آیا با وجود فایروال در شبکه، همچنان به وب فایروال (WAF) نیاز داریم؟
تصمیمگیری درباره این موضوع به چندین عامل بستگی دارد:
آیا کسبوکار ما برنامههای وب یا موبایلی دارد که در دسترس عموم قرار دارند؟
آیا بهروزرسانی سرویسها و زیرساختهای نرمافزارهای مورداستفاده در کسبوکار دشوار است؟
آیا از API های شخص ثالث استفاده میکنید؟
آیا در کسبوکار از وب اپلیکیشنهای قدیمی و مدرن بهصورت همزمان نگهداری میکنید؟
آیا نیاز به محافظت در برابر اکسپلویتهای روز صفر دارید؟
آیا میخواهید سیاستها و تستهای امنیتی را از طریق ادغام در فرایند CI/CD (توسعه و انتشار مستمر) بهینهسازی کنید؟
آیا کسبوکار ما سرویسهای تحت وب با دادههای حساس یا اطلاعات مشتریان را نگهداری میکند؟
آیا برای مدیریت جریان ترافیکی سرویسهای تحت وب کسبوکارتان، نیاز به اعمال محدودیتهای جغرافیایی و یا زمانی دارید؟ مثلا فقط کاربران داخل ایران تنها در یک ساعت مشخص قادر به استفاده از سرویس ما باشند.
آیا در اتصال سرویس های تحت وب بین دو دیتاسنتر نیاز به مدیریت جریان ترافیکی دارید؟
اگر به هر یک از سؤالات بالا پاسخ مثبت دادهاید، برای محافظت از برنامهها، برند و کسبوکار خود در برابر نشت دادهها و خرابی، از وب فایروال استفاده کنید.
کدام کسب و کارها باید وب فایروال بخرند؟
WAF برای تعداد روبهرشد شرکتهایی که محصولات خود را از طریق اینترنت ارائه میدهند - از جمله خدمات بانکداری آنلاین، ارائهدهندگان پلتفرمهای شبکههای اجتماعی و توسعهدهندگان برنامههای موبایل - اهمیت دارد؛ زیرا به جلوگیری از نشت دادهها کمک میکند. دادههای حساس زیادی مانند اطلاعات کارت اعتباری و سوابق مشتریان در پایگاههای داده پشتیبان ذخیره میشود که از طریق برنامههای وب قابلدسترسی هستند. مهاجمان اغلب این برنامهها را هدف قرار میدهند تا به دادههای مرتبط دسترسی پیدا کنند.
در نتیجه، یک WAF در کنار سایر اجزای امنیتی، از جمله سیستمهای پیشگیری از نفوذ (IPSها)، سیستمهای تشخیص نفوذ (IDSها) و فایروالهای کلاسیک یا نسل جدید (NGFWها) بیشترین کارایی را دارد.
FortiWeb 4000E
انواع وب فایروال ها
وب فایروالها باتوجهبه محل قرارگیری برنامهها، خدمات موردنیاز کاربران، نحوه مدیریت، سطح انعطافپذیری در معماری و عملکرد موردنیاز کاربران، به شکلهای گوناگونی راهاندازی میشوند. بنابراین، پاسخ به این سؤالات که آیا میخواهید خودتان آن را مدیریت کنید یا مدیریت آن را برونسپاری کنید، آیا داشتن یک گزینه مبتنی بر ابر برای شما مدل بهتری است یا ترجیح میدهید WAF در محل سرور فیزیکی سازمان قرار گیرد و سؤالاتی ازایندست، همگی به شما کمک میکنند تا تعیین کنید کدام گزینه برای شما مناسبتر است. بهطورکلی، WAFها را میتوان به چهار سطح مجزا گروهبندی کرد:
سطح ابری (Cloud Level)
سطح شبکه (Network Level)
سطح سرور (Server Level)
سطح برنامه (Application Level)
همانطور که در نمودار پایین نشاندادهشده است، هر سطح نشان میدهد که WAF در کجا قرار دارد:
مشخصات فنی و قابلیت های وب فایروال ها
وب فایروالهای مختلف ویژگیها و مشخصات فنی گوناگونی دارند که بهصورت خلاصه در جدول پایین ارائه شده است:
Advanced correlation protection using multiple security elements
Data leak prevention
Web Defacement Protection
Application Delivery
Layer 7 server load balancing
URL Rewriting
Content Routing
HTTPS/SSL Offloading
HTTP Compression
Caching
احراز هویت
Active and passive authentication
Site Publishing and SSO
RSA Access for 2-factor authentication
LDAP, RADIUS, and SAML support
SSL client certificate support
CAPTCHA and Real Browser Enforcement (RBE)
حفاظت از API
Machine Learning based API Discovery and Protection
XML and JSON protocol conformance
CI/CD integration
Schema verification
API Gateway
Web services signatures
Bot Mitigation
Machine Learning based Bot Mitigation
Biometrics Based Detection
Threshold Based Detection
Bot Deception
Know Bots
مدیریت و گزارشدهی
Web user interface
Command line interface
FortiView graphical analysis and reporting tools
Central management for multiple FortiWeb devices
Active/Active HA Clustering
REST API
Centralized logging and reporting
User/device tracking
Real-time dashboards
Bot dashboard
OWASP Top 10 attack categorization
Geo IP Analytics
SNMP, Syslog and Email Logging/ Monitoring
Administrative Domains with full RBAC
سایر ویژگیها
IPv6 Ready
HTTP/2 to HTTP 1.1 translation
HSM Integration
Seamless PKI integration
Attachment scanning for ActiveSync/MAPI applications, OWA, and FTP
High Availability with Config-sync for syncing across multiple active appliances
Auto setup and default configuration settings for simplified deployment
Setup Wizards for common applications and databases
Preconfigured for common Microsoft applications; Exchange, SharePoint, OWA
OpenStack support for FortiWeb VMs
Predefined security policies for Drupal and Wordpress applications
WebSockets support
مشخصات ظاهری و قیمت وب فایروال ها
وب فایروالها از جمله تجهیزات امنیتی هستند که هم به صورت فیزیکی یا سخت افزاری و هم به صورت مجازی یا نرم افزاری ارائه میشوند و همین موضوع بازه قیمتی آنها را به شدت تغیر میدهد. به این ترتیب، قیمت وب فایروالها میتواند از چند ده دلار اشتراک ماهیانه برای نسخههای نرم افزاری تا 500 هزار دلار در دستگاههای سخت افزاری تغییر کند. برای اطلاع از قیمت دقیق هر دستگاه، با کارشناسان فروش ما در شرکت افق داده ها ایرانیان تماس بگیرید.
معرفی برندهای وب فایروال
در جدول پایین، مشخصات فنی برترین وب فایروالهای فیزیکی یا On-premises که در ایران نیز از محبوبیت بالایی برخوردارند، مقایسه شده است:
برند وب فایروال
پروتکلهای پشتیبانی شده
محافظت در برابر حملات DDoS
پشتیبانی از قابلیتهای AI/ML
Integration
هزینه
Barracuda WAF
HTTP, HTTPS, and other web protocols
✅
✅
SIEM, SOAR, DevOps tools
WAF-as-a-Service (50Mbps) starts at $1.02 per unit. WAF بهعنوان سرویس (WAF-as-a-Service) با سرعت 50Mbps از 1.02 دلار به ازای هر واحد شروع میشود.
F5 Advanced WAF
Supports HTTP, HTTPS, and other web protocols
✅
✅
SIEM, SOAR, DevOps tools
نامشخص
Fortinet FortiWeb
Supports HTTP, HTTPS, and other web protocols
✅
✅
SIEM, SOAR, DevOps tools
بسته استاندارد یکساله از قیمت 2321 دلار شروع میشود.
Imperva WAF
Supports HTTP, HTTPS, and other web protocols, as well as APIs and microservices
✅
✅
SIEM, SOAR, DevOps tools
طرح حرفهای (Pro plan) با قیمت 59 دلار برای هر سایت در هر ماه آغاز میشود.
راهنمای انتخاب وب فایروال و خرید از شرکت افق داده ها ایرانیان
علاوه بر ویژگیها و گزینههای استقرار، خریداران WAF باید به دنبال راهحلی باشند که قابلیتهای امنیتی و مدیریتی موردنیازشان را ارائه دهد. برخی از موارد مهم که باید در نظر گرفته شوند عبارتاند از:
به طور مؤثر و بهموقع آسیبپذیریهای برنامه را کشف و رفع کند.
تهدیدات جدید و حملات DDoS را به طور مداوم شناسایی کند.
با بودجه سازمان سازگار بوده و مقرونبهصرفه باشد. در مقایسه با WAFهای مستقر در محل، WAFهای مبتنی بر ابر معمولاً هزینه اشتراک ماهانه کمتری دارند و بهروزرسانیهای سریعتری ارائه میدهند.
به تیم امنیتی اجازه دهد که مسیر مناسب برای درخواستها را انتخاب کنند (مسدودکردن، علامتگذاری، به چالش کشیدن).
در برابر طیف گستردهای از تهدیدات سایبری، از جمله SQL injection، cross-site scripting و سایر انواع حملات محافظت کند.
بهسادگی پیادهسازی، پیکربندی و مدیریت شود، بهویژه در سازمانهایی که متخصصان امنیتی خاصی ندارند.
بتواند سطوح بالای ترافیک وب را مدیریت کرده و در عین حال در برابر حملات DDoS در مقیاس بالا محافظت کند.
امکان سفارشیسازی قوانین برای رعایت الزامات صنعت و محافظت در برابر خطرات منحصربهفرد را فراهم کند.
با سایر راهکارهای امنیتی مانند شبکههای تحویل محتوا (CDNها) یا لود بالانسرها بهراحتی ادغام شود.
مستندات و پشتیبانی گستردهای را ارائه دهد تا به سازمانها در استفاده بهینه از راهحلهای WAF کمک کند.
تصمیمگیری درباره هر یک از عوامل بالا و انتخاب بهترین گزینه نیازمند بررسی کارشناسان این حوزه است. شما میتوانید برای دریافت هر گونه مشاوره در زمینه انتخاب وب فایروال، خرید فایروال و سایر تجهیزات شبکه با کارشناسان ما در شرکت افق دادهها ایرانیان تماس بگیرید.
سوالات متداول
آیا WAF جایگزین فایروال است؟
وب فایروال جایگزین فایروالهای شبکه سنتی نمیشود. چرا که WAFها بر محافظت از وب اپلیکیشنها در برابر حملات خاص لایه اپلیکیشن تمرکز دارند. اما، فایروالهای شبکه در لایه شبکه عمل میکنند و ترافیک را بر اساس آدرسهای IP، پورتها و پروتکلها فیلتر میکنند. هر دوی این ابزارها مقاصد متفاوتی در معماری امنیتی سازمانها دارند و لایههای محافظتی مکملی را برای محافظت از منابع شبکه و برنامههای وب در برابر تهدیدات مختلف ارائه میدهند.
WAF در برابر چه چیزی محافظت نمیکند؟
در حالی که WAFها در دفاع از حملات لایه اپلیکیشن مؤثر هستند، نمیتوانند در برابر همه انواع تهدیدات محافظت کنند. WAFها ممکن است در برابر حملات لایه شبکه مانند اسکن پورت، IP spoofing یا حملات SYN flood محافظت نکنند که نیاز به فایروالهای شبکهای یا سیستمهای جلوگیری از نفوذ (IPS) دارند. WAFها به طور ذاتی در برابر حملات مهندسی اجتماعی مانند فیشینگ یا فیشینگ هدفدار دفاع نمیکنند که نیاز به آموزش کاربران و راهحلهای امنیتی ایمیل دارند. علاوه بر این، WAFها نمیتوانند در برابر تهدیدات داخلی، حسابهای کاربری به خطر افتاده یا روشهای ضعیف امنیتی درونسازمانی محافظت کنند. بنابراین، یک استراتژی امنیتی جامع باید شامل لایههای متعددی از حفاظت باشد، از جمله وب فایروال، فایروال، سیستمهای تشخیص نفوذ، آموزش کاربران و سیاستهای امنیتی قوی.
