امنیت

تفاوت‌های Web application Firewall و Next Generation در چیست؟

پرسشی که برخی از کاربران حرفه‌ای و مدیران فناوری اطلاعات سازمان‌ها مطرح می‌کنند این است که چرا با وجود دیوارهای آتش نسل بعد (NGFW) سرنام Next Generation Firewall باید به سراغ دیوارهای آتش وب محور (WAF) سرنام Web Application Firewall برویم؟

در ظاهر این‌گونه به نظر می‌رسد که دیوارهای آتش نسل بعد می‌توانند بدون مشکل از سامانه‌ها و زیرساخت‌های ارتباطی محافظت کنند و نیاز نیست به سراغ دیوارهای آتش مبتنی بر وب برویم. در این مقاله عملکرد هر یک از این دیوارهای آتش را تشریح کرده و تفاوت‌های هر یک را بررسی خواهیم کرد

برنامه کاربردی تحت وب چیست؟

قبل از آنکه به تشریح تفاوت‌های این دو نرم‌افزار امنیتی برویم، ابتدا توضیحی کوتاه در ارتباط با برنامه‌های کاربردی تحت وب ارائه کنیم. برنامه تحت وب، نوعی برنامه کاربردی است که در سرورهای راه دور ذخیره شده و از طریق اینترنت و رابط کاربری یک مرورگر اینترنتی قابل‌استفاده است.

در روزهای آغازین پیدایش وب، وب‌سایت‌ها عمدتاً متشکل از صفحات ایستایی بودند که تعامل چندانی با کاربران نداشتند. به عبارت دقیق‌تر، تعامل کاربران با صفحات وب با محدودیت‌های بسیاری همراه بود و صفحات تنها به چند کلیک ساده ماوس واکنش نشان می‌دادند، زیرا هوشمند نبودند.

در دهه 90 میلادی، وب‌سرورها ارتقا پیدا کردند و ارتباط با اسکریپت‌های سفارشی سمت سرور (Server-Side Custom Script) ارائه شد تا این محدودیت برداشته شده و هرگونه کنشی از سوی کاربر با واکنشی از سوی صفحه روبرو شود.

این تعامل به سازمان‌ها اجازه داد برای انجام فعالیت‌های تجاری و گسترش حیطه کاری خود به سراغ راهکارهای منحصر بفردی همچون تجارت الکترونیک، صندوق پستی، بانک‌داری اینترنتی، وبلاگ‌ها، وب‌فروم‌ها و زیرساخت‌های سفارشی بروند. تمامی این برنامه‌های کاربردی تحت وب از پروتکل انتقال ابر متن (HTTP) و HTTPS برای برقراری ارتباط میان مرورگر وب و وب‌سرور استفاده می‌کنند. امروزه،

برنامه‌های کاربردی وب محور پیچیده‌تر از گذشته شده‌اند و وابستگی آن‌ها به اسکریپت‌ها و زبان‌هایی همچون جاوا، جاوا اسکریپت، HTML5، پی‌اچ‌دی، را بی، پایتون و ASP.Net که رابط‌های کاربردی بهتری ارائه می‌کنند و کتابخانه‌ها و چارچوب‌های پیچیده‌ای که قابلیت‌های تعاملی‌تری در اختیار نرم‌افزارها قرار می‌دهند بیشتر شده است.

در سویی دیگر، برنامه‌های کاربردی تحت وب نقش مهمی در پیشبرد اهداف تجاری کسب‌‌وکارهایی دارند که حوزه کاری آن‌ها به بانک‌های اطلاعاتی بک‌اند وابسته است.

این بانک‌های اطلاعاتی می‌توانند مخزن برای داده‌های شرکتی، داده‌های مشتریان یا سایر اطلاعات حساس باشند که لازم است به شکل ساخت‌یافته در دسترس کارمندان شرکت قرار داشته باشد و مهم‌تر از آن به شکل ایمن نگه‌داری شوند. برنامه‌های کاربردی همواره موردتوجه هکرها قرار دارند، چرا که به شکل متن‌باز هستند و دسترسی به آن‌ها از طریق اینترنت امکان‌پذیر است. این موضوع به لحاظ امنیتی یک چالش جدی به شمار می‌رود.

دیوار آتش نسل بعد

دیوارهای آتش سنتی قابلیت‌هایی همچون فیلترسازی بسته‌ها، ترجمه آدرس پورت (NAT) و شبکه خصوصی مجازی را ارائه می‌کنند. به عبارت دقیق‌تر، هر کاری که دیوارهای آتش سنتی انجام می‌دهند مبتنی بر پورت‌ها، پروتکل‌ها و آدرس‌های آی‌پی است.

امروزه پیاده‌سازی خط‌مشی‌های امنیتی بر مبنای یک چنین روش غیرمنعطف و مبهمی کاربردی و قابل‌اطمینان نیست. دیوارهای آتش نسل بعد با اضافه‌کردن ساختارهای مبتنی بر خط‌مشی‌های امنیتی این شکاف بزرگ را پوشش دادند.

سامانه‌های مبتنی بر ساختار به شکل طراحی شده‌اند که به روشی هوشمندانه و باهدف اتخاذ تصمیمات هوشمندانه امنیتی از داده‌ها و اطلاعاتی شبیه به موقعیت مکانی، هویتی، زمانی و غیر استفاده می‌کنند.

دیوارهای آتش نسل بعد با ارائه قابلیت‌های کاربردی شبیه به فیلترکردن آدرس‌ها، ضدویروس و ضدبدافزاری، سامانه‌های پیشگیری از نفوذ (IPS) به سازمان‌ها اجازه داده‌اند به مقابله با بدافزارهای نسل دوم و حتی سوم بپردازند.

در چنین شرایطی سازمان‌ها به‌جای آنکه مجبور شوند از راهکارهای مختلفی استفاده کنند، قادر هستند با اعمال خط‌مشی‌های امنیتی، اثربخشی مکانیزم‌های امنیتی را دوچندان کنند.

دیوار آتش تحت وب چیست؟

دیوارهای آتش لایه هفت، از وب سرورها و برنامه‌های کاربردی تحت وب که در وب میزبانی می‌شوند، در برابر حملات لایه کاربردی از طریق پروتکل HTTP و HTTPS و همچنین حملات غیر حجمی در لایه شبکه محافظت می‌کنند.

این دیوارهای آتش به شکلی طراحی شده‌اند تا بخشی از ترافیک شبکه کاربر را زیر نظر گرفته و محافظت کنند، به‌ویژه آن بخش از ترافیک که قرار است از اینترنت عبور کند و به سمت برنامه کاربردی تحت وب برسد.

دیوارهای آتش تحت وب قابل‌تغییر و سفارشی هستند و هماهنگ با طراحی خاص برنامه‌های کاربردی تحت وبی که مشتریان از آن‌ها استفاده می‌کنند تنظیم می‌شوند. گاهی اوقات این دیوارهای آتش به شکل In-Line روی (ADC) سرنام Application Delivery Controller نصب می‌شوند.

قابلیت‌های دیوارهای آتش WAF

ویژگی شخصی‌سازی برنامه‌های کاربردی تحت وب، هشدارهای مثبت کاذب یا کاهش عملکرد که نتیجه محافظت از شبکه بر مبنای الگوهای ترافیکی شبکه‌ها هستند در برخی موارد دردسرساز می‌شوند.

دیوارهای آتش نسل بعد یا سامانه‌های پیشگیری از نفوذ (IPS) در حالت پیش‌فرض، اکثر اعضاءها (Signature) محافظت از برنامه‌های کاربردی تحت وب را غیرفعال می‌کنند تا مشکلات این‌چنینی به کمترین میزان برسند. بااین‌حال، شرکت‌ها مجموعه ساده‌ای از علامت‌ها را ارائه می‌کنند و متأسفانه به قابلیت‌های پیشرفته‌ای که WAF ارائه می‌کنند تجهیز نیستند.

WAF بااطلاع از پروتکل‌ها و الگوهای به کار گرفته شده توسط زبان‌های برنامه‌نویسی تحت وب موتورهایی را برای دسته‌بندی و رمزگشایی ترافیک اختصاص می‌دهند تا ترافیک عادی شبکه با مشکل خاصی روبرو نشود.

دیوارهای آتش WAF با قابلیت‌های پیشرفته‌تری شبیه به SSL/TLS، decryption/Offloading ترکیب شده‌اند تا عملکرد بانک‌های اطلاعاتی که امضا بدافزارها را نگه‌داری می‌کنند بهبود پیدا کرده و شناسایی حملات شبکه بادقت بیشتری انجام شود.

به طور مثال، F5 Networks در صدر بانک‌های اطلاعاتی حاوی امضا‌های مرتبط با حملات وب قرار دارد و قابلیت‌های کاربردی شبیه به حفاظت از آدرس‌های اینترنتی، نظارت بر کوکی‌ها و فرم‌های وب را ارائه می‌کند تا اطلاعات ورودی کاربر به برنامه کاربردی تحت وب به دقیق‌ترین شکل زیر نظر قرار گرفته و کنترل شوند.

پیاده‌سازی خط‌مشی‌های امنیتی WAF توسط یک موتور یادگیری خط‌مشی‌ها اعمال می‌شود. این موتور هوشمند درخواست کلاینت‌ها را توسط پروتکل‌های HTTP و HTTPS و پاسخ برنامه‌های کاربردی تحت وب را دریافت می‌کند.

در این حالت نقشه‌ای از آدرس اینترنتی، پارامترها و اعضاءهای حملات وب آماده می‌شود تا در صورت لزوم اعمال شود یا در فهرست سفید قرار گیرند. علاوه بر این، F5 WAF از تکنیک‌هایی شبیه به رمزگذاری آدرس اینترنتی، قراردادن کد در صفحات وب، Cookie Signing و صفحات خطای سفارشی، پاسخ‌های ارسال برنامه‌های کاربردی تحت وب را ویرایش می‌کند تا مانع پیاده‌سازی درخواست‌های جعلی Cross-Site شود و به این شکل از برنامه‌های کاربردی تحت وب کاربران محافظت کند.

آخرین تفاوت این نوع دیوارهای آتش در ردیابی نشست‌های‌ (Session) کاربر است هرگونه رفتار مخربی که ممکن است در روند طبیعی کاربر برنامه کاربردی تحت وب اختلال ایجاد کند را تشخیص دهند.

این دیوار آتش به موتورهای پیشرفته‌ای همچون ضدبات (Anti-Bot) و ضد منع سرویس توزیع شده (Anti-DDoS) تجهیز شده و به شکل اختیاری سرویس‌های پیشرفته‌تری همچون احراز هویت Single Sign-on، احراز هویت چندمرحله‌ای (MFA) یا پیش احراز هویت برنامه‌های کاربردی تحت وب را ارائه می‌کند. به طور مثال، SecureLink یکی از پیش‌گامان ارائه خدمات امنیتی یکپارچه در اروپا است که ترکیبی از F5 Networks WAF و NGFW را ارائه می‌کند.

منبع:shabakeh-mag

مقالات مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این رو هم ببین
بستن
دکمه بازگشت به بالا