تفاوت بین WAF ، Firewall و IDPS
با گسترش.روز افزون استفاده از برنامه های مبتنی.بر وب و تنوع آنها در ساختار و زبان های .مختلف برنامه نویسی، همیشه حملات و تهدید های جدی و رو به رشدی در این لایه از شبکه (7) وجود داشته است .
سازمانها ، موسسات , شرکتها و همه کسانی که اقدام.به ارائه خدمات در بستر وب مینمایند.معمولآ مهمترین اطلاعات و داشته های.موجود بر روی پایگاه های داده خود را به صورت مستقیم.و یا غیر مستقیم از طریق برنامه های کاربردی تحت وب.در معرض خطر قرار میدهند و یا حتی. به نفوذگر اجازه انتشار کد های مخرب در شبکه از طریق وب.سایت و یا گمراه کردن کاربران در صورت نفوذ به وب.سرور را میدهند.
با توجه به تنوع موجود در این.لایه نیاز به استفاده از یک برنامه واسط جهت کنترل ورودی ها.و خروجی های پروتکل های تحت وب.مانند HTTP و HTTPS میباشد که بر اساس.قوانین از پیش تنظیم شده اقدام به مقابله با.حملات و تهدید های رخ دارده به صورت قطع ارتباط و یا اعلام خطر نماید، بدین منظور Web Application firewall ها طراحی و.ارائه گردیدند و شرکت های مختلف محصولات متنوعی را.در این رده ارائه دادند که هر یک دارای قابلیت.و یا ضعف های مرتبط با خود میباشند.
محصول ما WAF بصورت سخت افزاری در مدل.های مختلفی عرضه میشود و به دلیل توانایی.کارکرد در پهنای باند بالا علاوه بر تامین امنیت لایهء 7 در محدودهء Web Server های سازمان ها، یک انتخاب.مناسب جهت استفاده در مراکز داده و مراکز میزبانی.جهت امن سازی ترافیک خارجی به سمت سرورها و بین خود.سرورها محسوب شده است.
این سیستم مقیاس پذیزی. عالی و انعطاف پذیری در سطح بالایی از امنیت را .به شما ارائه میدهد. مدل های مختلف WAF دارای تفاوت هایی هستند که این تفاوت ها از نظر سخت افزاری شامل تنوع در Fan ، Power Supplies ، Interface و اسلات های ماژول ها است.
تمامی مدل های این محصول از Secure Port Module پشتیبانی میکنند که Throughput های مختلف و Interface های متفاوت را جهت سهولت در کاربری و انعطاف پذیری بالا ارائه میدهد. این سیستم ها با داشتن Power Supply به صورت Redundant در بعضی از مدل ها ، رسیدن به حداکثر Uptime را تضمین مینمایند.
تفاوت بین WAF ، Firewall و IDPS
نکات ذیل تفاوت های بین WAF ، Firewall و IDPS را بیان نموده و به ما اجازه میدهد که پس از درک عملکرد این سیستم ها، مورد مناسب را برای سازمان و فعالیت خود انتخاب کنیم. شرکت پارس فناوران خارزم همیشه آمادگی ارائه مشاوره جهت انتخاب مناسب محصول مورد نیاز شما را دارد.
- در یک تعریف خیلی کلی ، Firewall نرم افزار یا سخت افزاری است که کنترل دسترسی Identity های شبکه را بر اساس SRC ADD و ADD DST و SRC port و DST port اعمال مینماید.
- با استفاده از فایروال میتوان یکسری از محدودیت ها را برای ارتباط سرویس های سرور اعمال نموده و با محدود نمودن سرویس های غیرعمومی که نیازی به استفادهء عمومی ندارند از دسترسی های غیر مجاز به این سرویس ها جلوگیری شود.اما یک فایروال نمیتواند از حملاتی که میخواهند از طریق آسیب پذیری ها نفوذ کنند جلوگیری نماید و از طرف دیگر WAF میتواند محتوایpacket ها را بازرسی کرده و با این نوع حملات مبارزه نماید.
- اما در مورد سیستم IDPS ، این سیستم هم مانند WAF امکان بازرسی کردن محتوای بسته ها را بر اساس رول های تعریف شده دارا میباشد به اینصورت که IPS حملات را بر اساس رول های تعریف شده در IDS شناسایی نموده و مسدود می نماید. اما IDPS هوشمند نبوده و قادر به شناسایی بسیاری از حملات لایهء 7 مانند حملات Injection نمی باشد.
- فرق معمول آن ها را می توان در ترافيک وب دانست، قدرت تشخيص و حفاظت IPS روی اين ترافيک بسیار محدود است، در صورتيکه پارامتر های URL دستکاری شده باشد و یا Cookie در سمت کلاینت تغییر می یابد، IPS ها به هيچ وجه قادر به تشخيص و محافظت نيستند.
- تشيخص حملات در WAF ها وIPS ها Signature Base است ، اما IPS ها فهم بسیار کمی از حملات پيچيده لایه Application دارند، IPS قادر به حفاظت از URL و پارامتر های وب نمی باشد، در صورتی که مهاجم عملیات Web-scraping انجام دهد قادر به محافظت از وب سایت شما نمی باشد، حفاظت از اطلاعت حساس از قبیل کارت های.اعتباری را نمی تواند انجام دهد، فقط قادر به فهم SQL Injection های خاص و محدود است، ترافيک های مبهم.و پيچيده را قادر به نرمال.سازی و تشخيص نیست.
- حملات روی HTTPS را نيز می توان وجه تمایز اين دو محصول دانست، در حال حاضر اين محصولات WAF هستند که قادر به حفاطت اين نوع ترافيک هستند و مزيت و استفاده اصلی IPS ها در تشخيص و حفاظت از پرتکل های پر کاربرد مانند DNS،SMTP،SSH، Telnet، FTP و … است
- جهت محافطت حد اکثری روی ترافيک وب نياز به ايجاد سياست های مختص اين نوع ترافيک و پارامتر های آن می باشد، در حاليکه IPS ها فقط روی پارمتر های خاصی قادر به محافظت هستند.
- یکی ديگر از قابلیت های WAF را در محافطت از Scanner ها، Spider ها و DOS و DDOS روی حملات وب است، همچنين در صورتيکه وب سایت شما دچار حملات Defacement شود اين WAF است که قابليت مقابله با آنرا دارا خواهد داشت.
- در آخر WAF را باید یک SIEM سطح پایین دانست زیرا قادر به نرمال سازی و ارتباط دهی محدود گزارشات می باشد.
در یک مثال کلی اگر یک سازمان امنیتی مهم را در نظر بگیریم ، اگر فردی.قصد ورود به سازمان را داشته باشد.کارمندان بخش حفاظت ورودی ساختمان پس از شناسایی او طبق معیار های تعریف نشده.نقش فایروال را بازی کرده و ورود یا عدم ورود.او را بررسی مینمایند.
اما در صورتی که فرد مورد نظر یک فرد خرابکار باشد و تجهیزات تخریب (مانند تبر ، چاقو و …) به همراه داشته باشد و بخواهد تجهیزات زیر بنایی سازمان را مورد آسیب قرار دهد کارمندان بخش حفاظت باید در نقش IDS و با توجه به معیارهای تعریف شده با فرد برخورد نموده و در نقش IPS از ورود او خودداری نمایند.
حال اگر فرد مورد نظر هیچ وسیلهء.خاصی که بر خلاف.معیارهای امنیتی.سازمان باشد با خود همراه نداشت.و ورود او با.هیچ یک از معیارهای ورود در تضاد نبود ممکن است با توجه به نداشتن تعهد.خاص به این سازمان پس از ورود ، با تکیه بر دانشی که در مغز.خود گنجانده است.اقدام به خرابکاری سازمانی نماید.حال اگر کارمندان حراست در نقش.یک WAF عمل نمایند میتوانند با.تکیه بر معیارهای تعریف شده از ورود این فرد جلوگیری نمایند.
استفاده از یک WAF را باید یک راه.خوب برای تقویت IPS دانست و لایه ای دیگر از.حفاظت عمقی را فراهم نمود.
