{"id":14938,"date":"2026-01-02T10:46:24","date_gmt":"2026-01-02T07:46:24","guid":{"rendered":"https:\/\/www.inetmar.com\/blog\/?p=14938"},"modified":"2026-01-02T10:49:58","modified_gmt":"2026-01-02T07:49:58","slug":"waf-nedir-ne-ise-yarar","status":"publish","type":"post","link":"https:\/\/www.inetmar.com\/blog\/waf-nedir-ne-ise-yarar\/","title":{"rendered":"WAF Nedir? Ne \u0130\u015fe Yarar?"},"content":{"rendered":"

Web sitelerinin g\u00fcvenli\u011fi s\u00f6z konusu oldu\u011funda akla ilk gelen \u00e7\u00f6z\u00fcmlerden biri WAF<\/strong> oluyor. K\u0131saca Web Application Firewall<\/strong> olarak bilinen bu teknoloji internet \u00fczerinden gelen trafi\u011fi inceleyerek web uygulamalar\u0131n\u0131 \u00e7e\u015fitli siber sald\u0131r\u0131lara kar\u015f\u0131 koruyor. Normal bir firewall yani g\u00fcvenlik duvar\u0131 genellikle a\u011f seviyesinde \u00e7al\u0131\u015f\u0131p IP adresleri, portlar gibi temel bilgileri kontrol ederken, WAF \u00e7ok daha spesifik bir g\u00f6rev \u00fcstleniyor. Tamamen HTTP ve HTTPS protokollerine odaklan\u0131yor, yani taray\u0131c\u0131 ile sunucu<\/a> aras\u0131ndaki t\u00fcm istek ve yan\u0131tlar\u0131 detayl\u0131 bir \u015fekilde analiz ediyor. Bu sayede klasik firewall\u2019lar\u0131n g\u00f6remedi\u011fi, uygulama katman\u0131ndaki tehditleri yakalayabiliyor.<\/p>\n

WAF Hangi Sald\u0131r\u0131lar\u0131 Engeller?<\/h2>\n

En s\u0131k kar\u015f\u0131la\u015f\u0131lan sald\u0131r\u0131 t\u00fcrlerinden baz\u0131lar\u0131n\u0131 d\u00fc\u015f\u00fcnelim SQL injection<\/strong> ile hacker\u2019lar giri\u015f formlar\u0131na zararl\u0131 kodlar yazarak veritaban\u0131n\u0131 ele ge\u00e7irmeye \u00e7al\u0131\u015f\u0131yor. Ya da XSS (Cross-Site Scripting)<\/strong> sald\u0131r\u0131lar\u0131nda k\u00f6t\u00fc niyetli scriptler siteye enjekte edilip ziyaret\u00e7ilerin \u00e7erezleri, oturum bilgileri \u00e7al\u0131n\u0131yor. \u0130\u015fte WAF tam burada devreye giriyor. Gelen isteklerdeki \u015f\u00fcpheli pattern\u2019leri, bilinen sald\u0131r\u0131 imzalar\u0131n\u0131 (signature) veya anormal davran\u0131\u015flar\u0131 tespit edip o iste\u011fi an\u0131nda engelliyor.<\/p>\n

WAF Nas\u0131l \u00c7al\u0131\u015f\u0131r?<\/h2>\n

G\u00fcn\u00fcm\u00fczdeki WAF \u00e7\u00f6z\u00fcmleri genellikle iki farkl\u0131 yakla\u015f\u0131mla \u00e7al\u0131\u015f\u0131yor:<\/p>\n

    \n
  • Kural tabanl\u0131 sistemler:<\/strong> \u00d6rne\u011fin ModSecurity<\/strong> gibi a\u00e7\u0131k kaynak ara\u00e7lar, \u00f6nceden tan\u0131mlanm\u0131\u015f binlerce kural\u0131 kullanarak trafi\u011fi tar\u0131yor. Bir istekte SELECT * FROM users WHERE 1=1--<\/code> gibi klasik bir SQL injection kal\u0131b\u0131 g\u00f6r\u00fcrse hemen blokluyor.<\/li>\n
  • Makine \u00f6\u011frenimi tabanl\u0131 WAF\u2019lar:<\/strong> Bunlar sitenin normal trafik davran\u0131\u015f\u0131n\u0131 \u00f6\u011freniyor ve bu normdan sapan hareketleri (anomali) tehdit olarak i\u015faretliyor. Cloudflare<\/strong>, AWS WAF<\/strong>, Imperva<\/strong>, Akamai<\/strong> gibi bulut tabanl\u0131 servisler genellikle bu karma modeli kullan\u0131yor ve zero-day<\/strong> yani daha \u00f6nce bilinmeyen sald\u0131r\u0131lara kar\u015f\u0131 bile etkili olabiliyor.<\/li>\n<\/ul>\n

    \"waf\"<\/p>\n

    WAF Kurulum T\u00fcrleri Nelerdir?<\/h2>\n

    Kurulum \u015fekline g\u00f6re de \u00e7e\u015fitlilik g\u00f6steriyor. Baz\u0131lar\u0131 donan\u0131m tabanl\u0131, kendi cihaz\u0131 \u00fczerinde \u00e7al\u0131\u015f\u0131yor; baz\u0131lar\u0131 sunucuya yaz\u0131l\u0131m olarak entegre ediliyor, en pop\u00fcler olanlar\u0131 ise tamamen bulut \u00fczerinden y\u00f6netiliyor. Bulut tabanl\u0131 WAF\u2019lar\u0131n en b\u00fcy\u00fck avantaj\u0131 skalas\u0131n\u0131n kolay olmas\u0131 ve bak\u0131m y\u00fck\u00fcn\u00fc ortadan kald\u0131rmas\u0131. Trafik art\u0131nca otomatik olarak kapasiteyi y\u00fckseltiyor, g\u00fcncellemeleri senin yerine yap\u0131yor.<\/p>\n

    WAF Kullan\u0131rken Dikkat Edilmesi Gerekenler<\/h2>\n

    Tabii ki her teknolojide oldu\u011fu gibi baz\u0131 dikkat edilmesi gereken noktalar var. En yayg\u0131n sorun yanl\u0131\u015f pozitifler<\/strong>\u00a0yani tamamen masum bir istek tehdit san\u0131l\u0131p engellenebiliyor. \u00d6rne\u011fin bir blog yorumunda kod par\u00e7as\u0131 payla\u015fmak isteyen kullan\u0131c\u0131y\u0131 bloklayabiliyor. Bu y\u00fczden iyi bir WAF\u2019\u0131 devreye al\u0131rken mutlaka \u00f6\u011frenme (learning) modunda ba\u015flay\u0131p, sitenin normal trafi\u011fini tan\u0131mas\u0131n\u0131 beklemek gerekiyor. Bir di\u011fer konu da performans; trafi\u011fi detayl\u0131 inceledi\u011fi i\u00e7in \u00e7ok hafif de olsa gecikme yaratabiliyor, ama modern \u00e7\u00f6z\u00fcmlerde bu etki neredeyse hissedilmiyor.<\/p>\n

    WAF Neden Zorunlu Hale Geldi?<\/h2>\n

    Sonu\u00e7 olarak e\u011fer bir e-ticaret sitesi, kurumsal portal, blog ya da herhangi bir web uygulamas\u0131 y\u00f6netiyorsan WAF art\u0131k neredeyse zorunlu hale geldi. OWASP Top 10<\/strong>\u2019daki en kritik g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131n b\u00fcy\u00fck k\u0131sm\u0131n\u0131 do\u011frudan adresliyor, DDoS<\/strong> sald\u0131r\u0131lar\u0131n\u0131 hafifletiyor k\u00f6t\u00fc botlar\u0131 engelliyor ve PCI DSS<\/strong>, GDPR<\/strong> gibi uyumluluk gereksinimlerini kar\u015f\u0131lamana yard\u0131mc\u0131 oluyor. K\u0131sacas\u0131 web siteni internetin vah\u015fi d\u00fcnyas\u0131nda yaln\u0131z b\u0131rakmak istemiyorsan, sa\u011flam bir WAF \u015fart.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Web sitelerinin g\u00fcvenli\u011fi s\u00f6z konusu oldu\u011funda akla ilk gelen \u00e7\u00f6z\u00fcmlerden biri WAF oluyor. K\u0131saca Web Application Firewall olarak bilinen bu teknoloji internet \u00fczerinden gelen trafi\u011fi inceleyerek web uygulamalar\u0131n\u0131 \u00e7e\u015fitli siber sald\u0131r\u0131lara kar\u015f\u0131 koruyor. Normal bir...<\/p>\n","protected":false},"author":2,"featured_media":14943,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[52],"tags":[],"class_list":["post-14938","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-guvenlik"],"_links":{"self":[{"href":"https:\/\/www.inetmar.com\/blog\/wp-json\/wp\/v2\/posts\/14938","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.inetmar.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.inetmar.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.inetmar.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.inetmar.com\/blog\/wp-json\/wp\/v2\/comments?post=14938"}],"version-history":[{"count":6,"href":"https:\/\/www.inetmar.com\/blog\/wp-json\/wp\/v2\/posts\/14938\/revisions"}],"predecessor-version":[{"id":14947,"href":"https:\/\/www.inetmar.com\/blog\/wp-json\/wp\/v2\/posts\/14938\/revisions\/14947"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.inetmar.com\/blog\/wp-json\/wp\/v2\/media\/14943"}],"wp:attachment":[{"href":"https:\/\/www.inetmar.com\/blog\/wp-json\/wp\/v2\/media?parent=14938"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.inetmar.com\/blog\/wp-json\/wp\/v2\/categories?post=14938"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.inetmar.com\/blog\/wp-json\/wp\/v2\/tags?post=14938"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}