انواع Operation Mode ها در Web Application Firewalls (WAF) – بخش اول

1 457

هنگامی که از یک فایروالِ تخصصیِ وب‌اپلیکیشن  یا به اصطلاح WAF استفاده می‌کنید، در وهله اول باید نوع operation mode آن را تعیین نمایید.

معمولا operation mode  به هنگام نصب و یا در حین setup آن تعیین می‌شود. البته این نکته را هم نباید فراموش کرد که physical topology شبکه شما باید با operation mode ای که انتخاب می‌کنید، همخوانی داشته باشد.

نکته دیگر  این که در صورت تغییر opertion mode ، تمام پالیسی هایی که با مود جدید همخوانی نداشته باشند، پاک خواهند شد؛ بنابراین قبل از انجام اینکار حتما از کانفیگ فایروال خود بکآپ بگیرید.

بصورت عادی پنج نوع operation mode وجود دارد:

Reverse_Proxy

Offline_Protection

True_Transparent_Proxy

Transparent_Inspection

WCCP

خصوصیات و قابلیت‌هایی که هر کدام از operation_mode ها در یک  Web Application Firewall دارا هستند:

 

Topology for reverse proxy mode:

این مود به عنوان مود پیش فرض در فایروال‌ها در نظر گرفته می‌شود. در این مود، اکثر قابلیت‌ها و خصوصیاتی که برای فایروال در نظر گرفته شده است، قابل استفاده خواهد بود.
در reverse proxy درخواست‌های کلاینت بسمت virtual IP هایی که برای سرورهای مجموعه در فایروال از پیش تعریف کردیم، مقصد‌دهی می‌شوند و در ادامه فایروال با اجرای Full NAT، این درخواست ها را از سورس خود بسمت سرور اصلی ارسال خواهد نمود.
بخاطر داشته باشید که برای اجرای این مود، DNS A/AAAA record باید تغییر کند تا NAT بصورت صحیح صورت پذیرد. در طرف مقابل هم سرورها، IP فایروال را به عنوان سورس ترافیک های دریافتی خود می‌بینند (بجای سورس واقعی کلاینت های درخواست دهنده).
اما اگر بخواهید که علیرغم Full NAT ای که فایروال در مقابل ترافیک های ارسالی از کلاینت ها بسمت سرور انجام می‌دهد، سرورها هم بتوانند IP سورس کلاینت را در هدر ترافیک دریافتی خود ببینند، می‌توانید قابلیت X-Forwareded-FOR را فعال نمایید.

بهرحال اگر بنا به شرایط نمی‌توانید هیچ تغییری را در سطح IP یا DNS خود انجام دهید، می‌توانید، بجای این مود، از مودهای Transparent استفاده نمایید.

در سناریو زیر، WAF در ابتدا inspection لازم را روی ترافیک دریافتی از سمت کلاینت انجام داده و سپس آن را سمت وب سرور ارسال می‌کند. WAF بر طبق پالیسی که از پیش برایش نوشته شده است، می‌تواند اکشن های تعریف شده را روی ترافیک انجام دهد. در مثال زیر، فایروال اصلی مجموعه مسئول مدیریت و بررسی ترافیک های غیر از HTTP و HTTPS است.


Topology for Transparent modes:

در مودهای transparent، هیچ تغییری بر روی IP Address در شبکه لازم نیست و رخ نخواهد داد.  درخواست ها مستقیما به آدرس وب‌سرور، مقصد‌دهی می‌شوند نه فایروال WAF.
در این مودها، به نسبت offline mode  قابلیت‌های بیشتری ساپورت می‌شوند اما در قیاس با reverse proxy mode، به این صورت نیست و از لحاظ خصوصیات و قابلیت‌ها در رده عملکردی پایینتری قرار دارند؛ خصوصا اگر از ترافیک https استفاده کنیم، قصیه کمی پیچیده‌تر خواهد شد.
بر خلاف reverse proxy mode، در هر دو مود transparent، وب‌سرورها، source IP کلاینت را خواهند دید.
در هر دو مود transparent، فایروال WAF، پروتکل‌های غیر از http و https را صرفنظر از اسکن آن‌ها، بسمت وب‌سرور فوروارد خواهد کرد.
(routing /IP-based forwarding for unscanned protocols is supported)
این قابلیت، انتقال ترافیک از سایر پروتکل‌ها مانند FTP یا SSH را که ممکن است در مواقعی استفاده از آن‌ها لازم باشد، تسهیل می‌کند.
هر دو مود transparent یعنی  true transparent proxy و transparent inspection از حیث نوع توپولوژی مورد استفاده، یکسان هستند اما تفاوت‌هایی هم دارند که در حین انتخاب باید به آن‌ها دقت شود:

مانا باشید
احسان امجدی / کارشناس و مدرس دوره‌های تحلیل امنیت

“اگر بر این باورید که با نقض قانون کپیرایت، وضعیتی بهتر در انتظارمان خواهد بود، بدون ذکر نامِ نویسنده و منبع، مجاز به انتشار مطالب هستید. “

1 نظر
  1. saeedeh می گوید

    ممنون از مقالتون لطفا بخش دومش رو هم بزارید

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.