Як працює WAF?
Як працює WAF?
WAF (Web Application Firewall) — міжмережний екран вебзастосунків (він же брандмауер чи фаєрвол) відповідає за контроль доступу до вебзастосунків. Він блокує доступ до вхідних запитів, які можуть становити небезпеку, а також зупиняє вихідний трафік, викликаний активністю шкідливих програм.
09.11.2022
Сьогодні на ринку пропонується безліч різноманітних продуктів під назвою WAF. Деякі постачальники випускають спеціальні апаратні пристрої, інші розробляють програмні WAF, які можна запускати на загальнодоступному обладнанні. Найбільш інноваційний тренд — платформи хмарної безпеки, які включають WAF наступного покоління. У порівнянні з попередніми рішеннями WAF вони мають багато переваг.
Міжмережний екран вебзастосунків (WAF) зазвичай розгортається перед серверною мережею, яку він захищає. Найбільш поширена і, як правило, найефективніша конфігурація — зворотний проксі-сервер, який виконує ретрансляцію запитів клієнтів із зовнішньої мережі на сервери, що логічно розташовані у внутрішній мережі. WAF слугує посередником між клієнтами та серверною мережею.
Коли WAF розгортається як зворотний проксі-сервер, клієнти не взаємодіють безпосередньо з бекенд-системою. Натомість вони комунікують тільки з WAF. Зазвичай клієнти й не підозрюють, як здійснюється процес комунікацій, адже для них це відбувається невидимо і безшовно.
Вхідні запити клієнта та вихідні відповіді сервера проходять через WAF в обох напрямках. Це дає змогу WAF зупиняти трафік, що порушує його безпекову політику. Він блокує увесь трафік, який вважається ворожим або забороненим з будь-якої причини.
WAF може фільтрувати трафік відповідно до таких стратегій:
Негативна модель безпеки має чимало недоліків, у тому числі:
- - - - - - - - - -
*OWASP (Open Web Application Security Project) — проєкт забезпечення безпеки вебзастосунків.
Сьогодні деякі WAF мають досконаліші можливості. Хоча в цілому це також варіації на базі негативної чи позитивної моделей безпеки, вони досить сильно відрізняються за своїм підходом та ефективністю, тому їх зазвичай відносять до окремої категорії. Що таке WAF наступного покоління?
Якщо вас цікавить потужне та надійне рішення для веббезпеки, якщо ви хочете захистити свій бізнес від потенційних кіберзагроз, напишіть про це в Мегатрейд: soft@megatrade.ua. Ми надамо консультацію та організуємо можливість ознайомитися з демонстраційною версією nxgen. Нагадаємо, що Мегатрейд є офіційним дистриб’ютором Reblaze в Україні.
Міжмережний екран вебзастосунків (WAF) зазвичай розгортається перед серверною мережею, яку він захищає. Найбільш поширена і, як правило, найефективніша конфігурація — зворотний проксі-сервер, який виконує ретрансляцію запитів клієнтів із зовнішньої мережі на сервери, що логічно розташовані у внутрішній мережі. WAF слугує посередником між клієнтами та серверною мережею.
Коли WAF розгортається як зворотний проксі-сервер, клієнти не взаємодіють безпосередньо з бекенд-системою. Натомість вони комунікують тільки з WAF. Зазвичай клієнти й не підозрюють, як здійснюється процес комунікацій, адже для них це відбувається невидимо і безшовно.
Вхідні запити клієнта та вихідні відповіді сервера проходять через WAF в обох напрямках. Це дає змогу WAF зупиняти трафік, що порушує його безпекову політику. Він блокує увесь трафік, який вважається ворожим або забороненим з будь-якої причини.
WAF може фільтрувати трафік відповідно до таких стратегій:
- Негативна модель безпеки
- Позитивна модель безпеки
- Розширені можливості
Що таке негативна модель безпеки?
WAF аналізує та очищає трафік, застосовуючи набори правил до запитів. Традиційні WAF були засновані на негативній моделі безпеки: міжмережний екран дозволяє всі вхідні запити, якщо вони не відповідають визначеним сигнатурам загроз або іншим чином не порушують правила безпеки. Фактично йдеться про «чорний список» запитів, або іншими словами: все, що не заборонено, — дозволено.Негативна модель безпеки має чимало недоліків, у тому числі:
- Вона не здатна захистити від експлойтів нульового дня або інших атак, які ще не були додані до бази даних загроз.
- Зловмисники можуть обійти фільтрацію WAF, модифікувавши атаку настільки, щоб вона більше не відповідала відомим сигнатурам або уникнути блокування іншими способами.
- Вона не може захистити від всіх типів атак. Так, серед 10 основних ризиків безпеки вебзастосунків, виділених проєктом OWASP*, три не можуть бути ефективно нейтралізовані за допомогою методу «чорних списків», а саме: A2 [порушення автентифікації], A5 [порушення контролю доступу] та A7 [міжсайтовий скриптинг]. І навіть ті ризики, які можуть бути охоплені правилами негативної моделі безпеки, наприклад A1 [Injection], часто не реалізовані досить глибоко, щоб забезпечити дійсно надійний захист.
- - - - - - - - - -
*OWASP (Open Web Application Security Project) — проєкт забезпечення безпеки вебзастосунків.
Що таке позитивна модель безпеки?
Для надійного захисту міжмережний екран вебзастосунків (наприклад, AWS Web Application Firewall) має використовувати позитивну модель безпеки. Запити, які пройшли фільтрацію за «чорними списками», додатково перевіряються, щоб визначити, чи відповідають вони правилам легітимних запитів користувача. Якщо виявлено відхилення, джерело трафіку може бути миттєво заблоковано або (залежно від типу аномалії) все ж таки дозволено, але зазнає більш ретельної перевірки в майбутньому з меншим допустимим відхиленням від заданих правил.Розширені можливості, крім негативної чи позитивної моделі безпеки
Як згадувалося вище, спочатку робота WAF була заснована на негативних моделях безпеки. Позитивні моделі безпеки були запроваджені пізніше.Сьогодні деякі WAF мають досконаліші можливості. Хоча в цілому це також варіації на базі негативної чи позитивної моделей безпеки, вони досить сильно відрізняються за своїм підходом та ефективністю, тому їх зазвичай відносять до окремої категорії. Що таке WAF наступного покоління?
Якщо вас цікавить потужне та надійне рішення для веббезпеки, якщо ви хочете захистити свій бізнес від потенційних кіберзагроз, напишіть про це в Мегатрейд: soft@megatrade.ua. Ми надамо консультацію та організуємо можливість ознайомитися з демонстраційною версією nxgen. Нагадаємо, що Мегатрейд є офіційним дистриб’ютором Reblaze в Україні.
Отримайте консультацію в Мегатрейд: soft@megatrade.ua
Кіберзахист нового покоління для сайтів, вебзастосунків, сервісів та API від Reblaze
Cloudflare VS Reblaze: порівняння платформ
Reblaze Web Application Firewall