آموزش جامع فایروال برنامه وب یا WAF به صورت جامع
فایروال برنامه وب یا WAF، یک ابزار امنیتی برای نظارت، فیلتر و مسدود کردن بسته های داده ورودی و خروجی از یک برنامه وب یا وب سایت است. WAF ها می توانند مبتنی بر میزبان، شبکه یا فضای ابری باشند و معمولاً از طریق پراکسی های reverse مستقر می شوند و در مقابل یک برنامه یا وب سایت (یا چندین برنامه و سایت) قرار می گیرند.
WAF ها می توانند به عنوان لوازم شبکه، پلاگین های سرور یا سرویس های ابری اجرا شوند، هر بسته را بررسی کرده و منطق لایه برنامه (لایه 7) را طبق قوانین برای فیلتر کردن ترافیک مشکوک تجزیه و تحلیل کنند.
امنیت WAF
WAF برای تعداد فزایندهای از سازمانهایی که محصولات یا خدمات را به صورت آنلاین ارائه میکنند مهم هستند که شامل توسعهدهندگان اپلیکیشن موبایل، ارائهدهندگان رسانههای اجتماعی و بانکداران دیجیتال میشود. WAF می تواند به شما کمک کند از داده های حساس مانند سوابق مشتری و داده های کارت پرداخت محافظت کرده و از نشت آن جلوگیری کنید.
سازمان ها معمولا بسیاری از داده های حساس خود را در یک دیتابیس پشتیبان ذخیره می کنند که از طریق برنامه های کاربردی وب قابل دسترسی است. شرکت ها به طور فزاینده ای از برنامه های کاربردی تلفن همراه و دستگاه های IoT برای تسهیل تعاملات تجاری استفاده می کنند و بسیاری از تراکنش های آنلاین در لایه برنامه اتفاق می افتد. مهاجمان اغلب برنامه ها را برای دستیابی به این داده ها هدف قرار می دهند.
استفاده از WAF می تواند به شما در برآوردن الزامات انطباق مانند PCI DSS (استاندارد امنیت داده صنعت کارت پرداخت) کمک کند، که برای هر سازمانی که داده های دارنده کارت را مدیریت می کند اعمال می شود و نیاز به نصب فایروال دارد. بنابراین یک WAF جزء ضروری مدل امنیتی یک سازمان است.
داشتن WAF مهم است، اما توصیه میشود آن را با سایر اقدامات امنیتی مانند سیستمهای تشخیص نفوذ (IDS)، سیستمهای پیشگیری از نفوذ (IPS) و فایروالهای ایرانی ترکیب کنید تا به یک مدل امنیتی دفاعی عالی دست یابید.
انواع فایروال برنامه های کاربردی وب
3 راه اصلی برای اجرای WAF وجود دارد:
- WAF مبتنی بر شبکه: معمولاً مبتنی بر سخت افزار است و به صورت محلی برای به حداقل رساندن تأخیر(latency) نصب می شود. با این حال، این گران ترین نوع WAF است و نیاز به ذخیره و نگهداری تجهیزات فیزیکی دارد.
- WAF مبتنی بر میزبان: می تواند به طور کامل در نرم افزار یک برنامه ادغام شود. این گزینه ارزان تر از WAF های مبتنی بر شبکه است و راحت تر تنظیم می شود، اما منابع سرور محلی گسترده ای را مصرف می کند، همچنین پیاده سازی آن پیچیده است و نگهداری آن می تواند گران باشد. دستگاهی که برای اجرای WAF مبتنی بر میزبان استفاده میشود، اغلب نیاز به سفارشیسازی دارد که میتواند زمان بر و پرهزینه باشد.
- WAF مبتنی بر ابر: مقرون به صرفه ترین گزینه است و به راحتی اجرا می شود که معمولاً نیازی به سرمایه گذاری اولیه ندارد و کاربران اشتراک ماهانه یا سالانه امنیت به عنوان یک سرویس را می پردازند. WAF مبتنی بر ابر را می توان به طور منظم بدون هزینه اضافی و بدون هیچ تلاشی از جانب کاربر به روز کرد. با این حال، از آنجایی که برای مدیریت WAF خود به شخص ثالثی متکی هستید، مهم است که مطمئن شوید WAF های مبتنی بر ابر گزینه های سفارشی سازی کافی برای مطابقت با قوانین تجاری سازمان شما دارند.
ویژگی ها و قابلیت های WAF
فایروال های برنامه های کاربردی وب معمولاً ویژگی ها و قابلیت های زیر را ارائه می دهند:
دیتابیس امضا حمله (Attack signature databases)
امضاهای حمله الگوهایی هستند که ممکن است ترافیک مخرب را نشان دهند، از جمله: انواع درخواست، پاسخ های غیرعادی سرور و آدرس های IP مخرب شناخته شده. WAFها عمدتاً به دیتابیس الگوی حمله متکی بودند که در برابر حملات جدید یا ناشناخته مؤثر نبودند.
تجزیه و تحلیل الگوی ترافیک مبتنی بر هوش مصنوعی (AI-powered traffic pattern analysis)
الگوریتمهای هوش مصنوعی، تجزیه و تحلیل رفتاری الگوهای ترافیک را با استفاده از behavioral baselines برای انواع مختلف ترافیک جهت شناسایی ناهنجاریهایی که نشاندهنده حمله هستند، امکانپذیر میسازد. این به شما امکان می دهد حملاتی را شناسایی کنید که با الگوهای مخرب شناخته شده مطابقت ندارند.
پروفایل برنامه
این شامل تجزیه و تحلیل ساختار یک برنامه کاربردی، از جمله درخواست های معمولی، URL ها، مقادیر و انواع داده های مجاز است که به WAF اجازه می دهد تا درخواست های بالقوه مخرب را شناسایی و مسدود کند.
سفارشی سازی
اپراتورها می توانند قوانین امنیتی اعمال شده برای ترافیک برنامه را تعریف کنند. این به سازمان ها اجازه می دهد تا رفتار WAF را بر اساس نیازهای خود سفارشی کنند و از مسدود شدن ترافیک قانونی جلوگیری کنند.
موتورهای Correlation
اینها ترافیک ورودی را تجزیه و تحلیل کرده و آن را با امضاهای حمله شناخته شده، پروفایل برنامه، تجزیه و تحلیل هوش مصنوعی و قوانین سفارشی تریاژ می کنند تا مشخص شود که آیا باید مسدود شود یا خیر.
پلتفرم های حفاظتی DDoS
شما می توانید یک پلتفرم مبتنی بر ابر را ادغام کنید که از حملات انکار سرویس توزیع شده (DDoS) محافظت می کند. اگر WAF یک حمله DDoS را شناسایی کند، می تواند ترافیک را به پلتفرم حفاظتی DDoS منتقل کند، که می تواند حجم زیادی از حملات را مدیریت کند.
شبکه های تحویل محتوا (CDN)
یک WAF میزبان ابر می تواند یک CDN را برای کش وب سایت و بهبود زمان بارگذاری آن فراهم کند. فایروال وب، CDN را در چندین نقطه (PoP) که در سطح جهانی توزیع میشوند، مستقر میکند، بنابراین به کاربران از نزدیکترین PoP خدمات ارائه میشود.
فناوری WAF چگونه است؟
یک WAF را می توان در پلاگین های نرم افزار سمت سرور، لوازم سخت افزاری تعبیه کرد یا می توان آنها را به عنوان سرویسی برای فیلتر کردن ترافیک ارائه کرد. WAF ها می توانند از برنامه های وب در برابر نقاط پایانی مخرب یا در معرض خطر محافظت کرده و به عنوان پروکسی معکوس عمل کنند (برخلاف یک سرور پروکسی که از کاربران در برابر وب سایت های مخرب محافظت می کند).
WAF ها با رهگیری و بررسی هر درخواست HTTP امنیت را تضمین می کنند. ترافیک غیرقانونی را میتوان با استفاده از تکنیکهای مختلفی مانند انگشت نگاری دستگاه، تجزیه و تحلیل دستگاه ورودی و چالشهای CAPTCHA آزمایش کرد و اگر به نظر قانونی نباشد، میتوان آنها را مسدود کرد.
WAF ها با قوانین امنیتی از قبل بارگذاری شده اند که می توانند بسیاری از الگوهای حمله شناخته شده را شناسایی و مسدود کنند. اینها معمولاً شامل آسیب پذیری های امنیتی برتر برنامه وب هستند که توسط پروژه امنیتی برنامه وب باز (OWASP) نگهداری می شوند.
مدل های امنیتی WAF
WAF ها می توانند از یک مدل امنیتی مثبت یا منفی یا ترکیبی از این دو استفاده کنند:
- مدل امنیتی مثبت: مدل امنیتی WAF مثبت شامل یک لیست سفید است که ترافیک را طبق لیستی از عناصر و اقدامات مجاز فیلتر می کند، هر چیزی که در لیست نباشد مسدود می شود. مزیت این مدل این است که میتواند حملات جدید یا ناشناختهای را که توسعهدهنده آن را پیشبینی نکرده بود، مسدود کند.
- مدل امنیتی منفی: مدل منفی شامل یک لیست سیاه است که فقط موارد خاصی را مسدود می کند، هر چیزی که در لیست نباشد مجاز است. پیادهسازی این مدل آسانتر است، اما نمیتواند تضمین کند که تمام تهدیدات برطرف شدهاند. همچنین مستلزم حفظ یک لیست بالقوه طولانی از امضاهای مخرب است. سطح امنیت آن به تعداد محدودیت های اعمال شده بستگی دارد.
تفاوت بین فایروال برنامه وب (WAF)، سیستم پیشگیری از نفوذ (IPS) و فایروال نسل بعدی (NGFW) در چه مواردی است؟
یک IPS یک سیستم جلوگیری از نفوذ است، یک WAF یک فایروال برنامه وب و یک NGFW یک فایروال نسل بعدی است. اما چه تفاوتی بین همه آنها وجود دارد؟
IPS یک محصول امنیتی با تمرکز گسترده تر است. معمولاً مبتنی بر امضا و خط مشی است، به این معنی که می تواند آسیب پذیری های شناخته شده را بر اساس یک پایگاه داده امضا و سیاست های تعیین شده بررسی کند. IPS استانداردی را بر اساس پایگاه داده و خط مشی ها ایجاد می کند، سپس در صورت انحراف ترافیک از استاندارد، هشدار ارسال می کند. امضاها و خطمشیها در طول زمان و با شناسایی آسیبپذیریهای جدید رشد میکنند. به طور کلی، IPS از ترافیک در طیف وسیعی از انواع پروتکل مانند DNS ،SMTP ،TELNET ،RDP ،SSH و FTP محافظت می کند. IPS معمولاً لایههای 3 و 4 را اجرا و محافظت میکند.
یک فایروال برنامه وب (WAF) از لایه برنامه محافظت می کند و به طور خاص برای تجزیه و تحلیل هر درخواست HTTP/S در لایه برنامه طراحی شده است.
سوالات متداول
WAF چیست و چگونه کار می کند؟
یک WAF از برنامه های وب شما با فیلتر کردن، نظارت و مسدود کردن هر گونه ترافیک HTTP/S مخربی که به برنامه وب می رود محافظت کرده و از خروج هر گونه داده غیرمجاز از برنامه جلوگیری می کند.
WAF به چه معناست؟
فایروال برنامه وب (WAF) فایروالی است که بسته های داده را در حین رفت و آمد به یک وب سایت نظارت، فیلتر و مسدود می کند. یک WAF می تواند مبتنی بر شبکه، مبتنی بر میزبان یا مبتنی بر ابر باشد و اغلب از طریق یک پروکسی معکوس مستقر می شود و در مقابل یک یا چند وب سایت یا برنامه قرار می گیرد.
WAF در امنیت سایبری چیست؟
فایروال برنامه وب (WAF) با بررسی و فیلتر کردن ترافیک بین هر برنامه وب و اینترنت به محافظت از برنامه های کاربردی وب شرکت کمک می کند. WAF می تواند به دفاع از برنامه های کاربردی وب در برابر حملاتی مانند جعل درخواست بین سایتی (CSRF)، اسکریپت بین سایتی (XSS)، file inclusion و تزریق SQL کمک کند.
تفاوت بین WAF و فایروال چیست؟
یک WAF با هدف قرار دادن ترافیک پروتکل انتقال ابرمتن (HTTP) از برنامه های کاربردی وب محافظت می کند. این با یک فایروال استاندارد، که مانعی بین ترافیک شبکه خارجی و داخلی ایجاد می کند، متفاوت است. یک WAF بین کاربران خارجی و برنامه های کاربردی وب قرار می گیرد تا تمام ارتباطات HTTP را تجزیه و تحلیل کند.
محصولات WAF چیست؟
فایروال برنامه های وب (WAF) برای محافظت از برنامه های وب با فیلتر کردن و نظارت بر ترافیک ورودی طراحی شده اند. این ابزارها ترافیک HTTP را در هنگام ورود تجزیه و تحلیل، ترافیک بالقوه مخرب را مسدود و ناهنجاری های ترافیک را شناسایی می کنند.