آیا با وجود فایروال در شبکه، همچنان به وب فایروال (WAF) نیاز داریم؟

تصمیم‌گیری درباره این موضوع به چندین عامل بستگی دارد:

آیا کسب‌وکار ما برنامه‌های وب یا موبایلی دارد که در دسترس عموم قرار دارند؟
آیا به‌روزرسانی سرویس‌ها و زیرساخت‌های نرم‌افزارهای مورداستفاده در کسب‌وکار دشوار است؟
آیا از API های شخص ثالث استفاده می‌کنید؟
آیا در کسب‌وکار از وب اپلیکیشن‌های قدیمی و مدرن به‌صورت هم‌زمان نگهداری می‌کنید؟
آیا نیاز به محافظت در برابر اکسپلویت‌های روز صفر دارید؟
آیا می‌خواهید سیاست‌ها و تست‌های امنیتی را از طریق ادغام در فرایند CI/CD (توسعه و انتشار مستمر) بهینه‌سازی کنید؟
آیا کسب‌وکار ما سرویس‌های تحت وب با داده‌های حساس یا اطلاعات مشتریان را نگهداری می‌کند؟
آیا برای مدیریت جریان ترافیکی سرویس‌های تحت وب کسب‌وکارتان، نیاز به اعمال محدودیت‌های جغرافیایی و یا زمانی دارید؟ مثلا فقط کاربران داخل ایران تنها در یک ساعت مشخص قادر به استفاده از سرویس ما باشند.
آیا در اتصال سرویس های تحت وب بین دو دیتاسنتر نیاز به مدیریت جریان ترافیکی دارید؟

آیا با وجود فایروال در شبکه، همچنان به وب فایروال (WAF) نیاز داریم؟

اگر به هر یک از سؤالات بالا پاسخ مثبت داده‌اید، برای محافظت از برنامه‌ها، برند و کسب‌وکار خود در برابر نشت داده‌ها و خرابی، از وب فایروال استفاده کنید.

کدام کسب و کارها باید وب فایروال بخرند؟

WAF برای تعداد روبه‌رشد شرکت‌هایی که محصولات خود را از طریق اینترنت ارائه می‌دهند - از جمله خدمات بانکداری آنلاین، ارائه‌دهندگان پلتفرم‌های شبکه‌های اجتماعی و توسعه‌دهندگان برنامه‌های موبایل - اهمیت دارد؛ زیرا به جلوگیری از نشت داده‌ها کمک می‌کند. داده‌های حساس زیادی مانند اطلاعات کارت اعتباری و سوابق مشتریان در پایگاه‌های داده پشتیبان ذخیره می‌شود که از طریق برنامه‌های وب قابل‌دسترسی هستند. مهاجمان اغلب این برنامه‌ها را هدف قرار می‌دهند تا به داده‌های مرتبط دسترسی پیدا کنند.

در نتیجه، یک WAF در کنار سایر اجزای امنیتی، از جمله سیستم‌های پیشگیری از نفوذ (IPSها)، سیستم‌های تشخیص نفوذ (IDSها) و فایروال‌های کلاسیک یا نسل جدید (NGFWها) بیشترین کارایی را دارد.

کدام کسب و کارها باید وب فایروال بخرند؟ — FortiWeb 4000E

انواع وب فایروال ها

وب فایروال‌ها باتوجه‌به محل قرارگیری برنامه‌ها، خدمات موردنیاز کاربران، نحوه مدیریت، سطح انعطاف‌پذیری در معماری و عملکرد موردنیاز کاربران، به شکل‌های گوناگونی راه‌اندازی می‌شوند. بنابراین، پاسخ به این سؤالات که آیا می‌خواهید خودتان آن را مدیریت کنید یا مدیریت آن را برون‌سپاری کنید، آیا داشتن یک گزینه مبتنی بر ابر برای شما مدل بهتری است یا ترجیح می‌دهید WAF در محل سرور فیزیکی سازمان قرار گیرد و سؤالاتی ازاین‌دست، همگی به شما کمک می‌کنند تا تعیین کنید کدام گزینه برای شما مناسب‌تر است. به‌طورکلی، WAFها را می‌توان به چهار سطح مجزا گروه‌بندی کرد:

سطح ابری (Cloud Level)
سطح شبکه (Network Level)
سطح سرور (Server Level)
سطح برنامه (Application Level)

همان‌طور که در نمودار پایین نشان‌داده‌شده است، هر سطح نشان می‌دهد که WAF در کجا قرار دارد:

مشخصات فنی و قابلیت های وب فایروال ها

وب فایروال‌های مختلف ویژگی‌ها و مشخصات فنی گوناگونی دارند که به‌صورت خلاصه در جدول پایین ارائه شده است:

روش‌های پیاده‌سازی	Reverse Proxy Inline Transparent True Transparent Proxy Offline Sniffing WCCP
امنیت وب	AI-based Machine Learning Automatic profiling (white list) Web server and application signatures (black list) IP address reputation IP address geolocation HTTP RFC compliance Native support for HTTP/2 WebSocket protection and signature enforcement Man in the Browser (MiTB) protection
راهکارهای محافظت از اپلیکیشن‌ها	OWASP Top 10 Cross Site Scripting SQL Injection Cross Site Request Forgery Session Hijacking Built-in Vulnerability Scanner Third-party scanner integration (virtual patching) File upload scanning with AV and sandbox
خدمات امنیتی	Malware detection Virtual patching Protocol validation Brute force protection Cookie signing and encryption Threat scoring and weighting Syntax-based SQLi and XSS detection HTTP Header Security Custom error message and error code handling Operating system intrusion signatures Known threat and zero-day attack protection L4 Stateful Network Firewall DoS prevention Advanced correlation protection using multiple security elements Data leak prevention Web Defacement Protection
Application Delivery	Layer 7 server load balancing URL Rewriting Content Routing HTTPS/SSL Offloading HTTP Compression Caching
احراز هویت	Active and passive authentication Site Publishing and SSO RSA Access for 2-factor authentication LDAP, RADIUS, and SAML support SSL client certificate support CAPTCHA and Real Browser Enforcement (RBE)
حفاظت از API	Machine Learning based API Discovery and Protection XML and JSON protocol conformance CI/CD integration Schema verification API Gateway Web services signatures
Bot Mitigation	Machine Learning based Bot Mitigation Biometrics Based Detection Threshold Based Detection Bot Deception Know Bots
مدیریت و گزارش‌دهی	Web user interface Command line interface FortiView graphical analysis and reporting tools Central management for multiple FortiWeb devices Active/Active HA Clustering REST API Centralized logging and reporting User/device tracking Real-time dashboards Bot dashboard OWASP Top 10 attack categorization Geo IP Analytics SNMP, Syslog and Email Logging/ Monitoring Administrative Domains with full RBAC
سایر ویژگی‌ها	IPv6 Ready HTTP/2 to HTTP 1.1 translation HSM Integration Seamless PKI integration Attachment scanning for ActiveSync/MAPI applications, OWA, and FTP High Availability with Config-sync for syncing across multiple active appliances Auto setup and default configuration settings for simplified deployment Setup Wizards for common applications and databases Preconfigured for common Microsoft applications; Exchange, SharePoint, OWA OpenStack support for FortiWeb VMs Predefined security policies for Drupal and Wordpress applications WebSockets support

مشخصات ظاهری و قیمت وب فایروال ها

وب فایروال‌ها از جمله تجهیزات امنیتی هستند که هم به صورت فیزیکی یا سخت افزاری و هم به صورت مجازی یا نرم افزاری ارائه می‌شوند و همین موضوع بازه قیمتی آنها را به شدت تغیر می‌دهد. به این ترتیب، قیمت وب فایروال‌ها می‌تواند از چند ده دلار اشتراک ماهیانه برای نسخه‌های نرم افزاری تا 500 هزار دلار در دستگاه‌های سخت افزاری تغییر کند. برای اطلاع از قیمت دقیق هر دستگاه، با کارشناسان فروش ما در شرکت افق داده ها ایرانیان تماس بگیرید.

معرفی برندهای وب فایروال

در جدول پایین، مشخصات فنی برترین وب فایروال‌های فیزیکی یا On-premises که در ایران نیز از محبوبیت بالایی برخوردارند، مقایسه شده است:

AWS Marketplace: Barracuda CloudGen WAF for AWS - PAYG

راهنمای انتخاب وب فایروال و خرید از شرکت افق داده ها ایرانیان

علاوه بر ویژگی‌ها و گزینه‌های استقرار، خریداران WAF باید به دنبال راه‌حلی باشند که قابلیت‌های امنیتی و مدیریتی موردنیازشان را ارائه دهد. برخی از موارد مهم که باید در نظر گرفته شوند عبارت‌اند از:

به طور مؤثر و به‌موقع آسیب‌پذیری‌های برنامه را کشف و رفع کند.
تهدیدات جدید و حملات DDoS را به طور مداوم شناسایی کند.
با بودجه سازمان سازگار بوده و مقرون‌به‌صرفه باشد. در مقایسه با WAFهای مستقر در محل، WAFهای مبتنی بر ابر معمولاً هزینه‌ اشتراک ماهانه کمتری دارند و به‌روزرسانی‌های سریع‌تری ارائه می‌دهند.
به تیم امنیتی اجازه دهد که مسیر مناسب برای درخواست‌ها را انتخاب کنند (مسدودکردن، علامت‌گذاری، به چالش کشیدن).
در برابر طیف گسترده‌ای از تهدیدات سایبری، از جمله SQL injection، cross-site scripting و سایر انواع حملات محافظت کند.
به‌سادگی پیاده‌سازی، پیکربندی و مدیریت شود، به‌ویژه در سازمان‌هایی که متخصصان امنیتی خاصی ندارند.
بتواند سطوح بالای ترافیک وب را مدیریت کرده و در عین حال در برابر حملات DDoS در مقیاس بالا محافظت کند.
امکان سفارشی‌سازی قوانین برای رعایت الزامات صنعت و محافظت در برابر خطرات منحصربه‌فرد را فراهم کند.
با سایر راهکار‌های امنیتی مانند شبکه‌های تحویل محتوا (CDNها) یا لود بالانسرها به‌راحتی ادغام شود.
مستندات و پشتیبانی گسترده‌ای را ارائه دهد تا به سازمان‌ها در استفاده بهینه از راه‌حل‌های WAF کمک کند.

تصمیم‌گیری درباره هر یک از عوامل بالا و انتخاب بهترین گزینه نیازمند بررسی کارشناسان این حوزه است. شما می‌توانید برای دریافت هر گونه مشاوره در زمینه انتخاب وب فایروال، خرید فایروال و سایر تجهیزات شبکه با کارشناسان ما در شرکت افق داده‌ها ایرانیان تماس بگیرید.

سوالات متداول

آیا WAF جایگزین فایروال است؟

وب فایروال جایگزین فایروال‌های شبکه‌ سنتی نمی‌شود. چرا که WAFها بر محافظت از وب اپلیکیشن‌ها در برابر حملات خاص لایه اپلیکیشن تمرکز دارند. اما، فایروال‌های شبکه‌ در لایه شبکه عمل می‌کنند و ترافیک را بر اساس آدرس‌های IP، پورت‌ها و پروتکل‌ها فیلتر می‌کنند. هر دوی این ابزارها مقاصد متفاوتی در معماری امنیتی سازمان‌ها دارند و لایه‌های محافظتی مکملی را برای محافظت از منابع شبکه و برنامه‌های وب در برابر تهدیدات مختلف ارائه می‌دهند.

WAF در برابر چه چیزی محافظت نمی‌کند؟

در حالی که WAFها در دفاع از حملات لایه اپلیکیشن مؤثر هستند، نمی‌توانند در برابر همه انواع تهدیدات محافظت کنند. WAFها ممکن است در برابر حملات لایه شبکه مانند اسکن پورت، IP spoofing یا حملات SYN flood محافظت نکنند که نیاز به فایروال‌های شبکه‌ای یا سیستم‌های جلوگیری از نفوذ (IPS) دارند. WAFها به طور ذاتی در برابر حملات مهندسی اجتماعی مانند فیشینگ یا فیشینگ هدف‌دار دفاع نمی‌کنند که نیاز به آموزش کاربران و راه‌حل‌های امنیتی ایمیل دارند. علاوه بر این، WAFها نمی‌توانند در برابر تهدیدات داخلی، حساب‌های کاربری به خطر افتاده یا روش‌های ضعیف امنیتی درون‌سازمانی محافظت کنند. بنابراین، یک استراتژی امنیتی جامع باید شامل لایه‌های متعددی از حفاظت باشد، از جمله وب فایروال، فایروال، سیستم‌های تشخیص نفوذ، آموزش کاربران و سیاست‌های امنیتی قوی.

برند وب فایروال	پروتکل‌های پشتیبانی شده	محافظت در برابر حملات DDoS	پشتیبانی از قابلیت‌های AI/ML	Integration	هزینه
Barracuda WAF	HTTP, HTTPS, and other web protocols	✅	✅	SIEM, SOAR, DevOps tools	WAF-as-a-Service (50Mbps) starts at $1.02 per unit. WAF به‌عنوان سرویس (WAF-as-a-Service) با سرعت 50Mbps از 1.02 دلار به ازای هر واحد شروع می‌شود.
F5 Advanced WAF	Supports HTTP, HTTPS, and other web protocols	✅	✅	SIEM, SOAR, DevOps tools	نامشخص
Fortinet FortiWeb	Supports HTTP, HTTPS, and other web protocols	✅	✅	SIEM, SOAR, DevOps tools	بسته استاندارد یک‌ساله از قیمت 2321 دلار شروع می‌شود.
Imperva WAF	Supports HTTP, HTTPS, and other web protocols, as well as APIs and microservices	✅	✅	SIEM, SOAR, DevOps tools	طرح حرفه‌ای (Pro plan) با قیمت 59 دلار برای هر سایت در هر ماه آغاز می‌شود.