Vitrindeki Görünmez Zırh: WAF Mimarisi ve OSI Layer 7 Savunması
Nisan 8, 2026
Ağ Güvenliği,KVKK,OWASP,Siber Güvenlik,WAF
Klasik bir Ağ Güvenlik Duvarını (Network Firewall), bir gece kulübünün kapısındaki kaba kuvvetli bir koruma (Bouncer) olarak düşünebilirsiniz. Bu koruma sadece kimliklere ve yaşa (IP adresi ve Port numarası) bakar. Kimliğiniz geçerliyse, sırt çantanızda ne olduğuna bakmadan sizi içeri alır.
WAF ise içerideki sivil polis veya dedektiftir. Ziyaretçinin IP adresiyle ilgilenmez; doğrudan sırt çantasını açar, içindeki mektupları okur, niyetini analiz eder. WAF, HTTP ve HTTPS protokollerinin dilini ana dili gibi konuşur. Bir web sayfasına gönderilen form verilerini, çerezleri (cookies), URL parametrelerini ve gizli başlıkları (headers) milisaniyeler içinde mikroskobik düzeyde inceler.
Vaka Çalışması: "SQL Enjeksiyonu" (SQLi) ve Büyük Veri Soygunu
WAF’ın ne kadar hayati olduğunu anlamak için, internet tarihindeki en yıkıcı ve en yaygın veri çalma tekniği olan SQL Enjeksiyonu (SQL Injection) üzerinden acımasız bir kriz senaryosu kurgulayalım.
Şirketinizin web sitesinde bir “Kullanıcı Girişi” (Login) ekranı var. Normal bir müşteri buraya e-posta adresini (örn: ahmet@mail.com) yazar ve sisteme girer. Ancak kötü niyetli bir siber korsan, bu kutucuğa e-posta adresi yerine veritabanının anlayacağı dilde zehirli bir kod parçacığı yazar: ‘ OR 1=1; DROP TABLE Kullanicilar; —
WAF Olmayan Senaryo (Felaket):
Klasik güvenlik duvarı bu metni sıradan bir web trafiği sanır ve geçirir. Web sunucusu bu metni alır, arkadaki veritabanına gönderir. Veritabanı (SQL) bu kodu okuduğunda aptallaşır. Normal bir sorgu yapmak yerine, hackerın yazdığı “1=1 (Her zaman doğru)” mantığına kanar ve şifre sormadan sistemi açar. Ardından gelen DROP TABLE komutuyla tüm müşteri veritabanını siler veya hackerın ekranına yansıtır (Data Exfiltration). Şirketiniz dakikalar içinde milyonlarca dolarlık KVKK cezasıyla baş başa kalır.
WAF Olan Senaryo (Kusursuz Savunma):
Hacker aynı kodu yazar ve “Giriş” tuşuna basar. Kod internet üzerinden şirketinize doğru yola çıkar. Ancak web sunucusuna ulaşmadan önce WAF kalkanına çarpar. WAF paketi açar ve içindeki metni okur. Kendi veri tabanındaki “İmza (Signature)” kurallarıyla karşılaştırır. WAF anında şu kararı verir: “Bir e-posta kutucuğunun içinde SQL komutları (OR 1=1, DROP) olamaz. Bu açıkça bir SQL Enjeksiyon saldırısıdır!” WAF, o zehirli paketi sunucuya hiç göndermeden havada yok eder (Drop). Hackerın ekranına “403 Forbidden – Erişim Engellendi” hatası düşer. WAF, hackerın IP adresini anında kara listeye (Blacklist) alır ve Güvenlik Operasyon Merkezine (SOC) “SQLi Saldırısı Engellendi” alarmı gönderir. Sunucunun (ve şirket yönetiminin) ruhu bile duymaz.
İmzaların Ötesi: Davranışsal Analiz ve Sıfırıncı Gün (Zero-Day) Koruması
Eski nesil WAF’lar sadece “İmza” (Signature-based) mantığıyla çalışırdı. Yani sadece bildikleri, daha önceden tanımlanmış saldırı kodlarını durdurabilirlerdi. Ancak hackerlar kodların şeklini değiştirerek (Obfuscation) bu imzaları atlatmayı öğrendiler.
Günümüzün modern, Yeni Nesil WAF (NGWAF) ve WAAP (Web Application and API Protection) sistemleri Yapay Zeka (AI) ve Davranışsal Analiz ile çalışır. WAF sistemi, sitenize giren normal müşterilerin davranışlarını öğrenir (Örn: Bir müşteri ortalama 3 saniyede bir sayfa değiştiriyor, fareyi şöyle hareket ettiriyor). Eğer dünyanın öbür ucundan bir bot ağı (Botnet), sitenizdeki ürün fiyatlarını çalmak (Scraping) veya sahte hesaplar açmak için saniyede 500 istek (Request) göndermeye başlarsa, WAF bunun “insanüstü” bir davranış olduğunu saniyeler içinde tespit eder. Ortada bilinen bir saldırı kodu olmasa bile (Zero-Day), WAF bu trafiği anormallik (Anomaly) olarak işaretler ve o IP adreslerine otomatik olarak görünmez CAPTCHA testleri veya hız sınırlandırmaları (Rate Limiting) uygular.
Yanlış Pozitifler (False Positives): WAF Yönetiminin Zor Sanatı
WAF kurmak, bir kutuyu fişe takıp unutmak değildir. Çok agresif ayarlanmış bir WAF, şirketin kendi ayağına sıktığı bir silaha dönüşebilir.
Eğer WAF kurallarını “En Katı” (Paranoid) seviyeye getirirseniz, sistem gerçek müşterilerin zararsız işlemlerini bile saldırı sanıp engelleyebilir. Buna siber güvenlikte False Positive (Yanlış Pozitif) denir. Örneğin, adında “Drop” kelimesi geçen bir müşteri (Örn: John Drop) sisteme üye olmaya çalıştığında, WAF bunu “Veritabanını silecek (Drop Table)” sanıp müşteriyi engelleyebilir. Bu durum şirketin satış kaybetmesine ve itibarının zedelenmesine yol açar. Bu yüzden WAF yönetimi, güvenlik mühendislerinin sürekli ince ayar (Tuning) yaptığı, yazılım geliştiricilerle omuz omuza çalıştığı hassas bir operasyondur.
Hukuki ve Düzenleyici Boyut (KVKK ve PCI-DSS)
Kredi kartı işleyen kurumların uymak zorunda olduğu uluslararası PCI-DSS standardı, Madde 6.6 ile web uygulamalarının önüne bir WAF yerleştirilmesini kesin bir dille zorunlu kılar. WAF’ı olmayan bir e-ticaret sitesi, kredi kartı saklama veya işleme lisansını anında kaybeder.
Aynı şekilde KVKK Kurulunun incelemelerinde, internete açık bir web portalinden veri sızdırılmışsa sorulan ilk teknik sorulardan biri şudur: “Web uygulamanızın önünde bir WAF konumlandırılmış mıydı? OWASP zafiyetlerine karşı trafiği denetleyen bir sisteminiz var mıydı?” Eğer cevap hayırsa, şirket veriyi sokağın ortasında sahipsiz bırakmış kabul edilir ve “Ağır İhmal” kararı verilir.
Sonuç
Web Application Firewall (WAF), modern dijital ekonominin gizli kahramanıdır. Arkada çalışan yazılımcılarınız güvenlik açıkları olan (buggy) kötü kodlar yazmış olsalar dahi, WAF o kötü kodların dışarıdan sömürülmesini engelleyen dijital bir yara bandı, devasa bir şok emicidir (Virtual Patching). İnternetin o kirli, botlarla ve siber korsanlarla dolu karanlık okyanusunda, uygulamanıza doğru gelen milyonlarca zehirli dalgayı süzüp, geriye sadece tertemiz ve güvenli müşteri trafiğini bırakan bu teknoloji; günümüzde “opsiyonel” bir güvenlik ürünü değil, dijital dünyada hayatta kalmanın en temel ön koşuludur.
Tags :
#KVKK,#Layer7,#OWASP,#PCIDSS,#SiberGüvenlik,#SQLInjection,#WAF,#WebSecurity
Share This :