambiente di staging. Bisogna restringere l’accesso a un gruppo designato di sviluppatori autorizzati e iniziare una serie di test per verificare come si muove in base alle tue necessità. I managed rule groups offrono regole pre-costruite che difendono contro minacce diffuse.
I custom rule groups ti permettono di creare regole specifiche per i tuoi requisiti, ed è questo uno dei punti essenziali da considerare perché è sempre utile considerare che i prodotti predefiniti e non personalizzabili non sono il massimo. Certo, rappresentano un buon punto d’ingresso per prendere confidenza con i WAF ma per essere veramente incisivi contro le minacce serve un approccio custom.
Caso d’uso: come il WAF ha bloccato un attacco su un e-commerce
Un e-commerce di abbigliamento, traffico medio-alto, campagne ads sempre attive. Tutto fila liscio finché il sito rallenta in modo anomalo. Le vendite calano, il checkout impiega secondi di troppo. Classico campanello d’allarme.
Era un attacco automatico: migliaia di richieste al minuto verso le pagine di login e carrello. Un mix di credential stuffing e tentativi di SQL injection per bucare gli account, rubare dati o mandare giù il sito nel momento peggiore, quando ogni minuto di down costa soldi veri.
Il Web Application Firewall entra in gioco prima che il danno sia fatto. Analizza il traffico in tempo reale e nota pattern anomali: IP sospetti, richieste ripetitive, payload malevoli nei parametri. Il WAF interviene con il blocco automatico delle richieste malevole, rate limiting sugli endpoint critici, blacklist dinamica degli IP coinvolti. Tutto senza intervento umano e senza impattare gli utenti reali.
FAQ per approfondire i Web Application Firewall
Cos’è un WAF e a cosa serve?
Un WAF, Web Application Firewall, è un sistema di sicurezza che protegge le applicazioni web. Sta davanti al sito e filtra il traffico in ingresso, bloccando attacchi come SQL injection, XSS, bot malevoli e tentativi di brute force.
Quanto costa un Web Application Firewall?
Dipende dal modello. I WAF cloud partono da poche decine di euro al mese e crescono in base a traffico e funzionalità. Le soluzioni enterprise o on-premise possono arrivare a migliaia di euro l’anno.
Il WAF sostituisce l’antivirus o il firewall di rete?
Il WAF non sostituisce nulla, si affianca. L’antivirus protegge i dispositivi, il firewall di rete controlla il traffico a livello infrastrutturale, il WAF difende l’applicazione web.
Un WAF è obbligatorio per il GDPR?
Il GDPR impone di adottare misure tecniche adeguate per proteggere i dati. Se gestisci dati personali tramite un sito web, il WAF è una delle misure più sensate.
Esistono WAF per PMI?
Oggi esistono WAF pensati per PMI, facili da configurare e con costi sostenibili. Anzi, le PMI sono spesso il bersaglio preferito perché meno protette. Per questo, il Web Application Firewall ha ancora più senso.
WAF e sicurezza applicativa: cosa può fare IT Impresa
Come puoi facilmente immaginare, la gestione e l’implementazione di un firewall avanzato con le migliori soluzioni di cybersecurity per PMI non è impresa da poco. Non è come installare un programma da ufficio o aggiornare un PC. Ecco perché molte attività ci contattano per gestire in modo automatico ed efficace tutti i passaggi necessari per avere un WAF in azienda.
Noi ci occupiamo di effettuare un’analisi della vulnerabilità preventiva per capire quali sono i punti deboli, scegliere e configurare il WAF in base alle singole esigenze. Lavoriamo anche su monitoraggio e gestione nel tempo, operando sulla formazione dei dipendenti. Proteggi oggi il tuo sito e le tue applicazioni web: richiedi una consulenza sulla sicurezza e scopri come implementare un Web Application Firewall efficace per la tua azienda con una consulenza sulla sicurezza delle applicazioni web.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Durata
Descrizione
_GRECAPTCHA
5 months 27 days
This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
_GRECAPTCHA
5 months 27 days
This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-advertisement
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent
1 year
Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
CookieLawInfoConsent
1 year
Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Cookie
Durata
Descrizione
bcookie
2 years
LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie
2 years
LinkedIn sets this cookie to store performed actions on the website.
lang
session
LinkedIn sets this cookie to remember a user's language setting.
lidc
1 day
LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory
1 month
LinkedIn sets this cookie for LinkedIn Ads ID syncing.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Cookie
Durata
Descrizione
__kla_id
2 years
Cookie set to track when someone clicks through a Klaviyo email to a website.
SRM_B
1 year 24 days
Used by Microsoft Advertising as a unique ID for visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Cookie
Durata
Descrizione
_ga
2 years
The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga
2 years
The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-137720848-1
1 minute
A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gat_UA-35242002-1
1 minute
A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au
3 months
Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid
1 day
Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_gid
1 day
Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress
30 minutes
Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen
30 minutes
Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample
2 minutes
Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample
2 minutes
Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest
session
To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
ajs_anonymous_id
1 year
This cookie is set by Segment to count the number of people who visit a certain site by tracking if they have visited before.
CONSENT
2 years
YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Cookie
Durata
Descrizione
_fbp
3 months
This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_fbp
3 months
This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
ANONCHK
10 minutes
The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
fr
3 months
Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
fr
3 months
Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
MUID
1 year 24 days
Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
test_cookie
15 minutes
The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE
5 months 27 days
A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC
session
YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices
never
YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id
never
YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId
never
This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests
never
This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
