تفاوت انواع WAF در چیست؟

انواع فایروال WAF
دسته بندی: مقالات برچسب ها :

فایروال‌ اپلیکیشن‌های تحت وب (Web Application Firewall – به اختصار WAF) انواع مختلفی دارند و هر یک بر اساس برنامه کاربردی و الزامات امنیتی سازمان، گزینه‌های مختلفی را جهت نصب و استقرار ارائه می‌دهند.

برای درک بهتر این مطلب پیشنهاد میشود ابتدا مقاله WAF چیست؟ و از چه تهدیداتی جلوگیری می کند؟ را مطالعه نمایید.

WAF دارای سه نوع اصلی است:

    1. WAF مبتنی بر ابر
    2. WAF مبتنی بر نرم‌افزار
    3. WAF مبتنی بر سخت‌افزار

هر یک از انواع WAF مزایا و معایب خاص خود را دارند.

در نهایت، WAF بخشی از یک استراتژی امنیتی بزرگتر به نام حفاظت از برنامه‌کاربردی تحت وب و API (Web Application and API Protection – به اختصار WAAP) می‌باشد. WAAP که در اصل توسط موسسه گارتنر (Gartner) ابداع شد، در مقابل استراتژی منسوخ و ابزارهای امنیتی ناهمگن و قدیمی، بازار WAF را به رویکردی جامع‌تر و یکپارچه‌تر جهت حفظ امنیت برنامه‌های کاربردی تحت وب تعریف نموده و توسعه داده است. WAAP دارای چهار قابلیت اصلی است:

waf مبتنی بر ابر

سه نوع معماری WAF

 

فایروال waf مبتنی بر سخت افزار

WAF مبتنی بر سخت‌افزار

یک WAF مبتنی بر سخت‌افزار از طریق یک ابزار سخت‌افزاری مستقر می‌شود که به صورت محلی در شبکه و نزدیک به سرورهای برنامه‌کاربردی تحت وب نصب شده است.

 

 

فایروال وب اپلیکیشن مبتنی بر نرم افزار

WAF  مبتنی بر نرم‌افزار

WAF مبتنی بر نرم افزار، ابزاری مجازی است که به صورت محلی یا در بستر ابری برنامه‌کاربردی میزبانی می‌شود.

 

 

Waf مبتنی بر ابر

 

WAF  مبتنی بر ابر

WAF مبتنی بر ابر، توسط یک ارائه‌دهنده سرویس، مدیریت شده و WAF را به عنوان یک سرویس امنیتی ارائه می‌دهد.

WAF مبتنی بر ابر

WAF مبتنی بر ابر بسیار مقرون به صرفه بوده، پیاده‌سازی آن نیز آسان است و می‌تواند به سرعت نصب شود. WAF مبتنی بر ابر تنها به حداقل هزینه‌های اولیه نیاز دارد و معمولاً مستلزم خریداری اشتراک آن می‌باشد.

WAF‌ مبتنی بر ابر به اطلاعات تهدیدات جدید که دائماً به‌روزرسانی می‌شوند نیز دسترسی دارد و همچنین قادر است سرویس‌های مدیریت‌شده را جهت تعریف قواعد امنیتی و پاسخ به حملات احتمالی ارائه دهد.

در حالت ایده‌آل، یک WAF مبتنی بر ابر باید گزینه‌ای را جهت نصب به صورت In-line، مبتنی بر API و یا به عنوان یک سرویس خارج از مسیر (Out-Of-Path – به اختصار OOP) فراهم کند.

استقرار OOP مبتنی بر API چندین مزیت منحصر به فرد دارد که آن را قادر می‌سازد در بسترهای چند ابری، بسترهای درون سازمانی، بسترهای ترکیبی و غیره بهینه شود. به دلایلی که در ادامه عنوان می‌کنیم، در سال‌های اخیر، فایروال‌های WAF مبتنی بر ابر، گزینه غالب برای اکثر سازمان‌ها و در سطح جهانی تبدیل شده‌اند.

کاربرد WAF مبتنی بر ابر

فایروال‌های WAF مبتنی بر ابر به انتخابی محبوب برای سازمان‌ها با هر اندازه و مقیاسی، از شرکت‌ها گرفته تا مشاغل کوچک تبدیل شده‌اند زیرا می‌توانند سطوح بالایی از امنیت را با حداقل هزینه‌ سرمایه‌گذاری اولیه و بدون نیاز به متخصصان امنیتی در درون سازمان ارائه دهند.

مزایا و معایب WAF مبتنی بر ابر

فایروال‌های WAF مبتنی بر ابر دارای مزایا و معایب متعددی هستند که یک خریدار باید آنها را در نظر بگیرد.

مزایا

  • مقرون به صرفه
  • پیاده سازی / استقرار آسان
  • حداقل سرمایه‌گذاری اولیه
  • حفاظت مستمر / مدیریت متمرکز و گزارش‌دهی در تمامی بسترها
  • مبتنی بر خریداری اشتراک یا “امنیت به عنوان یک سرویس”
  • به‌روزرسانی خودکار توسط ارائه‌دهنده ثالث
  • بهترین گزینه جهت استقرار در بسترهای چند ابری

 

معایب

  • برخی صنایع (مانند سازمان‌های دولتی یا صنایع دفاعی) ملزم به حفظ تمامی زیرساخت‌ها و داده‌ها در محل و درون سازمان هستند؛ در نتیجه فایروال‌های WAF مبتنی بر ابر گزینه مناسبی برای آنها نمی‌باشد.
  • اکثر فایروال‌های WAF مبتنی بر ابر نیاز به تغییر مسیر ترافیک برنامه‌کاربردی دارند، در نتیجه احتمالاً تأخیر افزایش می‌یابد.

WAF مبتنی بر نرم‌افزار

فایروال‌های WAF مبتنی بر نرم‌افزار جایگزینی برای WAF مبتنی بر سخت‌افزار می‌باشند.

یک WAF مبتنی بر نرم‌افزار، WAF را به‌عنوان ابزاری مجازی یا یک Agent، به صورت محلی (درون سازمان)، در یک ابر خصوصی یا در یک ابر عمومی اجرا می‌کند. علاوه بر این، فایروال‌های WAF دیگری نیز وجود دارند که به طور خاص برای جاسازی در بسترهای میکروسرویس مبتنی بر Container مانند Kubernetes جهت محافظت از East-west traffic طراحی شده‌اند.

کاربرد WAF مبتنی بر نرم‌افزار

فایروال‌های WAF مبتنی بر نرم‌افزار معمولاً توسط سازمان‌هایی با برنامه‌های کاربردی میزبانی شده در مراکز داده ابری خصوصی و / یا عمومی مورد استفاده قرار می‌گیرند. آنها همچنین می‌توانند در سازمان‌هایی که بودجه و/ یا توانایی پشتیبانی از فایروال‌های WAF مبتنی بر سخت‌افزار را ندارند و می‌خواهند WAF خود را مدیریت کنند یا تمایلی به استفاده از WAF مبتنی بر ابر ندارند، بکار گرفته شوند.

مزایا و معایب WAF مبتنی بر نرم‌افزار

فایروال‌های WAF مبتنی بر نرم‌افزار دارای مزایا و معایب متعددی هستند که هنگام خریداری باید در نظر گرفته شوند.

مزایا

  • گزینه‌های سفارشی‌سازی مضاعف (اگر متخصص امنیت و/ یا راهکارهای امنیتی درون سازمان خود دارید)
  • هزینه‌های اولیه، نصب و نگهداری کمتر از فایروال‌های WAF مبتنی بر سخت‌افزار

 

معایب

  • پیاده‌سازی پیچیده
  • نیاز به نصب کد روی سرور برنامه دارد
  • برای اجرای موثر به منابع سرور برنامه‌کاربردی متکی است
  • به‌روزرسانی‌ها باید توسط کاربر نهایی مدیریت شوند

WAF مبتنی بر سخت‌افزار

یک WAF مبتنی بر سخت‌افزار – معمولاً WAF مبتنی بر شبکه نیز نامیده می‌شود – به صورت محلی روی یک شبکه نصب می‌شود. اینها اغلب گرانترین فرم‌های WAF هستند زیرا نیاز به نگهداری و فضای ذخیره‌سازی دارند. هدف اصلی آنها به حداقل رساندن میزان تاخیر می‌باشند.

در سال‌های اخیر، فایروال‌های WAF مبتنی بر سخت‌افزار به طور فزاینده‌ای منسوخ شده‌اند و WAF‌های مبتنی بر ابر به نوع غالب در سازمان‌ها تبدیل شده‌اند.

کاربرد WAF مبتنی بر سخت‌افزار

فایروال‌های WAF مبتنی بر سخت‌افزار معمولاً توسط سازمان‌های بزرگی مورد استفاده قرار می‌گیرند که بودجه و منابع لازم برای مدیریت لوازم داخلی و زیرساخت فناوری اطلاعات را دارند.

به‌علاوه، سازمان‌ها زمانی که سرعت و عملکرد برنامه‌ها برایشان حیاتی است یا هنگام اجرای برنامه‌های کاربردی حساس در بسترهای درون سازمانی، مانند مؤسسات دولتی، آژانس‌های امنیت ملی و صنایع دفاعی از WAF‌های مبتنی بر سخت‌افزار استفاده می‌کنند.

مزایا و معایب WAF مبتنی بر سخت‌افزار

فایروال‌های WAF مبتنی بر سخت‌افزار دارای مزایا و معایب متعددی هستند که هنگام خرید WAF باید در نظر گرفته شوند.

مزایا

  • کاهش تاخیر
  • دارای قابلیت تنظیم و شخصی‌سازی
  • کاملاً Air-gap

 

معایب

  • نیاز به هزینه و سرمایه‌ اولیه بالا
  • هزینه‌های نگهداری مداوم
  • هزینه‌های عملیاتی / سربار بالای فناوری اطلاعات
  • به‌روزرسانی و نگهداری توسط کاربر نهایی انجام و مدیریت می‌شود

جمع بندی

WAF  مبتنی بر ابر

WAF  مبتنی بر نرم‌افزار

WAF مبتنی بر سخت‌افزار

مناسب برای

سازمان‌ها با هر اندازه و مقیاسی

سازمان‌های متوسط تا بزرگ

سازمان‌های بزرگ

مزایا

  • مقرون به صرفه
  • پیاده‌سازی / استقرار آسان
  • حداقل سرمایه‌گذاری اولیه
  • حفاظت مداوم /مدیریت متمرکز و گزارش‌دهی در تمامی بسترها
  • مبتنی بر خرید اشتراک یا امنیت "به عنوان یک سرویس"
  • به‌روزرسانی خودکار توسط ارائه‌دهنده ثالث
  • بهترین گزینه جهت استقرار در بسترهای چند ابری
  • گزینه‌های شخصی‌سازی مضاعف (اگر متخصص و/ یا راهکار امنیتی درون سازمانی دارید)
  • هزینه‌های‌اولیه، استقرار و نگهداری کمتر از WAF مبتنی بر سخت‌افزار
  • کاهش تاخیر
  • دارای قابلیت تنظیم وشخصی‌سازی
  • کاملاً  Air gap

معایب

  • برخی از صنایع (مانند سازمان‌های دولتی یا صنایع دفاعی) ملزم به حفظ تمامی زیرساخت‌ها و داده‌ها در درون سازمان هستند، در نتیجه از فایروال‌های WAF مبتنی بر ابر استفاده نمی‌کنند.
  • اکثر فایروال‌های WAF مبتنی بر ابر نیاز به تغییر مسیر ترافیک برنامه دارند، در نتیجه تاخیر افزایش می‌یابد.
  • استقرار پیچیده
  • نیاز به نصب کد روی سرور برنامه دارد
  • برای اجرای موثر به منابع سرور برنامه‌کاربردی متکی است
  • به‌روزرسانی‌ها باید توسط کاربر نهایی اعمال و مدیریت شوند
  • نیاز به سرمایه اولیه بالا
  • هزینه‌های نگهداری مداوم
  • هزینه‌های عملیاتی بالا / سربار بالای فناوری اطلاعات
  • به‌روزرسانی و نگهداری توسط کاربر نهایی اعمال و مدیریت می‌شوند

ویژگی‌ها و قابلیت‌های WAF

فایروال‌های وب اپلیکیشن معمولاً ویژگی‌ها و قابلیت‌های زیر را ارائه می‌دهند:

  • پایگاه‌های داده حملات مبتنی بر امضاء

امضاهای حملات الگوهایی هستند که معمولاً ترافیک مخرب را نشان می‌دهند، از جمله انواع درخواست، پاسخ‌های غیرعادی سرور و نشانی‌های IP مخرب شناخته شده. WAFها درگذشته عمدتاً به پایگاه‌های داده الگوی حملات متکی بودند که در برابر حملات جدید یا ناشناخته مؤثر نبودند.

  • تحلیل الگوی ترافیک مبتنی بر هوش مصنوعی

الگوریتم‌های هوش مصنوعی، جهت شناسایی ناهنجاری‌های نشان‌دهنده حملات، تحلیل رفتاری الگوهای ترافیک را با استفاده از خطوط پایه رفتاری برای انواع مختلف ترافیک امکان‌پذیر می‌سازند. این الگوریتم‌ها امکان شناسایی حملاتی را که با الگوهای مخرب شناخته شده مطابقت ندارند، فراهم می‌کند.

  • بازرسی برنامه‌کاربردی

این ویژگی، قابلیت تحلیل ساختار یک برنامه کاربردی از جمله درخواست‌های معمولی، نشانی‌های URL، مقادیر و انواع داده‌های مجاز را فراهم می‌کند. این به WAF اجازه می‌دهد تا درخواست‌های بالقوه مخرب را شناسایی و مسدود نماید.

  • قابلیت شخصی‌سازی

اپراتورها می‌توانند قواعد امنیتی را جهت اعمال بر روی ترافیک برنامه تعریف کنند. این به سازمان‌ها اجازه می‌دهد تا رفتار WAF را مطابق با نیازهای خود سفارشی کنند و از مسدودسازی ترافیک معتبر جلوگیری نمایند.

  • قابلیت همبستگی و انطباق

این قابلیت ترافیک ورودی را تحلیل نموده و آن را از طریق امضاهای حملات شناخته شده، بازرسی برنامه، تحلیل هوش مصنوعی و قواعد معمول اولویت‌بندی می‌کند تا تعیین نماید که آیا باید مسدود شوند یا خیر.

  • پلتفرم‌های حفاظتی DDoS

شما می‌توانید یک پلتفرم مبتنی بر ابر را با WAF ادغام کنید تا از حملات DDoS محافظت کند. چنانچه WAF یک حمله DDoS را شناسایی کند، می‌تواند ترافیک را به پلت‌فرم حفاظتی DDoS منتقل کند، که این به نوبه خود حجم زیادی از حملات را مدیریت می‌کند.

  • شبکه‌های تحویل محتوا

WAFها در لبه شبکه مستقر می‌شوند، بنابراین یک WAF مبتنی بر ابر می‌تواند یک شبکه توزیع محتوا (Content Delivery Networks – به اختصار CDN) را جهت Cache نمودن سایت بکار گرفته و زمان بارگذاری را بهبود دهد.WAF ، CDN را در چندین نقطه حضور (Points of Presence – به اختصار PoP) که در سطح جهانی توزیع شده، مستقر می‌کند. بنابراین از نزدیک‌ترین PoP به کاربران سرویس ارائه می‌دهد.