Web Application Firewall و Next Generation چه تفاوت‌هایی با یکدیگر دارند؟

برنامه کاربردی تحت وب چیست؟

قبل از آن‌که به تشریح تفاوت‌های این دو نرم‌افزار امنیتی برویم، ابتدا توضیحی کوتاه در ارتباط با برنامه‌های کاربردی تحت وب ارائه کنیم. برنامه تحت وب، نوعی برنامه کاربردی است که در سرورهای راه دور ذخیره شده و از طریق اینترنت و رابط کاربری یک مرورگر اینترنتی قابل استفاده است. در روزهای آغازین پیدایش وب، وب‌سایت‌ها عمدتا متشکل از صفحات ایستایی بودند که تعامل چندانی با کاربران نداشتند. به عبارت دقیق‌تر، تعامل کاربران با صفحات وب با محدویت‌های بسیاری همراه بود و صفحات تنها به چند کلیک ساده ماوس واکنش نشان می‌دادند، زیرا هوشمند نبودند. در دهه 90 میلادی، وب‌سرورها ارتقا پیدا کردند و ارتباط با اسکریپت‌های سفارشی سمت سرور (Server-Side Custom Script) ارائه شد تا این محدودیت برداشته شده و هرگونه کنشی از سوی کاربر با واکنشی از سوی صفحه روبرو شود. این تعامل به سازمان‌ها اجازه داد برای انجام فعالیت‌های تجاری و گسترش حیطه کاری خود به سراغ راهکارهای منحصر بفردی همچون تجارت الکترونیک، صندوق پستی، بانک‌داری اینترنتی، وبلاگ‌ها، وب‌فروم‌ها و زیرساخت‌های سفارشی بروند. تمامی این برنامه‌های کاربردی تحت وب از پروتکل انتقال ابر متن (HTTP) و HTTPS برای برقراری ارتباط میان مرورگر وب و وب‌سرور استفاده می‌کنند. امروزه،

برنامه‌های کاربردی وب‌محور پیچیده‌تر از گذشته شده‌اند و وابستگی آن‌ها به اسکریپت‌ها و زبان‌هایی همچون جاوا، جاوااسکریپت، HTML5، پی‌اچ‌پی، رابی، پایتون و ASP.Net که رابط‌های کاربردی بهتری ارائه می‌کنند و کتابخانه‌ها و چارچوب‌های پیچیده‌ای که قابلیت‌های تعاملی‌تری در اختیار نرم‌افزارها قرار می‌دهند بیشتر شده است.

در سویی دیگر، برنامه‌های کاربردی تحت وب نقش مهمی در پیشبرد اهداف تجاری کسب‌‌وکارهایی دارند که حوزه کاری آن‌ها به بانک‌های اطلاعاتی بک‌اند وابسته است. این بانک‌های اطلاعاتی می‌توانند مخزن برای داده‌های شرکتی، داده‌های مشتریان یا سایر اطلاعات حساس باشند که لازم است به شکل ساخت یافته در دسترس کارمندان شرکت قرار داشته باشد و مهم‌تر از آن به شکل ایمن نگه‌داری شوند. برنامه‌های کاربردی همواره مورد توجه هکرها قرار دارند، چرا که به شکل متن باز هستند و دسترسی به آن‌ها از طریق اینترنت امکان‌پذیر است. این موضوع به لحاظ امنیتی یک چالش جدی به شمار می‌رود.

دیوار آتش نسل بعد

دیوارهای آتش سنتی قابلیت‌هایی همچون فیلترسازی بسته‌ها، ترجمه آدرس پورت (NAT)  و شبکه خصوصی مجازی را ارائه می‌کنند. به عبارت دقیق‌تر، هر کاری که دیوارهای آتش سنتی انجام می‌دهند مبتنی بر پورت‌ها، پروتکل‌ها و آدرس‌های آی‌پی است. امروزه پیاده‌سازی خط‌مشی‌های امنیتی بر مبنای یک چنین روش غیر منعطف و مبهمی کاربردی و قابل اطمینان نیست. دیوارهای آتش نسل بعد با اضافه کردن ساختارهای مبتنی بر خط‌مشی‌های امنیتی این شکاف بزرگ را پوشش دادند. سامانه‌های مبتنی بر ساختار به شکل طراحی شده‌اند که به روشی هوشمندانه و با هدف اتخاذ تضمیمات هوشمندانه امنیتی از داده‌ها و اطلاعاتی شبیه به موقعیت مکانی، هویتی، زمانی و غیر استفاده می‌کنند. دیوارهای آتش نسل بعد با ارائه قابلیت‌های کاربردی شبیه به فیلتر کردن آدرس‌ها، ضدویروس و ضدبدافزار، سامانه‌های پیشگیری از نفوذ (IPS) به سازمان‌ها اجازه داده‌اند به مقابله با بدافزارهای نسل دوم و حتا سوم بپردازند. در چنین شرایطی سازمان‌ها به جای آن‌که مجبور شوند از راهکارهای مختلفی استفاده کنند، قادر هستند با اعمال خط‌مشی‌های امنیتی، اثربخشی مکانیزم‌های امنیتی را دوچندان کنند.

دیوار آتش تحت وب چیست؟

دیوارهای آتش لایه هفت، از وب‌سرورها و برنامه‌های کاربردی تحت وب که در وب میزبانی می‌شوند، در برابر حملات لایه کاربردی از طریق پروتکل HTTP و HTTPS و همچنین حملات غیر حجمی در لایه شبکه محافظت می‌کنند. این دیوارهای آتش به شکلی طراحی شده‌اند تا بخشی از ترافیک شبکه کاربر را زیر نظر گرفته و محافظت کنند، به ویژه آن بخش از ترافیک که قرار است از اینترنت عبور کند و به سمت برنامه کاربردی تحت وب برسد. دیوارهای آتش تحت وب قابل تغییر و سفارشی هستند و هماهنگ با طراحی خاص برنامه‌های کاربردی تحت وبی که مشتریان از آن‌ها استفاده می‌کنند تنظیم می‌شوند. گاهی اوقات این دیوارهای آتش به شکل In-Line روی (ADC) سرنام Application Delivery Controller نصب می‌شوند.

قابلیت‌های دیوارهای آتش WAF

ویژگی شخصی‌سازی برنامه‌های کاربردی تحت وب، هشدارهای مثبت کاذب یا کاهش عملکرد که نتیجه محافظت از شبکه بر مبنای الگوهای ترافیکی شبکه‌ها هستند در برخی موارد دردسرساز می‌شوند. دیوارهای آتش نسل بعد یا سامانه‌های پیشگیری از نفوذ (IPS) در حالت پیش‌فرض، اکثر امضاء‌ها (Signature) محافظت از برنامه‌های کاربردی تحت وب را غیر فعال می‌کنند تا مشکلات این چنینی به کمترین میزان برسند. با این حال، شرکت‌ها مجموعه ساده‌ای از علامت‌ها را ارائه می‌کنند و متاسفانه به قابلیت‌های پیشرفته‌ای که WAF ارائه می‌کنند تجهیز نیستند. WAF با اطلاع از پروتکل‌ها و الگوهای به کار گرفته شده توسط زبان‌های برنامه‌نویسی تحت وب موتورهایی را برای دسته‌بندی و رمزگشایی ترافیک اختصاص می‌دهند تا ترافیک عادی شبکه با مشکل خاصی روبرو نشود. دیوارهای آتش WAF با قابلیت‌های پیشرفته‌تری شبیه به SSL/TLS، decryption/Offloading ترکیب شده‌اند تا عملکرد بانک‌های اطلاعاتی که امضا بدافزارها را نگه‌داری می‌کنند بهبود پیدا کرده و شناسایی حملات شبکه با دقت بیشتری انجام شود. به‌طور مثال، F5 Networks در صدر بانک‌های اطلاعاتی حاوی امضا‌های مرتبط با حملات وب قرار دارد و  قابلیت‌های کاربردی شبیه به حفاظت از آدرس‌های اینترنتی، نظارت بر کوکی‌ها و فرم‌های وب را ارائه می‌کند تا اطلاعات ورودی کاربر به برنامه کاربردی تحت وب به دقیق‌ترین شکل زیر نظر قرار گرفته و کنترل شوند.

پیاده‌سازی خط‌مشی‌های امنیتی WAF توسط یک موتور یادگیری خط‌مشی‌ها اعمال می‌شود. این موتور هوشمند درخواست کلاینت‌ها را توسط پروتکل‌های HTTP و HTTPS و پاسخ برنامه‌های کاربردی تحت وب را دریافت می‌کند. در این حالت نقشه‌ای از آدرس اینترنتی، پارامترها و امضاء‌های حملات وب آماده می‌شود تا در صورت لزوم اعمال شود یا در فهرست سفید قرار گیرند. علاوه بر این، F5 WAF از تکنیک‌هایی شبیه به رمزگذاری آدرس اینترنتی، قرار دادن کد در صفحات وب، Cookie Signing و صفحات خطای سفارشی، پاسخ‌های ارسال برنامه‌های کاربردی تحت وب را ویرایش می‌کند تا مانع پیاده‌سازی درخواست‌های جعلی Cross-Site شود و به این شکل از برنامه‌های کاربردی تحت وب کاربران محافظت کند. آخرین تفاوت این نوع دیوارهای آتش در ردیابی نشست‌های‌ (Session) کاربر است هرگونه رفتار مخربی که ممکن است در روند طبیعی کاربر برنامه کاربردی تحت وب اختلال ایجاد کند را تشخیص دهند. این دیوار آتش به موتورهای پیشرفته‌ای همچون ضدبات (Anti-Bot) و ضد منع سرویس توزیع شده (Anti-DDoS) تجهیز شده و به شکل اختیاری سرویس‌های پیشرفته‌تری همچون احراز هویت Single Sign-on، احراز هویت چند مرحله‌ای (MFA) یا پیش احراز هویت برنامه‌های کاربردی تحت وب را ارائه می‌کند. به‌طور مثال، SecureLink یکی از پیشگامان ارائه خدمات امنیتی یکپارچه در اروپا است که ترکیبی از F5 Networks WAF و NGFW را ارائه می‌کند.