فایروال وب اپلیکیشن چیست؟

فایروال برای هر نوع دستگاه و هر نوع فعالیت دیجیتالی ضروری است، زیرا حملات سایبری به بالاترین سطح تاریخی رسیده‌اند و امنیت و حریم خصوصی کاربران درخطر است. البته که فایروال هم مانند سایر خدمات انواع مختلف دارد که هر یک برای محافظت از یک نوع سخت‌افزار یا نرم‌افزار مناسب هستند.

در این مقاله، فایروال وب اپلیکیشن (Web Application Firewall) را معرفی می‌کنیم و انواع مختلف و مزایا/معایبش را بررسی می‌کنیم.

یک فایروال وب اپلیکیشن (WAF) ، اپلیکیشن‌های وب را با استفاده از فیلتر کردن و مانیتور کردن ترافیک HTTP بین اینترنت و وب اپلیکیشن محافظت می‌کند و معمولا حمله‌هایی مانند جعل درخواست (Cross-Site Request Forgery)، تزریق کد  (cross-site scripting)، جای گذاری فایل (file inclusion) و تزریق  دیتابیس(SQL injection) را خنثی می‌کند. در مدل OSI (مدل ۷ لایه اتصال متقابل سیستم‌های باز) یک پروتکل لایه ۷ دفاعی است و برای مقابله با هر نوع حمله‌ای طراحی نشده است. این متد دفاعی معمولاً بخشی از مجموعه ابزارهایی است که باهم یک سیستم دفاعی جامع را در مقابل انواع حملات سایبری تشکیل می‌دهند.

با قرار دادن WAF در مقابل وب اپلیکیشن، یک شیلد بین وب اپلیکیشن و اینترنت قرار می‌گیرد. درحالی‌که یک سرور پروکسی هویت دستگاه کلاینت را با استفاده از یک واسطه محافظت می‌کند اما WAF یک نوع پروکسی معکوس است که سرور را از دید دیگران پنهان می‌کند برای اینکه کلاینت باید از WAF عبور کند تا به سرور برسد.

یک WAF از طریق قوانینی که policies نامیده می‌شوند کار می‌کند. هدف این قوانین محافظت در مقابل نقاط آسیب‌پذیر وب اپلیکیشن است که با فیلتر کردن ترافیک مشکوک و خرابکارانه محقق می‌شود. بخشی از ارزش WAF از سرعت‌بالا و آسان بودن آن ناشی می‌شود که در مواقع نیاز تغییر سریع قوانین را ممکن می‌کند تا پاسخ سریع‌تری به انواع حملات داده شود. مثلا در زمان یک حمله DDoS محدود کردن حجم ترافیک(rate limiting) بلافاصله با تغییر قوانین WAF عملی می‌شود تا حمله خنثی شود یا شدت حمله کاهش پیدا کند.

تفاوت بین لیست سیاه‌وسفید در WAF چیست؟

یک WAF که بر اساس لیست سیاه‌ کار می‌کند (مدل امنیتی منفی) فقط در برابر حملات شناخته‌شده محافظت کند. لیست سیاه مانند یک مامور امنیتی در ورودی یک مراسم رسمی است که مهمان‌هایی که لباس مناسب نپوشیده‌اند را به داخل راه نمی‌دهد. اما لیست سفید برعکس است (مدل امنیتی مثبت) و فقط به ترافیکی اجازه ورود می‌دهد که قبلا تایید شده است. در مثال مراسم، مامور امنیتی فقط به افرادی اجازه ورود می‌دهد که در لیست مدعوین باشند. هر دو لیست سیاه‌وسفید مزایا و معایب خود را دارند به همین دلیل WAF یک مدل امنیتی هیبرید ارائه می‌کند تا هر دو لیست را داشته باشد.

انواع WAF چیست؟

WAF می‌تواند به ۳ راه اجرا شود که هرکدام مزایا و معایب خود را دارند:

1. WAF مبتنی بر شبکه (Network-based) معمولا سخت‌افزاری است. ازآنجایی‌که این مدل به‌صورت لوکال نصب می‌شود تاخیر را به حداقل می‌رساند اما گران‌ترین گزینه است و فضای کافی و هزینه تعمیر و نگهداری تجهیزات را هم دارد.
2. WAF مبتنی بر میزبان (Host-based) می‌تواند به‌صورت کامل با نرم‌افزار وب اپلیکیشن یکپارچه شود و قابلیت سفارشی‌سازی بیشتری هم دارد. اما عیب این مدل این است که مصرف منابع سرور لوکال بالاست، نحوه اجرا پیچیده است و هزینه تعمیر و نگهداری هم زیاد است. علاوه بر اینکه  معمولا نیاز به تخصص مهندسی هم دارد که شاید هزینه‌اش زیاد باشد.
3. WAF مبتنی بر ابرها (Cloud-based) یک گزینه مقرون‌به‌صرفه ارائه می‌کند که اجرایش هم ساده و آسان است چراکه معمولا فقط با تغییر DNS برای ریدایرکت ترافیک نصب می‌شود. این مدل هزینه خرید سرویس یا تجهیزات هم ندارد برای اینکه کاربران به‌صورت ماهانه یا سالانه بابت خدمات امنیتی پرداخت می‌کنند. WAF مبتنی بر ابرها می‌تواند یک‌راه حل مفید که به‌صورت مستمر به‌روزرسانی می‌شود را ارائه کند تا در مقابل جدیدترین تهدیدها آماده باشد بدون اینکه کار یا هزینه اضافه برای کاربر داشته باشد. عیب این مدل این است که کاربران مسئولیت کامل را به یک ‌طرف سوم تسلیم می‌کنند درنتیجه با همه ویژگی‌های سیستم آشنا نمی‌شوند.