مقایسه مفهوم و قابلیت های Web Application Firewall و Next Generation Firewall

معمولا این سوال در ذهن افراد وجود دارد که با وجود Next Generation Firewall یا فایروال نسل بعدی (NGFW)، دیگر چرا به Web Application Firewall (فایروال برنامه‌های کاربردی تحت وب) یا WAF نیاز است؟ در این مقاله با تمرکز روی ارزش افزودة Web Application Firewall، تفاوت بین این دو راهکار شرح داده خواهد شد.

تعریف برنامه‌ی کاربردی تحت وب

پیش از شرح تفاوت‌ها، مهم است که بدانیم Web Application یا برنامه‌ی کاربردی تحت وب دقیقا چیست. برنامه‌ی تحت وب، برنامه‌ای کاربردی است که در سروری Remote ذخیره شده باشد و از طریق اینترنت و با رابط کاربری یک مرورگر ارائه گردد. زمانی که صفحات وب به تازگی ارائه شده بودند، وبسایت‌ها دارای صفحات استاتیکی بودند که تعامل کاربران با آن‌ها با محدودیت زیادی روبه‌رو بود. در دهة 1990، Web Serverها ارتقا یافته و ارتباط با Script سفارشی از سمت سرور (Server-Side Custom Script) را فراهم کردند و در نتیجه این محدودیت برداشته شد. در نتیجه، کاربران عادی برای نخستین بار وارد تعامل با برنامه‌های کاربردی شدند. این تعامل سبب شد تا سازمان‌ها بتوانند برای پشتیبانی از فعالیت‌های تجاری، راهکارهای دیگری چون E-commerce یا تجارت الکترونیکی، Email مبتنی بر وب، بانکداری اینترنتی، وبلاگ، Web Forum و پلتفورم‌‌های سفارشی را تولید کنند. همة این برنامه‌های کاربردی تحت وب از (HTTP(S به عنوان پروتکلی برای اتصال مرورگر وب و سرور وب استفاده می‌کنند.

امروزه برنامه‌های کاربردی پیچیده‌تر و وابسته به زبان‌ها و Scriptهایی چون HTML5، Java، JavaScript، PHP، Ruby، Python، و یا ASP.NET شده‌اند تا رابط کاربری بهتر، چارچوب‌های جامع‌تر و Third-Party Libraryهای پیچیده‌تری داشته باشند. از یک طرف، این برنامه‌های کاربردی تحت وب ابزار مهمی برای پیشروی کسب‌و‌کار هستند که به دیتابیس‌هایBack-End  متصل‌اند. این دیتابیس‌ها می‌توانند مخزنی برای داده‌های شرکتی، داده‌های صاحبان کارت یا دیگر اطلاعات حساس برای کسب‌وکار باشند و در نتیجه باید از امنیت بالایی برخوردار باشند. از طرف دیگر، برنامه‌های کاربردی توجه هکرها را بسیار جلب می‌کنند، چرا که به صورت متن باز هستند و دسترسی به آن‌ها از طریق اینترنت به‌راحتی امکان‌پذیر است. این مسئله از دیدگاه امنیتی، چالشی اساسی محسوب می‌شود.

امکانات و قابلت های Cisco Next Generation Firewall – NGFW

مشاهده ویدیوهای بیشتر

مفهوم فایروال نسل بعدی یا NGFW

فایروال‌های قدیمی تنها عملکردهایی نظیر Packet Filtering، ترجمه‌یNAT آدرس شبکه و پورت (NAT) و VPN را دارد و هر کاری که انجام می‌دهد مبتنی بر پورت‌ها، پروتکل‌ها و آدرس‌های IP است. امروزه اعمال Policyهای امنیتی به چنین روش انعطاف‌ناپذیر و غیرشفافی نه کاربردی و نه قابل اطمینان است. فایروال نسل بعدی با افزودن ساختار بیشتر به Policyهای امنیتی، رویکرد جدیدی که مورد نیاز است را اتخاذ می‌نماید. سیستم‌های مبتنی بر ساختار طوری طراحی شده‌اند که به روشی هوشمندانه و با هدفِ اتخاذ تصمیمات هوشمندانه‌تر امنیتی، از اطلاعاتی نظیر موقعیت مکانی، هویت، زمان و غیره استفاده کنند.

همچنین به فایروال نسل بعدی قابلیت‌هایی نظیر URL Filtering، آنتی‌ویروس و ضد بدافزار، سیستم‌های پیشگیری از نفوذ (IPS) و … اضافه شده است که آن‌ها را از فایروال‌های قدیمی متمایز می‌کند. NGFW به جای آن که از چندین ‌راهکار مختلف استفاده کند، اثربخشی اعمال Policyهای امنیتی در دنیای رایانش را که هر روز از روز قبل پیچیده‌تر می‌شود، بهبود بخشیده و تسهیل می‌نماید.

جهت مشاوره در خصوص فایروال نسل بعدی با شماره 88539044-021 تماس بگیرید.

مفهوم Web Application Firewall یا WAF

فایروال‌های لایه هفت، از وب سرورها و برنامه‌های کاربردی که در وب میزبانی می­شوند، در مقابل حملات در لایه‌ی برنامه‌ی کاربردی از طریق (HTTP(S و در مقابل حملات غیر حجمی در لایة شبکه محافظت می‌کنند. این فایروال‌ها به صورتی طراحی شده‌اند تا از بخشی از ترافیک شبکه‌ی کاربر محافظت کنند؛ به ویژه قسمتی که از اینترنت عبور می‌کند و به دست برنامه‌ی کاربردی تحت وب می‌رسد. همچنین این فایروال‌ها می‌توانند با فراهم کردن Patchهای مجازی برای این آسیب‌­پذیری‌ها، عملیات کدنویسی و اصلاح آن را که ممکن است ناامن باشد، جبران کنند. WAFها کاملا قابل تغییر و سفارشی‌سازی هستند و متناسب با طراحی به‌خصوص برنامه‌ی کاربردی تحت وب مورد استفاده‌ی مشتری تنظیم می‌شوند. اکثر اوقات این فایروال‌ها به صورت In-Line روی Application Delivery Controller یا به اختصار ADC  نصب می‌شوند. موارد زیر، مستنداتی هستند که کلیتی از تهدیداتی که ممکن است پیش روی برنامه‌ی کاربردی تحت وب واقع شود را ترسیم می‌کنند:

• Open Web Application Security Project (OWASP) Top 10
• CWE/SANS Top 25 Most Dangerous Software Errors
• Web Application Security Consortium (WASC) Threat Classification v2.0 and the Cross Reference View

مجموعه‌ی این تهدیدات بالقوه، نیاز به استفاده از تکنولوژی فایروال برنامه‌ی کاربردی تحت وب اختصاصی را توجیه می‌کنند.

قابلیت‌های فایروال F5 WAF

خاصیت شخصی‌سازی برنامه‌ی کاربردی تحت وب و خطاها در اعلام هشدار یا کاهشِ عملکرد که نتیجة محافظت‌هایی هستند که بر تطبیق الگوی ترافیک متکی‌اند و ممکن است واقعا مسئله‌ساز شود. Vendorهای فایروال نسل بعدی یا سیستم‌های پیشگیری از نفوذ (Intrusion Prevention System) یا به اختصار IPS، به‌صورت پیش‌فرض، اکثر Signatureهای محافظت از برنامه‌ی کاربردی تحت وب را غیرفعال می‌کنند تا این گونه مسائل کمتر پیش بیاید. با این حال، این شرکت‌ها تنها مجموعة ساده‌ای از Signatureها را فراهم می‌کنند و مجهز به قابلیت‌های پیشرفته‌ی یک WAF نیستند. F5 Networks WAF موتورهایی را به دسته‌بندی و رمزگشایی (Decoding) ترافیک اختصاص داده‌اند که این کار با آگاهی از پروتکل‌ها و زبان‌های وب صورت می‌گیرد. این فایروال که با قابلیت‌های پیشرفته‌تر SSL/TLS Decryption/Offloading ترکیب شده است، به عملکرد بهتر دیتابیس Signature، برای شناسایی حملات شبکه می‌افزاید.

F5 Networks در صدر دیتابیس Signature حملات وب، قابلیت‌های حفاظت از URL، پارامتر، Cookie و فرم را ارائه می‌کند تا اطلاعات ورودی کاربر به برنامه‌ی کاربردی تحت وب، مورد کنترل کامل و دقیق قرار گیرد. اعمال Policyهای امنیتی WAF تحت پشتیبانی یک موتور یادگیری Policy است. این موتور درخواست‌ Clientها را از طریق HTTP(S) و پاسخ برنامه‌های کاربردی تحت وب را دریافت می‌کند. بدین طریق نقشه‌ای از URL، پارامترها و Signatureهای حملات وب ایجاد می‌شود تا یا اعمال شوند و یا در لیست سفید قرار گیرند (Whitelist شوند). به علاوه، F5 WAF با استفاده از تکنیک‌هایی چون رمزگذاری URL، قراردادن کد در صفحات وب، Cookie Signing و صفحات ارور سفارشی، پاسخ‌های ارسالی برنامه‌های کاربردی تحت وب را ‌‌اصلاح می‌کند تا جلوی درخواست‌های جعلی Cross-Site را بگیرد و از این طریق از برنامه‌های کاربردی تحت وب کاربر محافظت می‌کند.

آخرین تمایز این نوع فایروال‌ها این است که Sessionهای کاربر را ردیابی می‌کنند تا اقدامات مخربی را که ممکن است در روند طبیعی کار برنامه‌ی کاربردی تحت وب اختلال ایجاد کنند، تشخیص دهد. همچنین این فایروال دارای موتورهای پیشرفته‌ی تشخیص Anti-Bot و Anti-DDOS است و نیز می‌تواند به صورت اختیاری خدمات پیشرفتة احراز هویت، نظیر Single Sign-on، احراز هویت چندمرحله‌ای یا به اختصار MFA و یا پیش احراز هویت برنامه‌های کاربردی تحت وب را نیز ارائه دهد.

رویکرد تلفیقی SecureLink

SecureLink که یک پیشتاز در صنعت مدیریت یکپارچه ساختار امنیت سایبری در اروپا است، ترکیبی از F5 Networks WAF و  Palo Alto Networks NGFW را توصیه می‌کند که در نوع خود بهترین هستند و به صورت زنجیره‌ای اعمال می‌شوند.

نتیجه گیری

Palo Alto Networks Next Generation Firewall به صورتی طراحی شده‌ است که برنامه‌ها را به صورت امن فعال و از شبکه‌ی کاربر در مقابل حملات سایبری پیشرفته محافظت کند. این نوع فایروال، در زمان دسترسی به برنامه‌ی کاربردی از طریق اینترنت و برنامه‌های کاربردی داخلی، بر ایمن‌سازی Clientهای داخلی تمرکز می‌کند. تمرکز فایروال برنامه‌ی کاربردی تحت وب F5 روی محافظت از برنامه‌های کاربردی تحت وب داخلی (سفارشی) در مقابل خطرات خارجی در لایه برنامه‌های کاربردی است.

SecureLink، یک مدیریت کننده تخصصی و متمرکز برای امنیت سایبری است و بهترین راهکار ممکن که استفاده از F5 Networks WAF و Palo Alto Networks NGFW به صورت زنجیره‌ای در مسیر اینترنت و درکنار یکدیگر است، ارائه می‌دهد. در این رویکرد، F5 Networks که SSL/TLS Offloading و عملکردهای محافظتی برنامه‌های کاربردی تحت وب را، ارائه می‌کند و Palo Alto Networks، که نقش راهکار IPS و ضدویروس برنامه‌های کاربردی تحت وب را ایفا می‌کند، با هم ادغام شده و با این راهکار بهترین نوع عملکرد امنیتی با توجه به هردو تکنولوژی را ارائه می‌نمایند.

مقاله های مرتبط: