فایروال وب (Web Application Firewall) فایروالی است که ترافیک پروتکل HTTPرا در حین رفت و آمد به یک وب سایت یا برنامه وب، نظارت، فیلتر و مسدود می‌کند. یک WAF می‌تواند مبتنی بر شبکه، مبتنی بر میزبان یا مبتنی بر ابر باشد. فایروال وب اغلب از طریق یک پروکسی معکوس مستقر می‌شود و در مقابل یک یا چند وب سایت یا برنامه قرار می‌گیرد.WAF که می‌تواند به عنوان یک ابزار شبکه، پلاگین سرور یا سرویس ابری اجرا ‌شود، هر بسته را بررسی می‌کند و از یک قانون برای تجزیه و تحلیل در لایه 7 و فیلتر کردن ترافیک مخرب که می‌تواند موجب بهره برداری مضر شود، استفاده می‌کند.

فایروال وب (WAF) چیست؟

فایروال وب یا همان WAF یک کنترل امنیتی رایج است که توسط شرکت ها برای محافظت از سیستم های وب در برابر سوء استفاده‌های روز صفر، آلودگی‌های بدافزار، جعل هویت و سایر تهدیدات و آسیب پذیری‌های شناخته شده و ناشناخته استفاده می‌شود. از طریق بازرسی‌های سفارشی، یک WAF می‌تواند چندین مورد از خطرناک‌ترین نقص‌های امنیتی برنامه‌های وب را شناسایی کرده و بلافاصله از آن جلوگیری کند که فایروال‌های سنتی شبکه و سایر سیستم‌های تشخیص نفوذ (IDS) و سیستم‌های پیشگیری از نفوذ (IPS) ممکن است قادر به انجام آن نباشند. WAF ها به ویژه برای شرکت‌هایی مفید هستند که محصولات یا خدمات را از طریق اینترنت ارائه می‌دهند، مانند خرید تجارت الکترونیک، بانکداری آنلاین و سایر تعاملات بین مشتریان یا شرکای تجاری.

WAF چگونه کار می‌کند؟

یک WAF می‌تواند یک نرم افزار، یک دستگاه یا یک سرویس باشد که درخواست‌های HTTP را تجزیه و تحلیل می‌کند و مجموعه‌ای از قوانین را اعمال کند که مشخص می‌کند چه بخش‌هایی از آن درخواست سالم و چه بخش‌هایی مخرب هستند.

بخش‌های اصلی مکالمات HTTP که یک WAF تجزیه و تحلیل می‌کند، درخواست‌های GET و POST هستند. درخواست‌های GET برای بازیابی داده‌ها از سرور و درخواست‌های POST برای ارسال داده‌ها به سرور برای تغییر وضعیت آن استفاده می‌شود.

یک WAF می‌تواند یکی از سه رویکرد زیر را برای تحلیل و فیلتر کردن محتوای موجود در این درخواست‌های HTTP اتخاذ کند:

• قرار دادن لیست سفید: در این حالت WAF تمام درخواست‌ها را به‌ طور پیش‌فرض رد می‌کند و فقط به درخواست‌هایی اجازه می‌دهد که قابل اعتماد هستند. فهرستی از آدرس‌های IP که به عنوان امن شناخته شده‌اند، ارائه می‌کند. در لیست سفید نسبت به لیست سیاه منابع فشرده کمتری وجود دارد. نقطه ضعف لیست سفید این است که می‌تواند به طور ناخواسته ترافیک سالم را مسدود کند. بنابراین در عین حال که شبکه گسترده ای ایجاد می کند که می‌تواند کارآمد باشد، ممکن است کاملا دقیق نباشد.
• لیست سیاه: لیست سیاه از امضاهای از پیش تعیین شده برای مسدود کردن ترافیک وب مخرب و محافظت از آسیب پذیری وبسایت‌ها یا برنامه‌های کاربردی وب استفاده می‌کند که لیستی از قوانینی است که بسته‌های مخرب را نشان می‌دهد. لیست سیاه بیشتر برای وبسایت‌ها و برنامه‌های وب عمومی مناسب است زیرا آنها ترافیک زیادی را از آدرس‌های IP ناآشنا دریافت می‌کنند که به عنوان ترافیک مخرب شناخته نمی‌شوند. نقطه ضعف لیست سیاه این است که برخلاف پیش‌فرض آدرس‌های IP قابل اعتماد، به اطلاعات بیشتری برای فیلتر کردن بسته‌ها بر اساس ویژگی‌های خاص نیاز دارد.
• امنیت ترکیبی: یک مدل امنیتی ترکیبی از عناصر لیست سیاه و سفید به طور همزمان استفاده می‌کند.

صرف نظر از مدل امنیتی که یک WAF استفاده می‌کند، تعاملات HTTP را تجزیه و تحلیل می‌کند و فعالیت‌های مخرب و ترافیک را قبل از رسیدن به سرور کاهش می‌دهد و یا در حالت ایده آل، حذف می‌کند. برای مقابله با آسیب پذیری‌های جدید، اکثر WAF‌ها نیاز دارند که خط مشی‌های انها به طور مرتب به روز شوند. با این حال، پیشرفت‌های اخیر در یادگیری ماشینی، برخی از WAF ها را قادر به به روز رسانی خودکار کرده است.