تفاوتهای Web application Firewall و Next Generation در چیست؟
پرسشی که برخی از کاربران حرفهای و مدیران فناوری اطلاعات سازمانها مطرح میکنند این است که چرا با وجود دیوارهای آتش نسل بعد (NGFW) سرنام Next Generation Firewall باید به سراغ دیوارهای آتش وب محور (WAF) سرنام Web Application Firewall برویم؟
در ظاهر اینگونه به نظر میرسد که دیوارهای آتش نسل بعد میتوانند بدون مشکل از سامانهها و زیرساختهای ارتباطی محافظت کنند و نیاز نیست به سراغ دیوارهای آتش مبتنی بر وب برویم. در این مقاله عملکرد هر یک از این دیوارهای آتش را تشریح کرده و تفاوتهای هر یک را بررسی خواهیم کرد
برنامه کاربردی تحت وب چیست؟
قبل از آنکه به تشریح تفاوتهای این دو نرمافزار امنیتی برویم، ابتدا توضیحی کوتاه در ارتباط با برنامههای کاربردی تحت وب ارائه کنیم. برنامه تحت وب، نوعی برنامه کاربردی است که در سرورهای راه دور ذخیره شده و از طریق اینترنت و رابط کاربری یک مرورگر اینترنتی قابلاستفاده است.
در روزهای آغازین پیدایش وب، وبسایتها عمدتاً متشکل از صفحات ایستایی بودند که تعامل چندانی با کاربران نداشتند. به عبارت دقیقتر، تعامل کاربران با صفحات وب با محدودیتهای بسیاری همراه بود و صفحات تنها به چند کلیک ساده ماوس واکنش نشان میدادند، زیرا هوشمند نبودند.
در دهه 90 میلادی، وبسرورها ارتقا پیدا کردند و ارتباط با اسکریپتهای سفارشی سمت سرور (Server-Side Custom Script) ارائه شد تا این محدودیت برداشته شده و هرگونه کنشی از سوی کاربر با واکنشی از سوی صفحه روبرو شود.
این تعامل به سازمانها اجازه داد برای انجام فعالیتهای تجاری و گسترش حیطه کاری خود به سراغ راهکارهای منحصر بفردی همچون تجارت الکترونیک، صندوق پستی، بانکداری اینترنتی، وبلاگها، وبفرومها و زیرساختهای سفارشی بروند. تمامی این برنامههای کاربردی تحت وب از پروتکل انتقال ابر متن (HTTP) و HTTPS برای برقراری ارتباط میان مرورگر وب و وبسرور استفاده میکنند. امروزه،
برنامههای کاربردی وب محور پیچیدهتر از گذشته شدهاند و وابستگی آنها به اسکریپتها و زبانهایی همچون جاوا، جاوا اسکریپت، HTML5، پیاچدی، را بی، پایتون و ASP.Net که رابطهای کاربردی بهتری ارائه میکنند و کتابخانهها و چارچوبهای پیچیدهای که قابلیتهای تعاملیتری در اختیار نرمافزارها قرار میدهند بیشتر شده است.
در سویی دیگر، برنامههای کاربردی تحت وب نقش مهمی در پیشبرد اهداف تجاری کسبوکارهایی دارند که حوزه کاری آنها به بانکهای اطلاعاتی بکاند وابسته است.
این بانکهای اطلاعاتی میتوانند مخزن برای دادههای شرکتی، دادههای مشتریان یا سایر اطلاعات حساس باشند که لازم است به شکل ساختیافته در دسترس کارمندان شرکت قرار داشته باشد و مهمتر از آن به شکل ایمن نگهداری شوند. برنامههای کاربردی همواره موردتوجه هکرها قرار دارند، چرا که به شکل متنباز هستند و دسترسی به آنها از طریق اینترنت امکانپذیر است. این موضوع به لحاظ امنیتی یک چالش جدی به شمار میرود.
دیوار آتش نسل بعد
دیوارهای آتش سنتی قابلیتهایی همچون فیلترسازی بستهها، ترجمه آدرس پورت (NAT) و شبکه خصوصی مجازی را ارائه میکنند. به عبارت دقیقتر، هر کاری که دیوارهای آتش سنتی انجام میدهند مبتنی بر پورتها، پروتکلها و آدرسهای آیپی است.
امروزه پیادهسازی خطمشیهای امنیتی بر مبنای یک چنین روش غیرمنعطف و مبهمی کاربردی و قابلاطمینان نیست. دیوارهای آتش نسل بعد با اضافهکردن ساختارهای مبتنی بر خطمشیهای امنیتی این شکاف بزرگ را پوشش دادند.
سامانههای مبتنی بر ساختار به شکل طراحی شدهاند که به روشی هوشمندانه و باهدف اتخاذ تصمیمات هوشمندانه امنیتی از دادهها و اطلاعاتی شبیه به موقعیت مکانی، هویتی، زمانی و غیر استفاده میکنند.
دیوارهای آتش نسل بعد با ارائه قابلیتهای کاربردی شبیه به فیلترکردن آدرسها، ضدویروس و ضدبدافزاری، سامانههای پیشگیری از نفوذ (IPS) به سازمانها اجازه دادهاند به مقابله با بدافزارهای نسل دوم و حتی سوم بپردازند.
در چنین شرایطی سازمانها بهجای آنکه مجبور شوند از راهکارهای مختلفی استفاده کنند، قادر هستند با اعمال خطمشیهای امنیتی، اثربخشی مکانیزمهای امنیتی را دوچندان کنند.
دیوار آتش تحت وب چیست؟
دیوارهای آتش لایه هفت، از وب سرورها و برنامههای کاربردی تحت وب که در وب میزبانی میشوند، در برابر حملات لایه کاربردی از طریق پروتکل HTTP و HTTPS و همچنین حملات غیر حجمی در لایه شبکه محافظت میکنند.
این دیوارهای آتش به شکلی طراحی شدهاند تا بخشی از ترافیک شبکه کاربر را زیر نظر گرفته و محافظت کنند، بهویژه آن بخش از ترافیک که قرار است از اینترنت عبور کند و به سمت برنامه کاربردی تحت وب برسد.
دیوارهای آتش تحت وب قابلتغییر و سفارشی هستند و هماهنگ با طراحی خاص برنامههای کاربردی تحت وبی که مشتریان از آنها استفاده میکنند تنظیم میشوند. گاهی اوقات این دیوارهای آتش به شکل In-Line روی (ADC) سرنام Application Delivery Controller نصب میشوند.
قابلیتهای دیوارهای آتش WAF
ویژگی شخصیسازی برنامههای کاربردی تحت وب، هشدارهای مثبت کاذب یا کاهش عملکرد که نتیجه محافظت از شبکه بر مبنای الگوهای ترافیکی شبکهها هستند در برخی موارد دردسرساز میشوند.
دیوارهای آتش نسل بعد یا سامانههای پیشگیری از نفوذ (IPS) در حالت پیشفرض، اکثر اعضاءها (Signature) محافظت از برنامههای کاربردی تحت وب را غیرفعال میکنند تا مشکلات اینچنینی به کمترین میزان برسند. بااینحال، شرکتها مجموعه سادهای از علامتها را ارائه میکنند و متأسفانه به قابلیتهای پیشرفتهای که WAF ارائه میکنند تجهیز نیستند.
WAF بااطلاع از پروتکلها و الگوهای به کار گرفته شده توسط زبانهای برنامهنویسی تحت وب موتورهایی را برای دستهبندی و رمزگشایی ترافیک اختصاص میدهند تا ترافیک عادی شبکه با مشکل خاصی روبرو نشود.
دیوارهای آتش WAF با قابلیتهای پیشرفتهتری شبیه به SSL/TLS، decryption/Offloading ترکیب شدهاند تا عملکرد بانکهای اطلاعاتی که امضا بدافزارها را نگهداری میکنند بهبود پیدا کرده و شناسایی حملات شبکه بادقت بیشتری انجام شود.
به طور مثال، F5 Networks در صدر بانکهای اطلاعاتی حاوی امضاهای مرتبط با حملات وب قرار دارد و قابلیتهای کاربردی شبیه به حفاظت از آدرسهای اینترنتی، نظارت بر کوکیها و فرمهای وب را ارائه میکند تا اطلاعات ورودی کاربر به برنامه کاربردی تحت وب به دقیقترین شکل زیر نظر قرار گرفته و کنترل شوند.
پیادهسازی خطمشیهای امنیتی WAF توسط یک موتور یادگیری خطمشیها اعمال میشود. این موتور هوشمند درخواست کلاینتها را توسط پروتکلهای HTTP و HTTPS و پاسخ برنامههای کاربردی تحت وب را دریافت میکند.
در این حالت نقشهای از آدرس اینترنتی، پارامترها و اعضاءهای حملات وب آماده میشود تا در صورت لزوم اعمال شود یا در فهرست سفید قرار گیرند. علاوه بر این، F5 WAF از تکنیکهایی شبیه به رمزگذاری آدرس اینترنتی، قراردادن کد در صفحات وب، Cookie Signing و صفحات خطای سفارشی، پاسخهای ارسال برنامههای کاربردی تحت وب را ویرایش میکند تا مانع پیادهسازی درخواستهای جعلی Cross-Site شود و به این شکل از برنامههای کاربردی تحت وب کاربران محافظت کند.
آخرین تفاوت این نوع دیوارهای آتش در ردیابی نشستهای (Session) کاربر است هرگونه رفتار مخربی که ممکن است در روند طبیعی کاربر برنامه کاربردی تحت وب اختلال ایجاد کند را تشخیص دهند.
این دیوار آتش به موتورهای پیشرفتهای همچون ضدبات (Anti-Bot) و ضد منع سرویس توزیع شده (Anti-DDoS) تجهیز شده و به شکل اختیاری سرویسهای پیشرفتهتری همچون احراز هویت Single Sign-on، احراز هویت چندمرحلهای (MFA) یا پیش احراز هویت برنامههای کاربردی تحت وب را ارائه میکند. به طور مثال، SecureLink یکی از پیشگامان ارائه خدمات امنیتی یکپارچه در اروپا است که ترکیبی از F5 Networks WAF و NGFW را ارائه میکند.
منبع:shabakeh-mag