WAF (Web Application Firewall) - ochrana webu

WAF (Web Application Firewall) je bezpečnostní vrstva mezi uživatelem a webovou aplikací. Filtruje HTTP a HTTPS provoz a blokuje útoky na aplikační úrovni dřív, než se dostanou k serveru. Na rozdíl od klasického síťového firewallu rozumí obsahu requestu - URL, parametrům, hlavičkám a payloadu.

WAF je důležitý hlavně pro státní weby a portály. K nasazení existují konkrétní vyhlášky. Aktuální právní rámec v ČR tvoří zákon č. 264/2025 Sb. o kybernetické bezpečnosti (účinnost 1. 11. 2025, transpozice směrnice NIS2) a tři prováděcí vyhlášky:

• Vyhláška č. 408/2025 Sb. - vymezení regulovaných služeb
• Vyhláška č. 409/2025 Sb. - nižší povinnosti (basic režim)
• Vyhláška č. 410/2025 Sb. - vyšší povinnosti (vyšší standard, mezinárodně harmonizováno)

Vyhlášky 409 a 410 explicitně nepoužívají termín WAF, ale požadují ochranu aplikací, informací a transakcí a penetrační testy informačních systémů. V praxi NÚKIB i auditoři chápou WAF jako standardní bezpečnostní opatření pro splnění těchto požadavků u webových aplikací. Týká se to státních portálů, kritické infrastruktury a regulovaných služeb.

Zákon č. 264/2025 Sb. rozšířil regulaci z přibližně 450 na 6 000+ subjektů v ČR. Pokud spadáte pod NIS2 (zdravotnictví, energetika, doprava, digitální služby, výroba potravin a další obory dle vyhlášky 408/2025), WAF je prakticky nezbytný pro compliance audit. Lhůta na ohlášení je 60 dnů od splnění podmínek subjektu a 1 rok na zavedení opatření od rozhodnutí NÚKIB.

Jak WAF funguje. Filtruje provoz podle pravidel: managed rulesety (typicky OWASP CRS) plus custom rules. Chrání před útoky z OWASP Top 10 - SQL injection, XSS, broken access control, SSRF. Detekuje boty pomocí ML scoringu a fingerprintingu, omezuje rate limiting per IP a session (ochrana před brute-force a scrapingem) a umí virtual patching, tedy okamžitou ochranu zranitelné aplikace bez code fixu.

Hlavní poskytovatelé v roce 2026:

• Cloudflare WAF - nejrozšířenější díky CDN+WAF combo, snadné nasazení změnou nameserverů
• AWS WAF - integruje s ALB, CloudFront, API Gateway, pay-per-use
• Azure WAF, Google Cloud Armor - cloud-native řešení
• Imperva, F5 BIG-IP ASM - enterprise on-prem a cloud

Ceny v roce 2026:

• Cloudflare Pro 20 USD měsíčně - 20 custom WAF rules, basic managed rules
• Cloudflare Business 200 USD měsíčně - 100 custom rules, 100% SLA
• Cloudflare Enterprise od 5 000 USD měsíčně - full OWASP ruleset, Bot Management, API Shield
• AWS WAF 5 USD za Web ACL měsíčně + 1 USD za rule měsíčně + 0,60 USD za milion requestů

Typické use cases: SQL injection, XSS, CSRF, DDoS na Layer 7, credential stuffing, scraping, brute-force login, virtual patching zero-day zranitelností, account takeover, API abuse, spam v komentářích.

Limity. False positives - agresivní pravidla blokují i legitimní traffic, vyžaduje tuning. Bypass techniky existují (encoding tricks). Latence u edge řešení je typicky pod 5 ms, zanedbatelná. Konfigurační složitost custom rules vyžaduje security expertízu. WAF není silver bullet, neopravuje samotné zranitelnosti aplikace.

Vývojářský pohled. U Cloudflare stačí změna nameserverů na proxy mode (oranžový mráček), žádná změna v Nette nebo PHP kódu. Custom rules lze cílit na specifické presentery, admin URL, signal handlery. WAF rate limiting se dobře kombinuje s Nette CSRF tokeny a 429 odpověďmi. Logy z Cloudflare jdou přes Logpush do Sentry nebo Loki pro security observability.

Potřebujete WAF kvůli NIS2 nebo prostě chcete chránit web před boty a útoky? Ozvěte se, projdeme rizika vaší aplikace a navrhneme nasazení od Cloudflare proxy po custom rules pro Nette nebo PHP backend.