Citrix WAF - არის ბრანდმაუერის განსაკუთრებული ტიპი, რომელიც გამოიყენება კონკრეტულ აპლიკაციებთან. ის აანალიზებს ორმაგი მიმართულების ვებ-ტრაფიკს (HTTP), ავლენს და ბლოკავს მავნე პროგრამებს. OWASP წარმოადგენს გაფართოვებულ ტექნიკურ განმარტებას WAF-სათვის და წარმოადგენს “აპლიკაციების დონეზე უსაფრთხოების გადაწყვეტილებას, რომელიც ტექნიკური თვალსაზრისით არ არის დამოკიდებული ამ აპლიკაციაზე.“ PCI DSS საინფორმაციო აპლიკაციის განმარტებით, 6.6 WAF ხასიათდება როგორც “უსაფრთხოების პოლიტიკის გამოყენების წერტილი, რომელიც განლაგებულია აპლიკაციის და მომხმარებელს შორის. ეს ფუნქციონალი რეალიზებულია პროგრამულ უზრუნველყოფაში, გააქტიურებულია მოწყობილობაზე ან საერთო ოპერატიული სისტემის ტიპიურ სერვერზე. ეს შეიძლება იყოს ავტონომიური ქსელის სხვა კომპონენტებში ან ინტეგრირებული მოწყობილობა“. სხვა სიტყვებით, WAF შეიძლება იყოს ვირტუალური მოწყობილობა, რომელიც ხელს უშლის გარე საფრთხეებს შეაღწიოს აპლიკაციის მოწყვლად ზონებში. მოწყვლადი ზონები ჩნდება აპლიკაციის სიძველის, ან მისი, ძირითად პროექტთან არასათანადო კოდირების გამო. WAF ანეიტრალებს კოდების ხარვეზებს “პოლიტიკის“ ტერმინად ცნობილ, წესების კრებულის სპეციალური კონფიგურაციის გამოყენებით.  

ცნობილი, მოწყვლადი ზონების გამოვლენა შესაძლებელია ტესტირების ან სკანირების საშუალებით. აპლიკაციების მოწყვლადი ზონების სკანერი, რომელიც ასევე ცნობილია როგორც “ვებ-აპლიკაციების უსაფრთხოების სკანერი“ წარმოდგენილია როგორც “ავტომატიზირებული პროგრამა, რომელიც ამოწმებს აპლიკაციებს მოწყვლადი ზონების არსებობაზე. ამის გარდა, სპეციფიური აპლიკაციებისათვის იძებნება უსაფრთხოების მოწყვლადობის სფეროები და პროგრამული უზრუნველყოფის კოდირების შეცდომები.“ მოწყვლადი ზონების გამოვლენას უწოდებენ გამოსწორებას. კოდების გამოსწორება შეიძლება იყოს შეყვანილი აპლიკაციაში, მაგრამ როგორც წესი მომხმარებელი ელის სწრაფ პასუხს. ამ სიტუაციაში, დროებითი მაგრამ სწრაფი გამოსწორებისათვის აუცილებელი ხდება აპლიკაციების უნიკალური მოწყვლადობის რეგულირებადი პოლიტიკის გამოყენება, რაც ცნობილია როგორც “ვირტუალური გამოსწორება“.

WAF არ წარმოადგენს უსაფრთხოების საბოლოო გადაწყვეტილებას, როგორც წესი, დაცვის სტრატეგიის ერთიანობისათვის ის გამოიყენება ქსელის პერიმეტრის უსაფრთხოების გადაწყვეტილებებთან, მაგალითად ქსელის ბრანდმაუერი და შეღწევის პრევენციის სისტემები, ერთად.

როგორც წესი WAF-ში გამოიყენება SANS ინსტიტუტის რეკომენდირებული პოზიტიური უსაფრთხოების, ნეგატიური უსაფრთხოების ან მათი კომბინირებული მოდელები. WAF-ში, საიტებსშორისო სკრიპტინგის  და SQL კოდით შეღწევების ტიპის შეტევების გამოვლენის და პრევენციის მიზნით გამოიყენება ლოგიკის, ანალიზის და სიგნატურების კომბინაცია. OWASP ქმნის აპლიკაციის უსაფრთხოების ათი ნაკლოვანის სიას. WAF-ის კომერციული ვერსიები როგორც მინიმუმ ფარავენ ამ ათ ნაკლოვანებას. ასევე არსებობს არაკომერციული ვერსიებიც. ერთერთი ასეთი ვერსია არის WAF-ის ღია საწყისი კოდის მქონე აპლიკაცია ModSecurity. მაგრამ ადეკვატური დაცვისათვის ერთი აპლიკაცია არ არის საკმარისი, ამიტომაც OWASP, Trustwave-ის Spiderlabs-თან ერთობლიობაში ქმნიან და GitHub-ის გამოყენებით უწევენ მხარდაჭერას ძირითად წესებს ModSecurity WAF-ის ეფექტური გამოყენების მიზნით.

დაგვიკავშირდით