WAF
WAF (Web Application Firewall) – межсетевой экран для веб-приложений. Это инструмент для фильтрации трафика, работающий на прикладном уровне и защищающий веб-приложения методом анализа трафика HTTP/HTTPS и семантики XML/SOAP. WAF может устанавливаться на физический или виртуальный сервер и выявляет самые разнообразные виды атак.
Действует межсетевой экран как прокси-сервер, но ввиду возможности изучать HTTPS-трафик методом проверки сертификата конкретного сервера WAF рассчитан на выполнение дополнительных операций: балансировку нагрузки на сервер, терминацию трафика SSL и т.д. WAF может работать с кластеризацией и акселерацией приложений.
Модели безопасности и режимы работы
WAF может встраиваться в сеть как:
- Монитор. Мониторинг сети в режиме реального времени с помощью порта SPAN.
- Gateway. 3 режима прокси: transparent, bridge и reverse.
Работает WAF по следующим моделям безопасности:
- Negative. Некий «черный список», запрещающий прием конкретной информации, прописанной в настройках. Защищает веб-приложения на прикладном уровне (аналог IPS), но умеет оценивать потенциальные угрозы детальнее и чаще применяется для обеспечения защиты от «популярных» и специфических типов атак. Анализирует уязвимости конкретных веб-приложений.
- Positive. «Белый список», разрешающий прием конкретной информации, которая была заранее указана в настройках. Позволяет получить максимальную защиту, т.к. применяется в качестве дополнения к моделям. Задействует другой тип логики: правила, определяющие, что конкретно разрешено.
Пример работы Negative: запрещать заранее заданный «плохой» запрос GET по HTTP и разрешать все остальное.
Пример работы Positive: разрешать указанные ранее запросы GET по HTTP для заданного адреса и запрещать все остальное.
Возможности WAF
- Быстро реагировать на любые разновидности атак на веб-приложения, которые входят в OWASP Top 10 (Open Web Application Security Project – открытый проект обеспечения безопасности веб-ресурсов).
- Защита обеспечивается заданными активными правилами.
- Проверять поступающий на приложение трафик HTTP/HTTPS и остальные запросы, адресуемые веб-приложениям, после чего принимать решения на основании заданных правил и политики (блокировать, разрешить, отправить уведомление).
- Поддерживать стабильную работу моделей безопасности Negative и Positive, а также соблюдать все заданные в их рамках правила.
- Проверять и анализировать контент, созданный при помощи HTML и DHTML, а также CSS и прикладных протоколов передачи HTTPS, HTTP.
- Предотвращать утечку информации, проверяя исходящий от веб-приложений трафик HTTP/HTTPS, и принимать заданные меры на основании заданных активных правил.
- Постоянно вести журнал событий и записывать в него все выполненные операции, аналитическую информацию и другие произошедшие события.
- Анализировать веб-сервисы (отчасти публичные) методом анализа XML (eXtensible Markup Language), обмена структурированными сообщениями SOAP и проверять HTTP веб-сервера на наличие моделей взаимодействия.
- Проверять все входящие данные, применяемые для отправки/получения информации от веб-приложений.
- Защищать от атак, направленных конкретно на сам Web Application Firewall.
- Терминировать TLS и SSL – расшифровывать и проверять трафик перед тем, как отправить его веб-приложению.
Главное отличие межсетевого экрана от других методов защиты веб-приложений – глубокий анализ трафика протоколов прикладного уровня.
Предыдущая статья