انواع Operation Mode ها در Web Application Firewalls (WAF) – بخش اول
هنگامی که از یک فایروالِ تخصصیِ وباپلیکیشن یا به اصطلاح WAF استفاده میکنید، در وهله اول باید نوع operation mode آن را تعیین نمایید.
معمولا operation mode به هنگام نصب و یا در حین setup آن تعیین میشود. البته این نکته را هم نباید فراموش کرد که physical topology شبکه شما باید با operation mode ای که انتخاب میکنید، همخوانی داشته باشد.
نکته دیگر این که در صورت تغییر opertion mode ، تمام پالیسی هایی که با مود جدید همخوانی نداشته باشند، پاک خواهند شد؛ بنابراین قبل از انجام اینکار حتما از کانفیگ فایروال خود بکآپ بگیرید.
بصورت عادی پنج نوع operation mode وجود دارد:
Reverse_Proxy
Offline_Protection
True_Transparent_Proxy
Transparent_Inspection
WCCP
خصوصیات و قابلیتهایی که هر کدام از operation_mode ها در یک Web Application Firewall دارا هستند:
Topology for reverse proxy mode:
این مود به عنوان مود پیش فرض در فایروالها در نظر گرفته میشود. در این مود، اکثر قابلیتها و خصوصیاتی که برای فایروال در نظر گرفته شده است، قابل استفاده خواهد بود.
در reverse proxy درخواستهای کلاینت بسمت virtual IP هایی که برای سرورهای مجموعه در فایروال از پیش تعریف کردیم، مقصددهی میشوند و در ادامه فایروال با اجرای Full NAT، این درخواست ها را از سورس خود بسمت سرور اصلی ارسال خواهد نمود.
بخاطر داشته باشید که برای اجرای این مود، DNS A/AAAA record باید تغییر کند تا NAT بصورت صحیح صورت پذیرد. در طرف مقابل هم سرورها، IP فایروال را به عنوان سورس ترافیک های دریافتی خود میبینند (بجای سورس واقعی کلاینت های درخواست دهنده).
اما اگر بخواهید که علیرغم Full NAT ای که فایروال در مقابل ترافیک های ارسالی از کلاینت ها بسمت سرور انجام میدهد، سرورها هم بتوانند IP سورس کلاینت را در هدر ترافیک دریافتی خود ببینند، میتوانید قابلیت X-Forwareded-FOR را فعال نمایید.
بهرحال اگر بنا به شرایط نمیتوانید هیچ تغییری را در سطح IP یا DNS خود انجام دهید، میتوانید، بجای این مود، از مودهای Transparent استفاده نمایید.
در سناریو زیر، WAF در ابتدا inspection لازم را روی ترافیک دریافتی از سمت کلاینت انجام داده و سپس آن را سمت وب سرور ارسال میکند. WAF بر طبق پالیسی که از پیش برایش نوشته شده است، میتواند اکشن های تعریف شده را روی ترافیک انجام دهد. در مثال زیر، فایروال اصلی مجموعه مسئول مدیریت و بررسی ترافیک های غیر از HTTP و HTTPS است.
Topology for Transparent modes:
در مودهای transparent، هیچ تغییری بر روی IP Address در شبکه لازم نیست و رخ نخواهد داد. درخواست ها مستقیما به آدرس وبسرور، مقصددهی میشوند نه فایروال WAF.
در این مودها، به نسبت offline mode قابلیتهای بیشتری ساپورت میشوند اما در قیاس با reverse proxy mode، به این صورت نیست و از لحاظ خصوصیات و قابلیتها در رده عملکردی پایینتری قرار دارند؛ خصوصا اگر از ترافیک https استفاده کنیم، قصیه کمی پیچیدهتر خواهد شد.
بر خلاف reverse proxy mode، در هر دو مود transparent، وبسرورها، source IP کلاینت را خواهند دید.
در هر دو مود transparent، فایروال WAF، پروتکلهای غیر از http و https را صرفنظر از اسکن آنها، بسمت وبسرور فوروارد خواهد کرد.
(routing /IP-based forwarding for unscanned protocols is supported)
این قابلیت، انتقال ترافیک از سایر پروتکلها مانند FTP یا SSH را که ممکن است در مواقعی استفاده از آنها لازم باشد، تسهیل میکند.
هر دو مود transparent یعنی true transparent proxy و transparent inspection از حیث نوع توپولوژی مورد استفاده، یکسان هستند اما تفاوتهایی هم دارند که در حین انتخاب باید به آنها دقت شود:
مانا باشید
احسان امجدی / کارشناس و مدرس دورههای تحلیل امنیت
“اگر بر این باورید که با نقض قانون کپیرایت، وضعیتی بهتر در انتظارمان خواهد بود، بدون ذکر نامِ نویسنده و منبع، مجاز به انتشار مطالب هستید. “
ممنون از مقالتون لطفا بخش دومش رو هم بزارید