در ابتدا به شرح مختصری از فایروال ، IPS و فایروال برنامه وب WAF  می پردازیم.

فایروال :

فایروال مانند یک دربان است ، در جایگاه خود می نشیند و همه افرادی را که سعی می کنند از طریق زیرزمین باز ، پنجره ، سقف و غیره دزدکی وارد شوند را بیرون نگه می دارد . اما وقتی کسی از در اصلی وارد می شود، به او اجازه ورود می دهد. مثلاً ، وقتی صاحب خانه مهمان می آورد. در این حالت فقط ترافیک را بر اساس پورت/IP و منبع و مقصد مجاز یا مسدود می کند. از نظر فنی ، فایروال هدر بسته ها را تجزیه و تحلیل می کند و خط مشی را بر اساس نوع پروتکل، آدرس منبع، آدرس مقصد، پورت مبدأ و یا پورت مقصد اعمال می کند. بسته هایی که با خط مشی مطابقت ندارند رد می شوند. اکثر تولیدکنندگان فایروال ، ماژول IPS را همراه با عملکرد روتین فایروال و همچنین کنترل برنامه و فیلتر کردن URL یا سرویس پروکسی در صدر آن ارائه می دهند.

IPS:

ips به مانند مردی است که مهمان ها را برای یافتن اسلحه یا دزد و یا هر چیز مشکوک بازرسی می کند. در حالی که او نمی تواند به اطراف بدود و از ورود مخفیانه افراد جلوگیری کند، می تواند آنچه را که مردم وارد می کنند را جستجو و همچنین بازدیدکنندگان را بررسی پیشینه کند و تشخیص دهد که آیا آنها سابقه بد یا خوب شناخته شده ای دارند یا خیر.

WAF :

WAF به مانند یک دوربین امنیتی با زنگ هشدار و صدا و تصویر دو طرفه است که در صورت مشاهده رفتار بد در مناطق خاص با مجری قانون تماس می گیرد. WAF فقط به حرکات خاصی در محدوده خاصی نگاه می کند. فایروال WAF یا Web Application با فیلتر کردن و نظارت بر ترافیک HTTP بین یک برنامه وب و اینترنت به محافظت از برنامه های کاربردی وب کمک می کند. معمولاً از برنامه های وب در برابر حملاتی مانند جعل بین سایتی، اسکریپت بین سایتی (XSS)، گنجاندن فایل و تزریق SQL و غیره محافظت می کند. WAF یک دفاع لایه پروتکل 7 (در مدل OSI) است و برای دفاع در برابر انواع حملات طراحی نشده است. این روش کاهش حمله معمولاً بخشی از مجموعه ابزارهایی است که با هم یک دفاع جامع در برابر طیف وسیعی از بردارهای حمله ایجاد می کنند.

یک حمله روز صفر می تواند بسیار ساده یا پیچیده باشد: قبل از اینکه راه حلی برای آن وجود داشته باشد، از یک آسیب پذیری بهره برداری می شود.

در اواخر دهه 90 ، همزمان با انتشار برنامه های کاربردی وب در اینترنت، دروازه های اینترنتی امن و فایروال های شبکه بیشتر مورد توجه قرار گرفتند ، زیرا برنامه های کاربردی وب در آن زمان بدون در نظرگرفتن  امنیت طراحی می شدند و اکثر آنها دارای آسیب پذیری های جدی بودند. WAF ها از آن زمان تا حد زیادی تکامل یافته اند. امروزه، WAF ها می توانند منطق برنامه های وب را درک کنند و هر چیزی را که با منطق برنامه مطابقت ندارد مسدود کند. بنابراین، WAF ها می توانند حملات مخربی را که با ترافیک مطابقت دارند در برابر حملات امضا (signature attacks )مسدود کنند (امنیت منفی) اما WAF ها همچنین می توانند ترافیک مخرب مطابق با منطق برنامه (امنیت مثبت) را مسدود کنند.

به صورت کلی ، یک فایروال برنامه وب یا همان WAF بررسی و بازرسی می کند و عمدتاً رفتار لایه برنامه وب و منطق آنچه درخواست شده و برگردانده می شود را بازرسی می کند.

WAF می تواند از حملات ناشناخته جلوگیری کند در حالی که IPS فقط می تواند در برابر حملات و سوء استفاده های مبتنی بر میزبان و برنامه های کاربردی شناخته شده محافظت کند.

IPS و WAF از این نظر مشابه هستند که ترافیک را تجزیه و تحلیل می کنند، اما WAF عمدتاً در لایه برنامه وب عمیق تر از IPS نگاه می کند.

WAF ها می توانند حملات شناخته شده را مسدود کنند و همچنین می توانند حملات ناشناخته را شناسایی و به طور بالقوه از آن جلوگیری کنند. به عنوان مثال، یک WAF ممکن است مقدار غیرعادی از ترافیک را که از برنامه وب می آید ، مشاهده کند. WAF می تواند آن را به عنوان ترافیک غیرمعمول یا غیرمنتظره علامت گذاری کند و می تواند آن داده ها را مسدود کند.

انواع فایروال

WAF و FW+IPS فناوری‌های حفاظتی امنیتی هستند.

IPS ترافیک را در برابر امضاها و ناهنجاری ها بازرسی می کند، طیف گسترده ای از انواع حملات را پوشش می دهد که اکثر آنها مبتنی بر امضا هستند.

یک IPS مبتنی بر امضا، درک بسیار کمی از برنامه اصلی دارد.در حالیکه توانایی محافظت در برابر تزریق‌های خاص SQL را دارد ، اما نمی تواند از URL ها یا پارامترها محافظت کند و یا اطلاعات حساسی مانند کارت‌های اعتباری و شماره‌های تامین اجتماعی را پنهان کند.یکی از مزایای IPS این است که می تواند از رایج ترین پروتکل های اینترنت مانند DNS، SMTP، SSH، Telnet و FTP محافظت کند. بهترین پیاده‌سازی امنیتی احتمالاً شامل IPS و WAF می‌شود، اما سازمان‌ها همچنین باید در نظر بگیرند که کدام بردارهای حمله در جامعه هک مخرب جذب می‌شوند. یک IPS تنها یک راه حل برای این مشکلات دارد: امضا. به عنوان مثال، امضاها به تنهایی نمی توانند از حملات روز صفر محافظت کنند. URL های فعال، پارامترها، روش های مجاز و دانش عمیق برنامه برای این کار ضروری هستند. و اگر یک حمله روز صفر اتفاق بیفتد، امضاهای یک IPS نمی توانند هیچ محافظتی ارائه دهند. اکثر حملات روز صفر را می توان با استقرار یک راه حل Sandboxing در لایه شبکه و لایه پایانی متوقف کرد.

هنگامی که WAF یک تهدید را شناسایی می کند، ترافیک را مسدود می کند و درخواست وب مخرب یا پاسخ با داده های حساس را رد می کند. اگر هیچ تهدید یا حمله ای وجود نداشته باشد، تمام ترافیک شما باید به طور عادی جریان داشته باشد، به گونه ای که تمام بازرسی و حفاظت برای کاربران شفاف باشد.

IPS برنامه های زیربنایی را درک نمی کند، بنابراین از موجودیت هایی مانند پارامترها، URL ها، انواع فایل ها، کوکی ها یا تغییر مسیرها اطلاعی ندارند. با این حال، WAF ها می توانند از موجودیت ها محافظت کنند تا حملات پیچیده ای مانند حمله خراش وب، SQLi، XSS، CSRF، و غیره را مسدود کنند. به عنوان مثال، IPS می تواند ترافیک HTTP را تجزیه و تحلیل کند تا به دنبال آسیب پذیری های رایج برنامه های وب بگردد، اما WAF ها همچنین می توانند ترافیک HTTP را تجزیه و تحلیل کنند. به دنبال مقدار پارامترها، اندازه پارامترها، امضای کوکی ها و غیره باشید.

در انتها، فایروال های برنامه های کاربردی وب، نوع خاصی از محصولات هستند که برای شناسایی حملات علیه برنامه های کاربردی وب در عمق بیشتری نسبت به یک سیستم پیشگیری از نفوذ استفاده می شود. WAF را می توان در هر محیط سازمانی برای ایجاد حفاظت پیشرفته از برنامه ها/سرورهای وب استفاده کرد. استفاده از WAF راه خوبی برای تقویت IPS و ارائه لایه دیگری از حفاظت برای معماری دفاعی در عمق ما است.