WAF چیست؟

امروزه داشتن وب سایت برای شرکتها، سازمان ها، موسسات، دیگر یک نیاز نیست بلکه ضرورت است. در عصر ارتباطات، اینترنت و صفحات وب از جمله مهمترین ابزار ارتباطی انسان در هزاره سوم به شمار می آیند. به همین دلیل برنامه های کاربردی نیز به همین سو رو کرده و به صورت مبتنی بر وب عرضه می شوند. گستردگی و سرعت دسترسی به اطلاعات صفحات وب، هزینه مناسب در مقایسه با امکانات و خدماتی که در اختیار کاربران خود قرار می دهد و همچنین قابلیت به روزرسانی و مدیریت آنها از جمله مهمترین ویژگیهای آن می باشد که امروزه وب را به یکی از مهمترین و موثرترین ابزار ارتباطی و اطلاع رسانی تبدیل ساخته است. 
اما در این بین افرادی وجود دارد که به دلایل سیاسی، اقتصادی، و… به دنبال هک کردن سایت ها و سرورهای سازمانها و ادارات  هستند و متأسفانه در سالهای اخیر کشور ما از این حیث آسیب های فراوانی دیده است.  
به همین دلیل تأمین امنیت و کاهش بروز مشکلات و حملات به این سرویس در فضای تبادل اطلاعات امری بسیار مهم تلقی می گردد. 
حملات خارجی، می تواند از طریق حملات تحت وب باشد و باعث از کار افتادن و اختلال در شبکه شوند. 
وظیفه اصلی (WAF (WEB APPLICATION FIREWALL مدیریت راه کار های امنیتی برای حفاظت از اینگونه حملات می باشد.

WAF یک ابزار امنیتی برای حفاظت Web Application ها از کسانی است که می خواهند از طریق آسیب پذیری های Web Application ها به وب سرور حمله کنند. 
به بیان ساده (WAF (WEB APPLICATION FIREWALL یک دستگاه سخت افزاری، ماژول نرم افزاری و یا یک فیلتر است که تمام درخواستهایی را که به سامانه های مبتنی بر وب ارسال میشود، اعتبارسنجی میکند.  
WAF به وسیله قوانینی که توسط مدیر سیستم تعیین میشود یا خود به مرور زمان فرا میگیرد چگونه از حمله هایی مانند اجرای اسکریپت در مرورگر کاربر ((Cross Site Scripting ((XSS و تزریق دستورات پایگاه داده (SQL Injections) و دستکاری پارامترها (Parameter Manipulation) جلوگیری کند.
WAF را به شکلهای مختلف میتوان به اجرا درآورد؛ نوع اول به صورت یک ماژول قابل اضافه شدن به برنامه های موجود در Application Server است، نوع دوم به عنوان یک برنامة مجزا بر روی Application Server اجرا میشود و در نوع سوم به عنوان یک سیستم مستقل بر روی سخت افزار مجزا از سامانة اینترنتی نصب و راه اندازی میشود.

از مهمترین ویژگی های یک WAF خوب می توان به موارد زیر اشاره کرد:
- می تواند وب سرور را از دسترسی مستقیم کاربران اینترنتی پنهان سازد، به شکلی که همانند یک سپر حائل عمل کند.
- الگوی مناسبی برای درخواست ها و پارامترهای آنها مشخص کند و جلوی نفوذ از طریق حفره های ناشناخته در وب سرور و برنامه های آن را بگیرد.
- بلاک کردن در سطح برنامه (Request Deny) و شبکه (IP Blacklist)
- از حملاتی مانند مجبور کردن کاربر برخط به ارسال درخواست جعلی شامل اطلاعات هویتی خود (CSRF) و سرقت هویت (Session Hijacking) جلوگیری کند.
- به وسیلة امتناع از ارسال پاسخ یا دوباره نویسی آن، مانع افشای اطلاعات شود.
- از گواهی امنیتی(SSL (SSL Offloading پشتیبانی کند.
- به مقابله با 10 تهدید مخرب پروژة امنیت برنامه های مبتنی بر وب OWASP) Open Web Application Security Project) بپردازد.
- قابلیت توزیع بار بر روی سرورهای مختلف (Load Balance) و کاهش ترافیک به میزان 30 تا 60 درصد را داشته باشد.
- بتواند گزارش های متنوعی برای ارائه به مدیران سامانه و مراجع قضایی آماده کند.
- اعتبار بانک یا سازمان را در صورت سهل انگاری امنیتی پیمانکاران تولید کنندة برنامه های مبتنی بر وب، حفظ کند.
یکی دیگر از مهمترین تهدیدها عدم رعایت مسائل امنیتی توسط تیم تولید کننده و یا فردی از تیم است. بسیاری از مشکلات امنیتی به خاطر خطای انسانی، نصب نسخة جدید و یا عدم پیش بینی خطاها توسط برنامه نویسان (Error Handling) صورت می گیرد، WAF با هزینة مناسب جلوی بروز چنین مشکلاتی را می گیرد.

WAF یا وصله های امنیتی؟
در اینجا این پرسش مطرح می شود که آیا می توان با داشتن IPS، IDS و استفادة به روز از وصله های (Patch) امنیتی و فایروال ها از WAF صرف نظر کرد.
پاسخ این است که برد کاری IPS و IDS با WAF متفاوت است. IPS/IDS ابزاری برای تشخیص حملات است (Passive Detection)، در حالی که زمینة کاری WAF تشخیص فعال (Active Detection) و جلوگیری (Prevention) از حمله ها است.
اگرچه استفادة به روز از وصله های امنیتی واکنش مناسبی در مقابله با حملات به شمار می آید، ولی باید در نظر داشت که وصله ها همیشه یک گام از حفره های امنیتی عقب ترند، به طوریکه حفره های امنیتی شناخته شده را پوشش می دهند و در نتیجه، سیستم ما هنوز از ناحیة حفره های جدید و ناشناخته (شناسایی نشده توسط تولید کنندگان) نفوذپذیر است.
فایروال ها نیز فیلترهایی در لایة شبکه هستند و به طور کلی قادر نیستند، در مقابله با ترافیک بر روی وب سرور، درخواست های مشکوک و مخرب، کاری انجام دهند، در حالیکه حیطة فعالیت WAF لایة هفتم شبکه است.
نتیجه گیری:
WAF یک ضرورت امنیتی برای مقابله با حملات در لایة برنامه است که با تنظیمات مناسب می تواند تقریباً از تمام این نوع حملات جلوگیری کند. باید در نظر داشت که WAF در زمینه های کاری سیستم ها و ابزارهای دیگر نظیر فایروال و IDS/IPS مداخله نمی کند و جایگزین آنها نخواهد بود، بلکه یک مکمل برای این سیستم ها و ابزارها محسوب میشود.

منبع: vaya.ir