12 وب فایروال (WAF) برتر در سال 2023

12 وب فایروال (WAF) برتر در سال 2023

وب فایروال‌ها (WAFها) (Web application firewalls) از ابزارهای مهمی هستند که امنیتی قدرتمند را برای اپلیکیشن‌ها تأمین می‌کنند. بهترین فایروال‌ها آنهایی هستند که می‌توانند یک توازن درست و خوب بین پارامترهای عملکرد، اثربخشی امنیت و هزینه برقرار کنند. 

کار اصلی WAF حفاظت از اپلیکیشن‌های خاص در برابر حملات وبی در لایه اپلیکیشن است. از طرفی، فایروال‌های وب (WAFها) قابلیت‌های پیشرفته‌تری مثل لودبالانس (load balancing)، پیشگیری از نفوذ، هوش تهدید و قابلیت‌های دیگری هم دارند که نقش آنها را پررنگ‌تر می‌سازند. در عین حال، فناوری WAF را بیشتر به عنوان بخشی از راهکارهای امنیتی جامع مانند فایروال‌های نسل بعدی (NGFW) (next-generation firewalls)، مدیریت یکپارچه تهدیدات (UTM) (unified threat management) و راهکارهای مشابه دیگر ارائه می‌کنند.

راهکارهای مستقل و جامع فایروال WAF از نظر قیمت، سادگی در نصب و عملکرد متنوع هستند. در این مقاله، ابتدا نگاهی اجمالی به تأمین‌کننده‌های برتر WAFها داریم و سپس، محصولات و بازار WAF را بررسی می‌کنیم تا ببینید که خریداران محصول، قبل از خرید باید به چه نکاتی توجه داشته باشند.

بازار وب فایروال‌ها یا همان WAFها

انتظار می‌رود که بازار وب فایروال با نرخ رشد مرکب سالانه (CAGR) برابر با 92_/16 درصد رشد کرده و از عدد 3/23 میلیارد دلار در سال 2020 به ارزش 8/06 میلیارد دلار در سال 2026 برسد. WAFها با تقاضای زیادی در جهان روبرو هستند و این مسأله به شدت به منابع اپلیکیشن وابسته است. 

توضیحات بیشتر در خصوص راهکارهای WAF

شرکت eSecurity Planet بازار فایروال‌های وب‌اپلیکیشن را بررسی کرده و فهرست زیر را به عنوان برترین راهکارها و تأمین‌کنندگان WAF معرفی می‌کند. در این‌جا، نگاهی دقیق‌تر به این راهکارها داشته و سپس، رهنمودهایی را در خصوص بازارهای WAF و نکات خرید ارائه خواهیم کرد.

مقایسه راهکارهای برتر برای وب فایروال

Akamai : محصولات Kona Site Defender (KSD) و Web Application Protector (WAP)

از زمان برگزاری نمایشگاه کارآفرینی در دانشگاه ماساچوست (MIT) در سال 1998 تا به امروز، شرکت آکامی تکنولوژیز (Akamai Technologies) به عنوان برترین ارائه‌دهنده راهکارهای WAF مطرح بوده است. محصول Web Application Protector (WAP) که به دو صورت ارائه می‌شود، می‌تواند حفاظت در برابر حملات DDoS و مدیریت بات‌ها را برای شما فراهم کند. همچنین، می‌توانید آن را به شکلی پیکربندی کنید که جدیدترین تهدیدها را هم برای شما تشخیص دهد. محصول Kona Site Defender (KSD) پا را از این هم فراتر گذاشته و قابلیت‌هایی همچون تشخیص رفتار غیرعادی در سطح شرکت (enterprise-level anomaly detection)، هوش تهدید و خودکارسازی کنترل را نیز در اختیار شما قرار می‌دهد. آکامی با ارائه فناوری CDN و قابلیت‌های پیشرفته امنیتی به عنوان یکی از راهکارهای برتر برای اعتماد صفر (zero trust) به حساب می‌آید. 

گارتنر در گزارش ربع جادویی خود در سال 2020 (Gartner 2020 Magic Quadrant)، آکامی را در کنار ایمپروا (Imperva) به عنوان تنها شرکت‌های رهبر در بازار WAF معرفی می‌کند.

در قسمت Gartner Peer Insights در سایت گارتنر، 191 کاربر به محصولات WAP و KSD امتیاز داده‌اند و میانگین امتیازات برای این دو محصول برابر با 4/7 از 5 ستاره بوده است. در گزارش سه‌ماهه اول Forrester Wave در سال 2020 نیز از آکامی به عنوان شرکت پیشرو در بازار WAF یاد شده و محصول KSD نیز به عنوان یک سرمایه‌گذاری خوب برای قابلیت‌های امنیتی پیشرفته برای APIها معرفی شده است.

فایروال AWS WAF

مشتریانی که از راهکار ابر بومی وب‌سرویس آمازون (Amazon Web Service (AWS) cloud-native solution) استفاده می‌کنند، نیازی به بررسی سایر گزینه‌ها ندارند. سال‌ها است که آمازون به عنوان شرکت برتر در اکوسیستم ابری مطرح است و پانزده سال است که پس از انتشار راهکارهای خود، آنها را بیش از پیش توسعه داده است. AWS مجموعه‌ای از قواعد باکیفیت را پیکربندی کرده و مدیریت می‌نماید تا شبکه‌های آن نسبت به بسیاری از حملات مترتب بر وب‌اپلیکیشن‌ها و APIها در امان باشند. قابلیت‌هایی همچون کنترل بات‌ها در محصول AWS WAF  (AWS WAF Bot Control)، قابلیت دید وسیعی را در اختیار شما قرار داده و با استفاده از آن می‌توانید ترافیک‌های مشکوک و اقدام‌پذیر را کنترل کنید. 

گارتنر در گزارش ربع جادویی خود در سال 2020 (Gartner 2020 Magic Quadrant) از AWS WAF به عنوان بازیگر گوشه (niche player) یاد می‌کند. امتیاز میانگین کاربران از میان 187 نظر در بخش Gartner Peer Insights در سایت گارتنر برابر با 4/7 از 5 ستاره است. گزارش سه‌ماهه اول Forrester Wave در سال 2020 نیز AWS را در میان رقبا در بازار WAF قرار داده و بر مجموعه‌ای از سرویس‌های تکمیلی AWS تأکید می‌نماید که در اختیار مشتریان قرار دارند.

همچنین، مدیریت مجموعه آسیب‌پذیری‌های‌ فضای ابری سال 2021 (Cloud Bucket Vulnerability Management in 2021) را ببینید.

Barracuda WAF

شرکت باراکودا نتورکس (Barracuda Networks) که در سال 2003 تأسیس شده، شرکتی در کمپبل کالیفرنیا است که دستگاه‌های شبکه و خدمات ابری را در اختیار مشتریان خود قرار می‌دهد. مجموعه محصول WAF این شرکت را می‌توانید از طریق دستگاه‌های سخت‌افزاری مربوط، به صورت مجازی یا از طریق فایروال ابری CloudGen باراکودا برای AWS ،Azure و GCP پیاده‌سازی کنید. مشتریان می‌گویند که استفاده از محصول WAF باراکودا ساده است. همچنین، پشتیبانی مشتریان این محصول بسیار خوب است و می‌توان از خدمات بارکودا برای اصلاح آسیب‌پذیری‌ها (Barracuda’s vulnerability remediation service) به شکل رایگان استفاده نمود. 

در گزارش ربع جادویی گارتنر برای WAF در سال 2020 (Gartner 2020 Magic Quadrant for WAF) از محصول WAF باراکودا نیز به عنوان یکی از رقبا در بازار یاد شده و میانگین امتیاز آن از میان 73 نظر در بخش Gartner Peer Insights در سایت گارتنر برابر با 4/6 از 5 ستاره است. در گزارش سه‌ماهه اول Forrester Wave در سال 2020 نیز از شرکت باراکودا نتورکس به عنوان یکی از شرکت‌های قدرتمند در بازار WAF یاد شده و کاربران به قیمت خوب آن اشاره کرده‌اند. 

برای اطلاعات بیشتر در این خصوص، مقاله WAF باراکودا (Barracuda WAF) را بخوانید.

Check Point CloudGuard AppSec

شرکت اسرائیلی چک‌پوینت سافت‌ویر تکنولوژیز (Check Point Software Technologies) در زمینه راهکارهای امنیت سایبری کار می‌کند. این شرکت با ارائه اولین ماژول امنیت بازرسی استیت‌فول (stateful inspection security module) خود به نام FireWall-1 در سال 1993 موجی را به راه انداخت. این شرکت هم‌چنان به نوآوری‌های خود ادامه داد و حدود سی سال بعد توانست راهکارهایی را برای پوشش شبکه، ابر و فضای دسترسی کاربران ارائه نماید. 

راهکار WAF ابری این شرکت CloudGuard نام دارد. این راهکار می‌تواند مثبت‌های کاذب را از بین ببرد و هزینه‌های کلّی مالکیت (TOC) آن نیز کمتر است. همچنین می‌توانید این راهکار را در هر محیطی پیاده‌سازی کنید. در CloudGuard AppSec از هوش مصنوعی زمینه (contextual AI) استفاده می‌شود. به این ترتیب، خطاهای انسانی از بین می‌روند و می‌توانید قواعدی را از قبل تعیین کنید تا جلوی تهدیدات گرفته شود. برخی از کاربران در قسمت Gartner Peer Insights در سایت گارتنر، چابکی و انعطاف‌پذیری این محصول را تحسین کرده‌اند، اما بعضی کاربران هم گفته‌اند که پشتیبانی این محصول ضعیف و پیاده‌سازی آن زمان‌بر است.

Cloudflare WAF

کلودفلیر (Cloudflare) شرکتی است که زیرساخت‌های وبی و خدمات امنیت سایبری ارائه می‌کند. این شرکت که در سال 2009 تأسیس شده و در سان‌فرانسیسکو در ایالت کالیفرنیا واقع است، خدمات تخصصی در زمینه شبکه تحویل محتوا (content delivery network) (CDN) ارائه می‌کند. کلودفلیر خدمات مختلفی از حفاظت از شرکت‌ها در لبه شبکه تا کاهش حملات DDoS ارائه می‌نماید. WAF شرکت کلودفلیر از حدود 25 میلیون وب‌سایت محافظت می‌کند. با وجود یک چنین شبکه بزرگی، کلودفلیر آخرین هوش تهدید را با مقیاس مورد نظر در اختیار شما قرار می‌دهد. 

در گزارش ربع جادویی گارتنر برای WAF در سال 2020 (Gartner 2020 Magic Quadrant for WAF) از کلودفلیر به عنوان یکی از رقبا در زمینه WAF یاد شده است. امتیاز این شرکت از میان 208 نظر در بخش Gartner Peer Insights برابر با 4/7 از 5 ستاره است. گزارش سه‌ماهه اول Forrester Wave در سال 2020 نیز کلودفلیر را در میان رقبا قرار داده و کاربری ساده و امکان یکپارچه‌سازی آن با سایر راهکارهای کلودفلیر را تحسین کرده است.

WAF پیشرفته F5

شرکت F5 که در سیاتل واقع است، کار خود را با ارائه لودبالانسر BIG-IP (BIG-IP load balancer) از اواسط دهه 1990 میلادی آغاز کرد. این شرکت برای تأمین امنیت در لایه اپلیکیشن برای دستگاه‌ها، نرم‌افزارها و راهکارهای خود، محصول WAF پیشرفته F5 را ارائه نمود. F5 با ارائه قابلیت‌هایی همچون تحلیل رفتار (behavioral analytics) و یادگیری ماشین (machine learning) تا رمزگذاری داده در درون مرورگر (in-browser data encryption) و کیت توسعه نرم‌افزار (SDK) موبایل برای مقابله با بات‌ها (anti-bot mobile SDK)، همواره قابلیت‌های پیشرفته‌ای را برای این صنعت تأمین کرده است. از نظر کاربرانی که از راهکارهای WAF استفاده می‌کنند، F5 همواره به عنوان یکی از بهترین گزینه‌ها در این زمینه مطرح بوده است. 

در گزارش ربع جادویی گارتنر برای WAF در سال 2020 (Gartner 2020 Magic Quadrant for WAF) از WAF پیشرفته F5 (F5 Advanced WAF) به عنوان یکی از رقبا در بازار یاد شده است. این در حالی است که نظر کاربران در Gartner Peer Insights برای این محصول به صورت XXX است. در گزارش سه‌ماهه اول Forrester Wave در سال 2020، از WAF پیشرفته F5 به عنوان یکی از رقبای قدرتمند در این حوزه یاد شده و امتیازات بالایی را از نظر تشخیص و واکنش در برابر تهدیدات به خود اختصاص داده است. 

FortiWeb شرکت فورتی‌نت

از سال 2000 به بعد، شرکت فورتی‌نت (Fortinet) همواره به عنوان یکی از شرکت‌های اصلی در صنعت امنیت سایبری مطرح بوده است. شهرت این شرکت به خاطر مجموعه فایروال‌هایی مثل فایروال وب‌اپلیکیشن فورتی‌وب (FortiWeb web application firewall) است که توسط این شرکت ارائه می‌شوند. این شرکت که در شهر Sunnyvale ایالت کالیفرنیا قرار دارد، یک راهکار WAF ارائه نموده که می‌تواند خود را با سطح جدید حملات در اپلیکیشن‌ها وفق دهد. فورتی‌وب که در آن از دو لایه یادگیری ماشین استفاده می‌شود، یکی از راهکارهای پیشرفته برای وب‌اپلیکیشن و امنیت API (API security) و همچنین، کاهش حملات بات‌ها به حساب می‌آید. 

 فورتی‌وب به عنوان یکی از رقبای اصلی در بازار بوده و جایگاه خوبی را در گزارش ربع جادویی گارتنر برای WAF در سال 2020 (Gartner 2020 Magic Quadrant for WAF) از آن خود کرده است. در بخش Gartner Peer Insights در سایت گارتنر نیز محصول فورتی‌وب به عنوان یکی از محصولات محبوب در میان کاربران مطرح است. 212 نفر در مورد این محصول نظر داده‌اند که بیشترین تعداد به حساب می‌آید. مشتریان به نقاط قوت این محصول، از جمله حفاظت در برابر تهدیدات و قابلیت‌های پیشرفته امنیتی اشاره کرده‌اند. با این حال، در یکی از نقطه‌نظرات جدید چنین بیان شده که رابط کاربری این محصول می‌تواند بهتر شده و کنترل‌های تصویری بیشتر و جامع‌تری به آن اضافه شود. 

برای اطلاعات بیشتر، مقاله‌ فورتی‌وب شرکت فورتی‌نت (Fortinet FortiWeb) را بخوانید.

Imperva : WAF Gateway And Cloud WAF

شرکت WEBcohort که در سال 2003 کار خود را به تازگی در کالیفرنیا آغاز کرده بود، یکی از شرکت‌هایی بود که فناوری فایروال وب‌اپلیکیشن ارائه می‌کرد. این شرکت که چند سال بعد، نام آن به ایمپروا (Imperva) تغییر یافت، اکنون به عنوان یکی از شرکت‌های برتر در صنعت WAF مطرح است. مشتریان WAF شرکت ایمپروا (Imperva WAF) می‌توانند این محصول را بر روی زیرساخت‌های on-premises خود (محصول WAF Gateway) نصب کرده یا از AWS و Azure یا خدمات ابر (محصول Cloud WAF) استفاده کنند. ایمپروا مدعی است که می‌تواند خدمات امنیتی را با همان سرعت دواپس (DevOps) ارائه نموده، بیش از 600 میلیون حمله را در روز مسدود ساخته و با توافق سطح خدمت (SLA) در 99_/999% از زمان‌ها در دسترس باشد. 

در گزارش ربع جادویی گارتنر برای WAF در سال 2020 (Gartner 2020 Magic Quadrant for WAF)، از شرکت ایمپروا به عنوان شرکتی یاد شده که 7 بار به عنوان شرکت پیشرو در این حوزه مطرح بوده است. در بخش Gartner Peer Insights در سایت گارتنر نیز 100 کاربر به این محصول امتیاز داده‌اند. کاربران، قابلیت‌های حفاظت در برابر DDoS و همچنین، کنترل‌های مبتنی بر قواعد و امضا (signatures) برای این محصول را تحسین نموده‌اند. کاربرانی که امتیازات کمتری به این محصول داده‌اند، اشاره می‌کنند که امنیت API در این محصول، هنوز جای کار دارد و پیاده‌سازی برای چند آدرس IP بیرونی در این محصول را هم می‌توان بهبود داد. در گزارش سه‌ماهه اول Forrester Wave در سال 2020 نیز از Imperva Cloud به عنوان یکی از محصولات پیشرو در این حوزه یاد شده و بر قابلیت‌های ابری آن برای مدیریت بات‌ها، خودحفاظتی اپلیکیشن در زمان اجرا (Runtime application self-protection یا RASP)، DDoS و امنیت API تأکید شده است. 

برای اطلاعات بیشتر، مقاله WAF ایمپروا (Imperva WAF) را بخوانید.

Microsoft Azure WAF

غول نرم‌افزاری در واشنگتن، ردموند در سال 2008 از خدمات ابری Azure رونمایی کرد. پیاده‌سازی محصول Azure WAF که در اختیار شبکه مشتریان مایکروسافت قرار دارد، بسیار ساده است و در عین حال، قابلیت‌های مرکز امنیت آژور (Azure Security Center) نیز به همراه آن ارائه می‌شود. Azure با ارائه این محصول به عنوان یک WAF ابری، محصولی با قیمت‌های متنوع و مقیاس‌پذیر و همچنین، یک استراتژی جغرافیایی ارائه نموده که قابلیت‌های کاهش حملات DDoS مایکروسافت (Microsoft’s DDoS mitigation bandwidth) را افزایش می‌دهد. 

میانگین امتیاز Azure WAF در بخش Gartner Peer Insights در سایت گارتنر برابر با 4/5 از 5 ستاره از کل 82 نظر است. در گزارش ربع جادویی گارتنر برای WAF در سال 2020 (Gartner 2020 Magic Quadrant for WAF) نیز این محصول به عنوان یکی از بازیگران گوشه به حساب می‌آید. در گزارش سه‌ماهه اول سال 2020 در Forrester Wave نیز از مایکروسافت به عنوان یکی از رقبا در فضای WAF یاد شده است.

AppWall : Radware و WAFCloud

در نسخه قبلی این مقاله تنها محصول AppWall از شرکت ردویر (Redware) پوشش داده شد و در این به روزرسانی محصول ابری استیت‌فول (Statefull) آن، یعنی Radware Cloud WAF نیز بررسی می‌شود. این شرکت آمریکایی-اسرائیلی که خدمات امنیت سایبری ارائه می‌کند، هم‌چنان به نوآوری‌های خود در فضای ابری ادامه داده و طی چند سال گذشته توانسته چندین جایزه را در این زمینه از آن خود کند. حفاظت در برابر بات‌ها، امینت API بر اساس یادگیری ماشین و پیاده‌سازی خارج از مسیر (out-of-path deployment)، برخی از دلایلی است که گارتنر در گزارش ربع جادویی خود برای WAF در سال 2020 (Gartner 2020 Magic Quadrant for WAF)، از شرکت ردویر به عنوان یکی از شرکت‌های بسیار خوب در بازار WAF یاد کرده است. 

در بخش Gartner Peer Insights در سایت گارتنر نیز 101 کاربر به محصولات AppWall و Cloud WAF امتیاز داده و میانگین امتیازات برابر با 4/7 از 5 ستاره بوده است. در گزارش سه‌ماهه اول سال 2020 در Forrester Wave از شرکت ردویر به عنوان یکی از شرکت‌های قدرتمند در این حوزه یاد شده که این شرکت را پس از شرکت‌های ایمپروا و آکامی در بازار قرار داده است. 

برای اطلاعات بیشتر در این خصوص، مقاله Radware AppWall را بخوانید.

Fastly-Signal Sciences NGWAF

در فهرست جدید ما نام Signal Sciences به چشم می‌خورد که در ماه آگوست سال 2020 با مبلغ 775 میلیون دلار توسط شرکت ابری Fastly خریداری شد. شرکت فستلی (Fastly) که در سان‌فرانسیسکو واقع است و کار خود را از سال 2011 آغاز کرده است، به صورت تخصصی در تعمیم زیرساخت‌های ابری به لبه شبکه (network edge) کار می‌کند. این شرکت با خرید Signal Sciences، فایروال وب‌اپلیکیشن نسل بعدی (Next-Generation Web Application Firewall) را هم به محصولات خود اضافه کرده است. با این محصول از 40،000 اپلیکیشن در ماه محافظت کرده و از بیش از 100 پلتفرم ترکیبی و چندابری (hybrid and multi-cloud platforms) پشتیبانی می‌نماید. 

در گزارش ربع جادویی گارتنر برای WAF در سال 2020 (Gartner 2020 Magic Quadrant for WAF) از این محصول به عنوان یکی از محصولات مهم در بازار یاد شده است. همچنین، فایروال وب‌اپلیکیشن نسل بعدی Signal Sciences NGWAF به عنوان یکی از محصولات برتر در بخش Gartner Peer Insights در سایت گارتنر است که امتیاز میانگین 4/9 از 5 ستاره را از میان 210 نظر از آن خود کرده است.

SonicWall NSa NGFW

بحث خود در خصوص دوازده تأمین‌کننده برتر فایروال WAF را با یکی از شرکت‌هایی به پایان می‌بریم که شرکت‌های کوچک و متوسط (SMB) و سازمان‌های کوچک و متوسط (SME) استقبال بسیاری از آن داشته‌اند. از سال 1991 به بعد، شرکت SonicWall جدیدترین راهکارهای امنیت شبکه را ارائه نموده و دستگاه امنیت شبکه آن (NSa) هم‌چنان به عنوان گزینه‌ای پیشرفته و مناسب برای شبکه‌های متوسط مطرح بوده است. آخرین محصول این شرکت، یعنی فایروال نسل بعدی (NGFW) Gen 7 NSa برای فعالیت‌های مربوط در سطح سازمان‌های بزرگ مناسب است. 

SonicWall نوید عملکرد پیشرو در صنعت با هزینه‌های کلّی مالکیت کمتر به همراه قابلیت‌های جامع امنیت را می‌دهد. دستگاه امنیت شبکه NSa بیشتر از آن که یک فایروال نسل بعدی (NGFW) با قابلیت‌های WAF باشد، یک ابزار راحت و مناسب برای مشتریان SonicWall است که کنترل‌های امنیتی باکیفیت برای اپلیکشین ارائه می‌کند و شبیه به یک راهکار مستقل WAF است.

برای اطلاعات بیشتر، مقاله SonicWall NSa را بخوانید. 

مقایسه شرکت‌های برتر تأمین‌کننده WAF

بر اساس تجارب گارتنر در این صنعت، تمام شرکت‌هایی که ما به عنوان تأمین‌کننده WAF از آنها یاد کردیم، در گزارش ربع جادویی گارتنر برای فایروال‌های وب‌اپلیکیشن در سال 2020 (2020 Gartner Magic Quadrant for Web Application Firewalls) نیز مطرح شده‌اند. دو شرکت چک‌پوینت (Check Point) و سونیک‌وال (SonicWall) در گزارش یادشده وجود ندارند. در گزارش سه‌ماهه اول Forrester Wave هم از تمام تأمین‌کننده‌های برتر WAF به جز شرکت‌های چک‌پوینت، Fastly-Signal Sciences و SonicWall یاد شده است. 

در هر دوی این گزارشات به قابلیت‌هایی همچون تشخیص تهدیدات و واکنش در برابر آنها، رابط مدیریت (management interface)، آسیب‌پذیری‌های روز صفر (zero-day vulnerabilities)، گزارش‌دهی و تجزیه و تحلیل و حلقه‌های بازخورد اشاره شده است. برخی از پارامترهای متمایزکننده در بازار WAF عبارتند از توسعه API و امنیت سمت کلاینت، هوش یکپارچه تهدید و مدیریت فرآیند مشتری‌محور (customer-centric process management). 

همچنین، مقاله تأمین‌کنندگان برتر برای محصولات شبیه‌ساز نقض امنیت و حملات (Top Breach and Attack Simulation (BAS) Vendors) را بخوانید.

روش‌شناختی eSecurityPlanet

ما چندین تأمین‌کننده WAF از چند نقطه داده و چندین ویژگی محصولات این حوزه را بررسی کردیم تا بتوانید قابلیت‌ها، نقاط قوت و محدودیت‌های هر یک از این تأمین‌کننده‌ها و محصولات‌شان را بررسی و تحلیل کنید. آزمون‌های مستقل (Independent tests)، بررسی نظرات کاربران، اطلاعات تأمین‌کنندگان و گزارشات تحلیلی از جمله منابع اطلاعاتی است که ما در تحلیل خود از آنها استفاده کرده‌ایم. 

راهنما برای وب فایروال‌ها

فایروال‌های وب‌اپلیکیشن یا WAF، ابزارهایی بسیار مهم برای تأمین امنیت شبکه‌های سازمان و معماری سرویس‌محور (service-oriented architecture) به حساب می‌آیند. فایروال‌های وب‌اپلیکیشن که در سمت بک‌اند (backend) و نزدیک به سرور‌های وب و دیتابیس‌های اپلیکیشن‌ها قرار می‌گیرند، از اپلیکیشن‌ها و APIها در برابر حملات وبی مانند بات‌نت‌ها، SQLi و DDoS محافظت می‌کنند. 

در این‌جا می‌گوییم که یک فایروال وب‌اپلیکیشن چیست، چطور کار می‌کند و چه قابلیت‌هایی را از آن انتظار داریم. همچنین، به شما می‌گوییم که چه چیزهایی را باید بدانید تا بتوانید گزینه مناسب خود را بخرید. 

همچنین، مقاله بهترین شیوه‌های امنیت دیتابیس (Database Security Best Practices) را بخوانید. 

وب فایروال چیست؟

فایروال وب‌اپلیکیشن یک فایروال خاص است که به منظور فیلترکردن و کنترل ترافیک HTTP بر روی اینترنت بین کلاینت‌های وب و سرورهای اپلیکیشن طراحی شده است. 

فایروال‌های سنتی شبکه در لایه‌های شبکه و انتقال (network and transport layer) عمل کرده و بر روی انتقال بسته‌ها (packet) و داده‌ها نظارت دارند. اما WAF از لایه 7 حفاظت می‌کند. این فایروال‌ها معمولاً بین یک فایروال پیرامونی (perimeter firewall) و یک وب‌سرور یا سرور اپلیکیشن می‌نشینند. فایروال‌های وب‌اپلیکیشن پا را فراتر از فایروال‌های قدیمی‌تر که به صورت فایروال‌هایی با اتصال پورت و بدون زمان عمل می‌کردند، گذاشته و امنیت را برای اپلیکیشن‌هایی که بر روی اینترنت ارائه می‌شوند، فراهم می‌آورند. خلاصه این‌که فایروال‌های WAF، آن شکاف امنیتی که در فایروال‌های سنتی برای تأمین امنیت اپلیکیشن‌ها (application security) وجود دارد را پر می‌کنند. 

همچنین، مقاله فهرست تأمین‌کنندگان امنیت اپلیکیشن در سال 2021 (Application Security Vendor List for 2021) را بخوانید. 

حملات مرسوم بر روی وب‌ فایروال‌ها

درست همانند سایر بحث‌های امنیت سایبری، ادمین‌های شبکه و بازیگران مخرب با هم می‌جنگند تا هر کدام به نفع خود از مزایای فناوری بهره ببرند. حملاتی همچون XSS و SQLi می‌توانند اپلیکیشن‌ها را خراب کنند و دسترسی‌های ویژه‌ای را به دست آورند و سپس، با این نقاط دسترسی مناسب در شبکه حرکت کنند. 

همچنین، مقاله آسیب‌پذیری‌های رایج امنیت IT و نحوه مقابله با آنها (Common IT Security Vulnerabilities – and How to Defend Against Them) را بخوانید. 

قابلیت‌های WAF

قابلیت‌های مرسوم WAFها به شرح زیر است:

• پایش، فیلترکردن، مسدودسازی و به چالش‌کشیدن داده‌ها و دسترسی به اپلیکیشن‌ها

• داشبورد مدیریتی برای هشدارها و کنترل‌ها

• روش‌های پیشرفته امنیت مانند پیاده‌سازی مجازی وصله‌ها (virtual patch deployment)، فریب و هدایت به مسیر اشتباه (misdirection) و هانی‌پاتینگ (honey potting)

• تشخیص خودکار حملات (Automated attack detection) با هویت و دسته‌بندی ریسک‌های رفتاری

• تشخیص تهدیدات و پیشگیری از آنها برای آسیب‌پذیری‌های روز صفر (zero-day)

• هوش تهدید برای جدیدترین تهدیدات مترتب بر اپلیکیشن‌های وبی

• تحلیل داده در خصوص استفاده از اپلیکیشن‌ها از جمله فعالیت‌های مخرب یا مشکوک

چگونه وب فایروال را پیاده‌سازی کنیم ؟

وب فایروال‌ها را می‌توان به صورت دستگاه‌های شبکه‌ای، نرم‌افزارهای ابری و بر روی هاست (host-based) پیاده‌سازی کرد. هر چند هنوز هم از دستگاه‌های شبکه به عنوان گزینه پیش‌فرض در سازمان‌های بزرگ استفاده می‌شود، اما استفاده از فایروال‌های WAF ابری نیز کم‌کم مرسوم شده است.

همچنین، مقاله تأمین‌کنندگان برتر فایروال‌های نسل بعدی (NDFW) (Top Next-Generation Firewall (NGFW) Vendors) را بخوانید.

WAF به شکل دستگاه شبکه‌ای

دستگاه‌های سخت‌افزاری که از آنها به عنوان WAF استفاده می‌شود، دارای تأخیر اندک بوده و در مراکز داده سازمان‌ها نصب می‌شوند. ماژول‌های این روش گران هستند، اما می‌توان آن‌ها را تا بیشترین حد ممکن به صورت سفارشی درآورد. علاوه بر این‌که این دستگاه‌ها نیاز به فضا، تجهیزات و کارکنان متخصص برای مدیریت تجهیزات فیزیکی دارند، هزینه‌های نگهداری آن‌ها نیز به عنوان دغدغه‌ای مهم به حساب می‌آید.

WAF ابری

امروزه فناوری WAF به صورت نرم‌افزار به عنوان خدمت (SaaS) هم در دسترس است که قیمتی کمتر داشته و به صورت یک سیستم آماده (turnkey) نصب می‌شود. فایروال‌های WAF ابری برای شرکت‌های کوچک و متوسط (SMB) که زیرساخت‌های IT استواری ندارند و سازمان‌هایی که به دنبال تقویت زیرساخت‌های ترکیبی خود هستند، یک گزینه مناسب به حساب می‌آیند. درست همانند سایر محصولات ابری، در این مورد هم مشتریان برخی از کنترل‌هایی که دستگاه‌های شبکه‌ای یا راهکار هاست می‌تواند در اختیار آنها قرار دهد را اساساً در اختیار نخواهند داشت. 

همچنین، مقاله فایروال به عنوان خدمت (FWaaS): آینده فایروال‌های شبکه (Firewalls as a Service (FWaaS): The Future of Network Firewalls?) را بخوانید. 

WAF روی هاست

از این فایروال‌ها کمتر از WAFهای دستگاهی یا ابری استفاده می‌شود. در این روش که سومین روش برای استفاده از WAF است، قابلیت‌های WAF را در درون نرم‌افزار متقاضی قرار می‌دهند. در این حالت، ادمین‌ها همان سفارشی‌سازی که در دستگاه‌های شبکه‌ای WAF وجود دارد را در اختیار دارند و در عین حال، هزینه کمتری پرداخت می‌کنند. این WAF که به عنوان یک جزء در اپلیکیشن میزبان قرار می‌گیرد را می‌توان به گونه‌ای تنظیم کرد که اپلیکیشن‌های دیگر هم اجرا شوند. در این صورت، هزینه‌های نگهداری تا حدودی بیشتر می‌شود. 

OWASP چیست؟

پروژه امنیتی برنامه‌های کاربردی تحت وب (OWASP) (Open Web Application Security Project) مقام ذی‌صلاح برتر برای امنیت وب‌اپلیکیشن‌ها است. از سال 2001، سازمان غیرانتفاعی 3©501 هزاران داوطلب را سازمان‌دهی کرده و رهنمودهای ارزشمندی برای امنیت وب در آینده (future of web security) ارائه کرد. 

همچنین، مقاله چگونه از حملات DDoS جلوگیری کنیم: 6 نکته در خصوص مقابله با حملات DDoS (How to Stop DDoS Attacks: 6 Tips for Fighting DDoS Attacks) را بخوانید. 

OWASP Top Ten

بسیاری از توسعه‌دهنده‌ها (developers) و متخصصین امنیت اطلاعات (infosec)، از فهرست OWASP Top Ten به عنوان فهرست شناخته‌شده‌ای یاد می‌کنند که در آن، مهم‌ترین ریسک‌های مرتبط با وب‌اپلیکیشن‌ها درج شده است. این فهرست شامل تهدیداتی مانند XSS و SQLi است که پیش از این هم به آنها اشاره کردیم. 

همچنین، تهدیدات دیگری هم به شرح زیر در این فهرست قرار دارند: 

• از دست‌رفتن احراز هویت (Broken authentication)

• در معرض تهدید قرارگرفتن داده‌های حساس (Sensitive data exposure)

• انتیتی‌های خارجی یا External Entities در زبان XML (آسیب پذیریXXE)

• از دست‌رفتن کنترل دسترسی (Broken access control)

• پیکربندی نادرست امنیت (Security misconfiguration)

• Insecure deserialization

• استفاده از مؤلفه‌هایی با آسیب‌پذیری‌های معلوم (Using components with known vulnerabilities)

• ثبت لاگ و مانیتورینگ ناکافی (Insufficient logging and monitoring)

WAF: انطباق و مقررات

وب فایروال‌ها از وب‌اپلیکیشن‌های سازمان حفاظت کرده و صحّت داده‌ها را نیز تأمین می‌کنند. به همین دلیل، بسیاری از سازمان‌ها از شرکت‌های کوچک و متوسط (SMB) گرفته تا سازمان‌های بزرگ، از راهکارهای مناسب برای ثبت آسان لاگ‌ها و حفاظت از داده‌های حیاتی خود استفاده می‌کنند تا با الزامات تعیین‌شده انطباق (compliance) داشته باشند. 

همچنین، مقاله خدمات برتر MDR برای سال 2021 (Top MDR Services for 2021) را بخوانید. 

این مقاله در تاریخ 7 می سال 2021 توسط سام اینگالز (Sam Ingalls) به‌روز شده است. مقاله اصلی در تاریخ 25 ژانویه سال 2019 توسط Drew Robb منتشر شده است.