На предыдущую страницу

WAF

WAF (Web Application Firewall) – межсетевой экран для веб-приложений. Это инструмент для фильтрации трафика, работающий на прикладном уровне и защищающий веб-приложения методом анализа трафика HTTP/HTTPS и семантики XML/SOAP. WAF может устанавливаться на физический или виртуальный сервер и выявляет самые разнообразные виды атак.

Действует межсетевой экран как прокси-сервер, но ввиду возможности изучать HTTPS-трафик методом проверки сертификата конкретного сервера WAF рассчитан на выполнение дополнительных операций: балансировку нагрузки на сервер, терминацию трафика SSL и т.д. WAF может работать с кластеризацией и акселерацией приложений.

Аудит информационной безопасности

Модели безопасности и режимы работы

WAF может встраиваться в сеть как:

  • Монитор. Мониторинг сети в режиме реального времени с помощью порта SPAN.
  • Gateway. 3 режима прокси: transparent, bridge и reverse.

Работает WAF по следующим моделям безопасности:

  • Negative. Некий «черный список», запрещающий прием конкретной информации, прописанной в настройках. Защищает веб-приложения на прикладном уровне (аналог IPS), но умеет оценивать потенциальные угрозы детальнее и чаще применяется для обеспечения защиты от «популярных» и специфических типов атак. Анализирует уязвимости конкретных веб-приложений.
  • Positive. «Белый список», разрешающий прием конкретной информации, которая была заранее указана в настройках. Позволяет получить максимальную защиту, т.к. применяется в качестве дополнения к моделям. Задействует другой тип логики: правила, определяющие, что конкретно разрешено.

Пример работы Negative: запрещать заранее заданный «плохой» запрос GET по HTTP и разрешать все остальное.

Пример работы Positive: разрешать указанные ранее запросы GET по HTTP для заданного адреса и запрещать все остальное.

Возможности WAF

  • Быстро реагировать на любые разновидности атак на веб-приложения, которые входят в OWASP Top 10 (Open Web Application Security Project – открытый проект обеспечения безопасности веб-ресурсов).
  • Защита обеспечивается заданными активными правилами.
  • Проверять поступающий на приложение трафик HTTP/HTTPS и остальные запросы, адресуемые веб-приложениям, после чего принимать решения на основании заданных правил и политики (блокировать, разрешить, отправить уведомление).
  • Поддерживать стабильную работу моделей безопасности Negative и Positive, а также соблюдать все заданные в их рамках правила.
  • Проверять и анализировать контент, созданный при помощи HTML и DHTML, а также CSS и прикладных протоколов передачи HTTPS, HTTP.
  • Предотвращать утечку информации, проверяя исходящий от веб-приложений трафик HTTP/HTTPS, и принимать заданные меры на основании заданных активных правил.
  • Постоянно вести журнал событий и записывать в него все выполненные операции, аналитическую информацию и другие произошедшие события.
  • Анализировать веб-сервисы (отчасти публичные) методом анализа XML (eXtensible Markup Language), обмена структурированными сообщениями SOAP и проверять HTTP веб-сервера на наличие моделей взаимодействия.
  • Проверять все входящие данные, применяемые для отправки/получения информации от веб-приложений.
  • Защищать от атак, направленных конкретно на сам Web Application Firewall.
  • Терминировать TLS и SSL – расшифровывать и проверять трафик перед тем, как отправить его веб-приложению.

Главное отличие межсетевого экрана от других методов защиты веб-приложений – глубокий анализ трафика протоколов прикладного уровня.

Оцените данную статью
Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies