در زمان رشد حملات سایبری پیشرفته و نوآوریهای دیجیتال ، برای کسب‌وکارها شناخت تهدیداتی که با آن مواجه هستند ودانستن هویت تهدیداتی که سیستم دفاع امنیتی‌شان ، در حال مواجه و حفاظت می باشد ، بسیار حیاتی است. این مورد مخصوصاً در مورد فایروال ها بیشتر است، زیرا فایروال های وب اپلیکیشن (web application firewalls) و فایروال های شبکه (network firewalls )  از سازمان ها در برابر طیف وسیعی از حملات محافظت می کنند.

بنابراین دانستن تفاوت نحوه کارکرد فایروال شبکه با فایروال مبتنی بربرنامه وب واینکه هر کدام چگونه از حملات وب و حملات شبکه گسترده تر جلوگیری می کنند ، مهم است.

به طور سنتی، تا کنون کسب‌وکارها از داده‌ها و کاربران خود توسط فایروال‌های شبکه که فاقد انعطاف‌پذیری و شفافیت برای محافظت در برابر تهدیدات امنیتی مدرن هستند محافظت کرده اند. اما رشد و توسعه راه حل های (BYOD)، ابر عمومی (public cloud) و نرم افزار های تحت سرویس های ابری (SaaS) به این معنی است که سازمانها باید یک فایروال وب (یا فایروال وب اپلیکیشن WAF )را به استراتژی امنیتی خود اضافه کنند. این امرباعث افزایش محافظت در برابر حملاتی می شود که  به برنامه های کاربردی وب که در یک سرور راه دور ذخیره شده اند و توسط یک برنامه رابط مرورگر( Web Browser) در اینترنت ارائه می شوند ونیز اهداف جذابی برای هکرها هستند .

درک تفاوت بین فایروال های وب اپلیکیشن و فایروالهای هم تراز شبکه

یک فایروال WAF  با هدف قرار دادن ترافیک  (HTTP) از برنامه های کاربردی وب محافظت می کند. این نوع عملکرد با نوع کارکرد یک فایروال استاندارد، که مرزی بین ترافیک شبکه خارجی و داخلی ایجاد می کند، متفاوت است.

یک فایروال WAF  بین کاربران خارجی و برنامه های کاربردی وب قرار می گیرد تا تمام ارتباطات HTTP را تجزیه و تحلیل کند. سپس درخواست های مخرب را قبل از رسیدن به کاربران یا برنامه های وب شناسایی و مسدود می کند. در نتیجه، WAF ها اپلیکیشن های حیاتی کسب و کارها  و سرورهای وب را از تهدیدات روز صفر و سایر حملات لایه کاربرد ( application-layer) ایمن می کنند. این امر از این نظر اهمیت ویژه ای دارد که ورود سازمانها به توسعه طرحهای دیجیتالی جدید می‌تواند اپلیکیشن های جدید و رابط‌های برنامه‌نویسی کاربردی (API) را در برابر حملات آسیب‌پذیر کند.

application-layer : لایه کاربرد

مجموعه پروتکل اینترنت (TCP/IP) و مدل مرجع اتصال داخلی سیستم‌های باز (OSI) در شبکه‌های کامپیوتری هر کدام دارای گروهی از پروتکل‌ها و روش‌ها می‌باشند که در لایه‌ای به نام لایه کاربرد جای می‌گیرند.

ویکیپدیا

فایروال شبکه از یک شبکه محلی امن در برابر دسترسی غیرمجاز به منظور مقابله با  خطر حملات محافظت می کند. هدف اصلی آن جداسازی یک منطقه امن از یک منطقه Untrust و کنترل ارتباطات بین این دو است. بدون فایروال شبکه ، هر رایانه ای با آدرس پروتکل اینترنت عمومی (IP) خارج از شبکه قابل دسترسی است و به طور بالقوه در معرض خطر حمله قرار دارد.

ترافیک برنامه در مقایسه با  ترافیک شبکه

فایروال های شبکه سنتی ، هرگونه دسترسی غیرمجاز به شبکه های خصوصی را کاهش داده و یا از آن جلوگیری می کنند. خط ‌مشی‌های یک فایروال ورود ترافیک مجاز به شبکه را تعریف می‌کنند و هرگونه تلاش خارج از این تعریف برای دسترسی مسدود می‌شود. مانند جلوگیری از ورود کاربران غیرمجاز و حملات بدافزارها یا دستگاه‌های موجود در مناطق Untrust.

یک WAF به طور خاص ترافیک برنامه را هدف قرار می دهد. از ترافیک HTTP و پروتکل انتقال ابرمتن امن (HTTPS) و اپلیکیشن ها در زون های اینترنتی محافظت می‌کند. این امر کسب و کارها را در برابر تهدیداتی مانند حملات اسکریپت بین سایتی (XSS)، (DDoS) و حملات تزریق SQL ایمن می کند.

محافظت در لایه 7 در مقایسه با لایه 3 و 4

تفاوت فنی کلیدی بین دو تکنولوژی  application-level firewall و network-level firewall ، لایه امنیتی است که هرکدام در آن کار می کنند. این لایه ها با مدل اتصال سیستم های باز (OSI) تعریف می شوند که عملکردهای ارتباطی را در سیستم های مخابراتی و محاسباتی مشخص و استاندارد می کند.

WAFها از حملات در لایه 7 مدل OSI که همان سطح برنامه است ، محافظت می کنند. این شامل حفاطت از حملات به برنامه‌هایی مانند Ajax، ActiveX و JavaScript و همچنین دستکاری کوکی‌ها، تزریق SQL و حملات URL می‌شود. آنها همچنین پروتکل های برنامه کاربردی وب HTTP و HTTPS را هدف قرار می دهند که برای اتصال مرورگرهای وب و سرورهای وب استفاده می شود.

به عنوان مثال، حمله به DDoS لایه 7، سیل ترافیکی را به لایه سرور می فرستد، جایی که صفحات وب در پاسخ به درخواست های HTTP تولید و تحویل داده می شوند. فایروال WAF با عمل به عنوان یک پروکسی معکوس از سرور مورد نظر در برابر ترافیک مخرب محافظت و درخواست ها برای شناسایی استفاده از ابزارهای DDoS را فیلتر می کند، بدین صورت مشکل را کاهش می دهد.

فایروال های شبکه در لایه های 3 و 4 مدل OSI کار می کنند که از انتقال داده و ترافیک شبکه محافظت می کند. این عملکرد شامل حملات علیه سیستم نام دامنه (DNS) و پروتکل انتقال فایل (FTP) و همچنین پروتکل انتقال ایمیل ساده (SMTP)، پوسته امن (SSH) و Telnet است.

حملات وب در مقایسه با دسترسی غیرمجاز

راه حل های فایروال  WAF از سازمانها در برابر حملات مبتنی بر وب که اپلیکیشن ها را هدف قرار می دهند محافظت می کند. بدون فایروال اپلیکیشن، هکرها می توانند از طریق آسیب پذیری های برنامه وب به شبکه گسترده تر نفوذ کنند.

فایروالهای WAF از سازمانها در برابر حملات رایج وب مانند حملات زیر محافظت می کنند:

  • Direct denial-of-service: تلاش برای ایجاد اختلال در یک شبکه، سرویس یا سرور با لبریز کردن آن توسط سیل ترافیک اینترنتی. هدف آن تخلیه کردن تمامی منابع هدف است و دفاع در برابر این حمله می تواند دشوار باشد زیرا ترافیک همیشه به صورت واضح مخرب نیست.
  • SQL injection :  نوعی حمله تزریقی که هکرها را قادر می‌سازد تا دستورات مخربی SQL را اجرا کنند که سرور پایگاه داده را در پشت یک برنامه وب کنترل می‌کند. بدین وسیله مهاجمان می توانند احراز هویت و مجوز صفحه وب را دور بزنند و محتوای پایگاه داده SQL را بازیابی کنند، سپس رکوردهای آن را اضافه، اصلاح و حذف کنند. مجرمان سایبری می توانند از تزریق SQL برای دسترسی به اطلاعات مشتری، داده های شخصی و مالکیت معنوی استفاده کنند. در سال 2017  به عنوان تهدید شماره یک برای امنیت برنامه های وب در لیست OWASP Top 10 قرار گرفت.
  • Cross-site scripting: یک آسیب پذیری امنیتی وب که مهاجمان را قادر می سازد تا تعاملات کاربر با برنامه ها را به خطر بیاندازند. مهاجم را قادر به دور زدن سیاست هایی با مبدا یکسان، که وب سایت های مختلف را از هم جدا می کند. در نتیجه، مهاجم می‌تواند به عنوان یک کاربر واقعی ظاهر شود و به داده‌ها و منابعی که برای آنها مجوز دارد دسترسی پیدا کند.

فایروال های شبکه از دسترسی و ترافیک غیرمجاز ورودی و خروجی شبکه محافظت می کنند. آنها در برابر حملات سراسری شبکه علیه دستگاه ها و سیستم هایی که به اینترنت متصل می شوند محافظت می کنند.

نمونه هایی از حملات شبکه ای که اغلب استفاده می شوند عبارتند از:

دسترسی غیرمجاز: مهاجمانی که بدون اجازه به یک شبکه دسترسی دارند. این امر معمولاً از طریق سرقت اعتبار و حساب‌های در معرض خطر در نتیجه استفاده افراد از رمزهای عبور ضعیف، مهندسی اجتماعی و تهدیدات داخلی به دست می‌آید.

حملات Man-in-the-Middle (MITM): مهاجمان ترافیک بین شبکه و سایت های خارجی یا درون خود شبکه را رهگیری می کنند. معمولا در نتیجه پروتکل‌های ارتباطی ناامن است که مهاجمان را قادر می‌سازد داده‌ها را در انتقال بدزدند، سپس اعتبار کاربر را به دست آورند و حساب‌های کاربر را بدزدند.

افزایش امتیاز: مهاجمان به یک شبکه دسترسی پیدا می‌کنند و سپس از افزایش امتیاز برای گسترش دسترسی خود به سیستم استفاده می‌کنند. آنها می توانند این کار را به صورت افقی انجام دهند، به موجب آن به سیستم های مجاور دسترسی پیدا می کنند و یا به صورت عمودی با به دست آوردن امتیازات بالاتر در همان سیستم.

فایروال نسل بعدی در مقابل فایروال های WAF و شبکه

خرید جداگانه محصولات فایروال برای محافظت از هر لایه امنیتی گران و دست و پا گیر است. این امر سازمانها را به سمت راه حل های جامعی مانند فایروال های نسل بعدی (NGFW) سوق می دهد. NGFW ها معمولاً قابلیت های فایروال های شبکه و WAF ها را در یک سیستم مدیریت مرکزی ترکیب می کنند. آنها همچنین زمینه اضافی برای سیاست های امنیتی فراهم می کنند، که برای محافظت از کسب و کارها در برابر تهدیدات امنیتی مدرن حیاتی است.

NGFW ها سیستم های مبتنی بر زمینه ( context-based systems  ) هستند که از اطلاعاتی مانند هویت، زمان و مکان برای تأیید مشخصات اعلام شده از سوی  کاربر استفاده می کنند. این بینش افزوده به سازمانها امکان اتخاذ تصمیمات آگاهانه تر و هوشمندانه تری در مورد دسترسی کاربران می دهد. آنها همچنین شامل ویژگی هایی مانند آنتی ویروس، ضد بدافزار، سیستم های جلوگیری از نفوذ، و فیلتر URL هستند. این ویزگیها کارایی سیاست‌های امنیتی را در راستای تهدیدهای پیچیده‌ای که کسب‌وکارها با آن مواجه هستند، ساده و بهبود می‌بخشد.

داشتن یک دیدگاه جامع از امنیت دیجیتال اغلب ساده تر و مقرون به صرفه تر است. با این حال، اطمینان از اینکه NGFW تمام نیازهای اساسی حفاظت از شبکه و برنامه وب را پوشش می‌دهد، ضروری است. WAF ها نقش مهمی را در محافظت از برنامه های کاربردی وب در برابر تزریق کد، امضای کوکی، صفحات خطای سفارشی، جعل درخواست و رمزگذاری URL ایفا می کنند. بنابراین ممکن است استفاده از NGFW در ارتباط با فایروال برنامه وب اختصاصی مانند فورتی وب FortiWeb ضروری باشد.

Fortinet از برنامه های کاربردی تجاری ضروری وب در برابر حملاتی که آسیب پذیری های شناخته شده و ناشناخته را هدف قرار می دهند ، محافظت می کند. راه حل فورتی وب اطمینان می دهد که همگام با رشد سریع برنامه های کاربردی وب کسب و کارها  ، API های وب جدید را نشان می دهد و موارد موجود را به روز و محافظت می کند.

فورتی وب حفاظت جامعی را برای جلوگیری از همه تهدیدات امنیتی، که شامل حفاظت در برابر DDoS و تأیید پروتکل ،امضای حمله برنامه‌ها، کاهش ربات و IP reputation و… می شود. همچنین از علم یادگیری ماشین برای ایجاد و حفظ  اتومانیک الگویی از رفتار یک کاربرعادی استفاده می‌کند،و از الگوی ایجاد شده  برای شناسایی ترافیک مخرب بدون اتلاف زمانی که اکثر WAFها نیاز دارند، استفاده می‌شود.