웹 방화벽 (WAF)

웹 방화벽(WAF) 설정 가이드

WAF는 SQL 인젝션, XSS, DDoS를 서버에 도달하기 전에 차단합니다.

무료 WAF 옵션

옵션 1: Cloudflare (권장)

Cloudflare 무료 플랜: 자동 HTTPS + DDoS 방어 + 기본 WAF. 설정 10분.

1. cloudflare.com에서 가입 후 도메인 추가
2. 도메인 등록업체에서 네임서버 변경
3. Security → WAF → Managed Ruleset 활성화
4. Security Level: Medium 설정

옵션 2: ModSecurity (자체 호스팅)

# Nginx + ModSecurity (Ubuntu)
sudo apt install libnginx-mod-security2
sudo cp /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf
# Edit: SecRuleEngine DetectionOnly → SecRuleEngine On
sudo systemctl restart nginx

WAF가 차단하는 주요 공격 패턴

• SQL 인젝션
• XSS (크로스 사이트 스크립팅)
• DDoS — 속도 제한으로 서버 보호
• 경로 순회 공격