WAF یا Web application firewalls چیست؟

این مقاله در تاریخ 13 اردیبهشت 1400 نوشته و در تاریخ 16 فروردین 1405 مورد بازبینی قرار گرفته است.

WAF چیست؟

در عصر جدید با به وجود آمدن حملات سایبری پیچیده و درک مشاغل از تهدیدهایی که با آن روبه رو هستند، اقدامات امنیتی به امری حیاتی رو به رو شده است. به همین منظور فایروال و فایروال برنامه وب (Web application firewalls)، شرکت ها و سازمان ها را در برابر انواع مختلف حملات محافظت می کنند. بنابراین درک درست از فایروال شبکه و اینکه چه تفاوتی با Web application firewalls دارد و چگونه می توان از حملات وب و حملات شبکه گسترده جلوگیری کرد مهم است.

به طور کلی، مشاغل با استفاده از فایروال های شبکه از داده ها و کاربران خود محافظت می کنند. اما با رشد BYOD (bring your own device ) ،Cloud عمومی و راه حل های نرم افزار به عنوان سرویس (SaaS) به این معنی است که آنها باید (WAF) را به استراتژی امنیتی خود اضافه کنند. این باعث افزایش محافظت در برابر حملات برای برنامه های وب می شود که در یک سرور از راه دور ذخیره می شوند. به طور کلی برنامه هایی که از طریق اینترنت و مرورگر کار می کنند می توانند برای هکرها بسیار جذاب باشند.

 

درک تفاوت میان فایروال برنامه (WebApplication Firewalls) و فایروال سطح شبکه (Network-level Firewalls):

فایروال برنامه با هدف قرار دادن ترافیک پروتکل انتقال متن (HTTP) از برنامه های وب محافظت می کند. تفاوتی که این فایروال با استاندارد دارد این است که مانعی بین ترافیک شبکه خارجی و داخلی ایجاد می کند.

WAF بین کاربران خارجی و برنامه های وب قرار دارد تا تمام ارتباطات HTTP را تجزیه و تحلیل کند. سپس درخواست های مخرب را قبل از رسیدن به کاربران یا برنامه های وب شناسایی و مسدود می کند. در نتیجه، WAF ها برنامه های وب و سرورهای وب مهم برای کسب و کار را از تهدید محافظت می کنند. این امر با گسترش تجارت به ابتکارات دیجیتالی جدید، می تواند برنامه های وب جدید و رابط های برنامه نویسی برنامه (API) را در معرض حمله قرار دهد ، که این مسئله اهمیت بیشتری پیدا می کند.

فایروال شبکه برای جلوگیری از خطر حملات، از شبکه محلی ایمن در برابر دسترسی غیرمجاز محافظت می کند. هدف اصلی آن جدا کردن یک منطقه امن از یک منطقه با امنیت کمتر و کنترل ارتباطات بین این دو است. بدون آن، هر رایانه با آدرس عمومی پروتکل اینترنت (IP) در خارج از شبکه قابل دسترسی است و به طور بالقوه در معرض خطر حمله قرار دارد.

جهت آشنایی با HTTPS به مقاله پروتکل HTTPS چیست و چه کاربردی دارد؟ به همراه ویدئو مراجعه کنید.

Application Traffic یا Network Traffic:

فایروال های شبکه دسترسی غیر مجاز به شبکه های خصوصی را کاهش داده یا از آن جلوگیری می کنند. سیاست های فایروال، ترافیک مجاز به شبکه را تعریف می کند و هرگونه دسترسی دیگر در آن مسدود است. نمونه هایی از ترافیک شبکه که به آنها کمک می کند تا از کاربران غیرمجاز و حملات کاربران یا دستگاه ها در مناطق کم امنیت جلوگیری کنند.

WAF به طور خاص ترافیک برنامه ها را هدف قرار می دهد. از ترافیک HTTP و Hypertext Transfer Protocol Secure (HTTPS) جهت محافظت برنامه های کاربردی در اینترنت استفاده می شود. این امر باعث می شود تا برنامه ها در برابر تهدیداتی مانند حملات اسکریپت نویسی سایت (XSS)، حملات توزیع شده سرویس (DDoS) و حملات SQL امن باشد.

جهت آشنایی با حملات DDoS به مقاله حمله DDos چیست مراجعه کنید.

 

محافظت در لایه 7 در مقابل لایه 3 و 4:

تفاوت اصلی فنی بین فایروال برنامه و فایروال سطح شبکه، لایه امنیتی است که آنها بر روی آن کار می کنند. اینها توسط مدل اتصال سیستمهای باز (OSI) تعریف شده است که توابع ارتباطی را در سیستمهای مخابراتی و محاسباتی، مشخص و استاندارد می کند.

WAF ، از حملات در OSI مدل 7 لایه سطح برنامه، محافظت می کند. این شامل حملات علیه برنامه هایی مانند Ajax ، ActiveX و JavaScript و همچنین دستکاری کوکی ها، تزریق SQL و حملات URL است. آنها همچنین پروتکل های برنامه وب HTTP و HTTPS را که برای اتصال مرورگرهای وب و سرورهای وب استفاده می شوند ، هدف قرار می دهند.

به عنوان مثال، یک حمله DDoS لایه 7 سیل ترافیکی را به لایه سرور می فرستد که در آن صفحات وب در پاسخ به درخواست های HTTP تولید و تحویل داده می شوند. WAF با عمل به عنوان یک پروکسی معکوس که از سرور هدف گرفته شده برنامه را در برابر ترافیک مخرب محافظت می کند و درخواست های فیلتر کردن برای شناسایی استفاده از ابزارهای DDoS را کاهش می دهد.

فایروال های شبکه در OSI مدل لایه های 3 و 4 کار می کنند که از انتقال داده و ترافیک شبکه محافظت می کنند. این شامل حملات علیه سیستم نام دامنه (DNS) و پروتکل انتقال پرونده (FTP) و همچنین پروتکل انتقال ایمیل ساده (SMTP)، پوسته امن (SSH) و Telnet است.

جهت مشاهده کلیه مقالات مربوط به DNS به مقاله DNS چیست؟ مراجعه کنید.

امنیت در لایه اپلیکیشن (WAF):

راهکارهای WAF از کسب‌وکارها در برابر حملات مبتنی بر وب که اپلیکیشن‌ها را هدف قرار می‌دهند، محافظت می‌کنند. بدون فایروالِ اپلیکیشن، هکرها می‌توانند از طریق آسیب‌پذیری‌های موجود در برنامه‌های تحت وب، به لایه‌های عمیق‌تر شبکه نفوذ کنند.

WAFها از بیزینس شما در برابر حملات رایج وب محافظت می‌کنند، از جمله:

– حمله Distributed Denial-of-Service (DDoS): تلاشی برای ایجاد اختلال در شبکه، سرویس یا سرور با غرق کردن آن در سیلی از ترافیک اینترنت. هدف این حمله خارج کردن منابع از دسترس و از کار انداختن سیستم‌های دفاعی با استفاده از ترافیک توزیع‌شده است.

– حمله SQL Injection: نوعی حمله که هکرها را قادر می‌سازد عبارات مخرب SQL را روی دیتابیسِ پشت برنامه اجرا کنند. این کار به مهاجم اجازه می‌دهد از سد تأیید اعتبار عبور کرده، به داده‌های حساس مشتریان دسترسی پیدا کند و رکوردها را حذف یا اصلاح نماید. این آسیب‌پذیری همواره جزو ۳ تهدید اول لیست OWASP Top 10 قرار دارد.

– حمله Cross-Site Scripting (XSS): یک آسیب‌پذیری امنیتی که به مهاجم اجازه می‌دهد اسکریپت‌های مخرب را در مرورگر کاربران دیگر اجرا کند. در نتیجه، هکر می‌تواند نشست‌های کاربری (Sessions) را سرقت کرده، به داده‌های خصوصی دسترسی پیدا کند یا از طرف کاربر اصلی در سایت فعالیت نماید.

– حمله Server-Side Request Forgery (SSRF): در این حمله، هکر برنامه وب را مجبور می‌کند تا درخواست‌های ناخواسته‌ای را به منابع داخلی یا خارجی ارسال کند. از آنجایی که سرور به عنوان یک “واسطه” عمل می‌کند، مهاجم می‌تواند به سرویس‌های حساس داخلی (مثل دیتابیس‌ها یا متادیتای سرورهای ابری) که مستقیماً به اینترنت متصل نیستند، دسترسی پیدا کند.

 

تهدیدات در سطح زیرساخت و شبکه:

نمونه‌هایی از حملات شبکه‌ای رایج عبارتند از:

• دسترسی غیرمجاز (Unauthorized Access): در این حالت مهاجمان بدون داشتن اجازه رسمی به شبکه نفوذ می‌کنند. این امر معمولاً از طریق سرقت اعتبارنامه‌ها (Credentials) و نفوذ به حساب‌های کاربری در اثر استفاده از رمزهای عبور ضعیف یا حملات مهندسی اجتماعی رخ می‌دهد.
• حملات مرد میانی (Man-in-the-Middle – MITM): مهاجمان ترافیک تبادل شده بین شبکه و سایت‌های خارجی، یا ترافیک داخلی شبکه را رهگیری می‌کنند. این حملات اغلب به دلیل استفاده از پروتکل‌های ارتباطی ناامن (مانند HTTP به جای HTTPS) رخ می‌دهد و به هکرها اجازه می‌دهد داده‌های حساس را در حین انتقال سرقت کرده و به اطلاعات کاربری دست یابند.
• افزایش سطح دسترسی (Privilege Escalation): مهاجم پس از ورود اولیه به شبکه، سعی می‌کند دامنه نفوذ خود را گسترش دهد. این کار به دو صورت انجام می‌شود: افقی (دسترسی به سیستم‌های مجاور با همان سطح دسترسی) یا عمودی (کسب امتیازات بالاتر و دسترسی به سطوح مدیریتی و حساس همان سیستم).

 

 جهت خرید فایروال سیسکو به لینک مجاور مراجعه کنید: خرید انواع فایروال سیسکو

 

انتخاب فایروال برنامه (WAF) یا فایروال شبکه:

فایروال های شبکه استاندارد و WAF، محافظتی در برابر انواع مختلف تهدیدات به شمار می روند، بنابراین انتخاب یک مورد حیاتی بسیار مهم است. فایروال شبکه به تنهایی از تجارت در برابر حملات علیه صفحات وب که فقط از طریق قابلیت WAF قابل پیشگیری هستند، محافظت نمی کند.

بنابراین بدون فایروال برنامه، مشاغل می توانند شبکه گسترده خود را برای حمله از طریق آسیب پذیری های برنامه های وب باز بگذارند. با این حال، WAF نمی تواند از حمله به لایه شبکه محافظت کند، بنابراین باید این حفره توسط فایروال شبکه تکمیل شود.

راه حل های مبتنی بر وب و شبکه در لایه های مختلف کار می کنند و از انواع مختلف ترافیک محافظت می کنند. بنابراین آنها بیش از رقابت، مکمل یکدیگر هستند. فایروال شبکه معمولاً از طیف گسترده تری از انواع ترافیک محافظت می کند، در حالی که WAF با تهدید خاصی برخورد می کند که روش سنتی نمی تواند آن را پوشش دهد. بنابراین توصیه می شود که هر دو راه حل را داشته باشید، به خصوص اگر سیستم عامل های مشاغل با وب همکاری نزدیک داشته باشند.

به جای انتخاب یکی یا دیگری، چالش بیشتر انتخاب سیستم WAF مناسب است که به بهترین وجهی با نیازهای کسب و کار مطابقت داشته باشد. WAF باید دارای یک شتاب دهنده سخت افزاری باشد، ترافیک را کنترل کرده و تلاش های مخرب را مسدود کند.

 

نسل بعدی فایروال (Next-generation Firewall) در مقابل WAF و فایروال های شبکه:

خرید محصولات جداگانه فایروال برای محافظت از هر لایه امنیتی گران و دست و پا گیر است. این امر مشاغل را به سمت راه حل های جامع مانند فایروال های نسل بعدی (NGFW) سوق می دهد. NGFW ها معمولاً قابلیت های فایروال های شبکه و WAF ها را در یک سیستم تحت مدیریت مرکزی ترکیب می کنند. آنها همچنین زمینه های اضافی را برای سیاست های امنیتی فراهم می کنند، که برای محافظت از مشاغل در برابر تهدیدهای امنیتی مدرن بسیار حیاتی است.

NGFW ها سیستم های مبتنی بر زمینه هستند که از اطلاعاتی مانند هویت، زمان و مکان برای تأیید اینکه کاربر همان چیزی است که می گویند استفاده می کنند. این بینش افزوده، مشاغل را قادر می سازد تا در مورد دسترسی کاربر، آگاهانه و هوشمندانه تصمیم بگیرند. آنها همچنین شامل ویژگی هایی مانند آنتی ویروس، ضد بدافزار، سیستم های جلوگیری از نفوذ و فیلتر کردن URL هستند. این امر خطرات سیاست های امنیتی را متناسب با تهدیدهای پیچیده و فزاینده ای که مشاغل با آن روبرو هستند، ساده و بهبود می بخشد.

داشتن یک دیدگاه جامع درباره امنیت دیجیتال اغلب آسان تر و مقرون به صرفه است. با این حال، اطمینان از اینکه NGFW تمام پایه های محافظت از شبکه و برنامه های وب را پوشش می دهد بسیار حیاتی است. WAF ها نقش ویژه ای در محافظت از برنامه های وب در مقابل تزریق کد، امضای کوکی، صفحات خطای سفارشی، جعل درخواست و رمزگذاری URL دارند. (برای آشنایی با Cisco FirePower NGFW بر روی لینک کلیک کنید.)

 

چرا WAF در مقابل حملات بات‌های مخرب، موثر نیست؟

 WAF، جهت محافظت از وب سایت در برابر حمله ها طراحی شده است. و ارزش آن به قدرت همگام شدن با تغییرات مختلف وابسته است. بات های مخرب تقریبا یک چهارم کل ترافیک وب را تشکیل می دهند. این در حالی است که درصدی از بات‌ها به منظور خودکار سازی فرآیند ها طراحی می‌شوند.

و بقیه جهت اهداف مخرب و از جمله تصاحب حساب، تغییر در محتوا، کلاهبرداری های مختلف پرداخت و حملات محروم سازی از سرویس، توسط رقبا و یا سودجویان و به دلیل فضای رقابتی و یا اهداف شخصی ساخته می‌شوند.

معمولاً بات‌های پیشرفته، قدرت مانور بالایی دارند و بعضی از کنترل های امنیتی توانایی شناسایی آن‌ها را ندارند. ولی تاثیر آن‌ها مشخص است و شاخص هایی وجود دارند که می‌تواند شما را از فعالیت بات‌های مخرب آگاه کند.

70 درصد applicationها، حداقل به صورت هفتگی تغییر می‌کنند و WAF، برای اینکه بتوانند امنیت کامل را تامین کنند، باید بتوانند خود را به صورت خودکار تنظیم کنند. WAF می‌تواند، بات‌ها را بر اساس IP یا Browser fingerprinting و یا براساس درخواست های تکراری ایجاد شده مسدود کنند. با این حال WAF در مواجه با تهدیدهای پیشرفته تر ناکام می‌مانند و توانایی تشخیص بات‌ها را ندارند.

در ضمن، بات‌های نسل جدید از تکنیک های پیشرفته تری برای شناسایی نشدن استفاده می‌کنند. این تکنیک ها شامل، تقلید از رفتار انسان، سواستفاده از ابزارهای open-source و ایجاد تخلف های مختلف در sessionهای مختلف است. طبیعی است که WAF در برابر اینگونه حملات توانایی خاصی ندارد. پس باید به فکر راه حل جدید جهت مقابله با حملات احتمالی باشید.

اگر چه WAF در لایه 7 (Application) تخصص دارد، اما نباید فراموش کرد که امنیت کل زیرساخت از لایه 3 و 4 شروع می‌شود. بسیاری از رخنه‌های امنیتی بزرگ نه از ضعف WAF، بلکه از اشتباهات رایج در پیکربندی فایروال شبکه ناشی می‌شوند. بنابراین، برای داشتن یک دژ دفاعی کامل، باید مطمئن شوید که فایروال اصلی شبکه شما نیز بر اساس اصول استاندارد تنظیم شده است.

 

---

 

بیشتر بخوانید: فایروال ابری یا FWaaS چیست

 

---

 

آیا با DMZ یا Demilitarized zone آشنا هستید؟ جهت آشنایی بیشتر با آن می توانید به دو لینک زیر مراجعه نمایید:

مشاهده ویدئو آموزشی DMZ   مشاهده مقاله آموزشی DMZ چیست و چه کاربردی دارد؟     

شما میتوانید انواع فایروال را  از مسترشبکه بزرگترین فروشگاه اینترنتی تجهیزات شبکه در ایران همره با گارنتی خریداری نمایید.