Skip to content Skip to navigation Skip to footer

WAF и брандмауэр: веб-приложения и межсетевые экраны

В современной эпохе сложных хакерских атак и цифровых инноваций компании должны понимать, с какими угрозами они сталкиваются и от чего системы безопасности защищают их. Это особенно касается брандмауэров, поскольку брандмауэры для веб-приложений и межсетевые экраны защищают организации от различных типов атак. Поэтому важно понимать, чем межсетевой экран отличается от брандмауэра приложений, и как предотвращать веб-атаки и более масштабные сетевые атаки.

Долгое время компании защищали свои данные и данные своих пользователей с помощью межсетевых экранов, которые не обладают гибкостью и прозрачностью для защиты от современных угроз безопасности. Однако рост популярности концепции использования сотрудниками собственных устройств (BYOD), общедоступного облака и программного обеспечения как услуги (SaaS) означает, что им необходимо добавить брандмауэр для веб-приложений (WAF) в свою стратегию безопасности. Это увеличивает уровень защиты от атак, осуществляемых через интернет-браузер на веб-приложения, которые хранятся на удаленном сервере и привлекают хакеров.

 

Понимание разницы между брандмауэром для защиты приложений и межсетевым экраном

WAF защищает веб-приложения, так как он фокусируется на трафике протокола передачи гипертекста (HTTP). Это отличается от стандартного брандмауэра, который обеспечивает барьер между внешним и внутренним сетевым трафиком.

WAF анализирует все соединения HTTP между внешними пользователями и веб-приложениями. Затем он обнаруживает и блокирует вредоносные запросы до того, как они достигнут пользователей или веб-приложения. В результате WAF защищает важные для бизнеса веб-приложения и веб-серверы от угроз «нулевого дня» и других атак на уровне приложений. Это становится все более важным, поскольку компании внедряют новые цифровые инициативы, которые могут сделать новые веб-приложения и интерфейсы прикладного программирования (API) уязвимыми для атак.

Межсетевой экран защищает защищенную локальную сеть от несанкционированного доступа путем предотвращения риска атак. Его основной целью является отделение защищенной зоны от той, которая менее защищена, и управление связью между ними. Без него любой компьютер с общедоступным IP-адресом уязвим за пределами сети и потенциально подвержен риску атаки.

диаграмма «Брандмауэр для веб-приложений и межсетевой экран»

Сравнение трафика приложений и сетевого трафика

Классические межсетевые экраны снижают или предотвращают несанкционированный доступ к частным сетям. Политики брандмауэра определяют трафик, разрешенный в сети, а любые другие попытки доступа блокируются. Примерами сетевого трафика, который это помогает предотвратить, являются неавторизованные пользователи и атаки от пользователей или устройств в менее безопасных зонах.

WAF нацелен конкретно на трафик приложений. Он защищает трафик и приложения HTTP и протокола передачи гипертекста (HTTPPS) в зонах сети, взаимодействующих с Интернетом. Это обеспечивает защиту компаний от таких угроз, как межсайтовое выполнение сценариев (XSS), распределенный отказ обслуживания (DDoS) и атаки путем внедрения кода SQL.

Защита уровня 7 в сравнении с уровнями 3 и 4

Основным техническим отличием брандмауэра приложений от брандмауэра сети является уровень безопасности, на котором они работают. Они определяются моделью стандарта OSI, которая характеризует и стандартизирует коммуникационные функции в телекоммуникационных и вычислительных системах. 

WAF защищают атаки на модель стандарта OSI уровня 7, который является уровнем приложений. Сюда входят атаки на такие приложения, как Ajax, ActiveX и JavaScript, а также манипуляции с файлами cookie, внедрение кода SQL и URL-атаки. Они также нацелены на протоколы веб-приложений HTTP и HTTPS, которые используются для подключения веб-браузеров и веб-серверов. 

Например, DDoS-атака уровня 7 посылает поток трафика на уровень сервера, где веб-страницы генерируются и выдаются в ответ на запросы HTTP. WAF снижает этот эффект, действуя в качестве обратного прокси-сервера, который защищает целевой сервер от вредоносного трафика и фильтрует запросы для идентификации использования средств DDoS. 

Межсетевые экраны работают на модели OSI уровней 3 и 4, которые защищают передачу данных и сетевой трафик. Сюда входят атаки на службу имен доменов (DNS) и протокол передачи файлов (FTP), а также протокол простой электронной передачи (SMTP), «безопасная оболочка» (SSH) и Telnet.

Интернет-атаки и несанкционированный доступ

Решения WAF защищают компании от веб-атак, направленных на приложения. Без брандмауэра для приложений хакеры могут проникнуть в более широкую сеть через уязвимые места веб-приложений. WAF защищают компании от распространенных интернет-атак, таких как:

  • Прямой отказ обслуживания: попытка нарушить работу сети, службы или сервера, перегрузив его потоком интернет-трафика. Эта атака стремится исчерпать ресурсы своей цели, ее может быть трудно предотвратить, так как не всегда очевидно, что трафик вредоносный.
  • Внедрение кода SQL: тип атаки, которая позволяет хакерам внедрять вредоносные SQL-выражения, которые контролируют сервер базы данных веб-приложения. Это позволяет злоумышленникам обойти проверку подлинности и авторизацию веб-страницы и получить содержимое базы данных SQL, а затем добавить, изменить и удалить записи. Киберпреступники могут использовать внедрение кода SQL для получения доступа к информации о клиентах, персональным данным и интеллектуальной собственности. В 2017 году эта атака заняла первое место в списке 10 наиболее распространенных угроз безопасности приложений по версии OWASP.
  • Межсайтовое выполнение сценариев: уязвимость веб-безопасности, позволяющая злоумышленникам скомпрометировать взаимодействие пользователей с приложениями. Эта атака позволяет злоумышленнику обойти правило ограничения домена, которое разделяет различные веб-сайты. В результате злоумышленник может выдать себя за реального пользователя и получать доступ к данным и ресурсам, на которые у него есть разрешение. 

Межсетевые экраны защищают от несанкционированного доступа, а также передачи трафика в сеть и из нее. Они защищают от сетевых атак, направленных на устройства и системы, подключающиеся к Интернету. Примеры часто используемых сетевых атак:

  • Несанкционированный доступ: злоумышленники осуществляют доступ к сети без разрешения. Это обычно достигается путем хищения данных и скомпрометированных учетных записей в результате использования слабых паролей, социальной инженерии и внутренних угроз.
  • Атаки типа посредника (MITM): злоумышленники перехватывают трафик между сетью и внешними узлами или внутри самой сети. Это часто происходит в результате небезопасных протоколов связи, позволяющих злоумышленникам украсть данные при передаче, а затем получить данные пользователей и взломать их учетные записи.
  • Повышение уровня полномочий: злоумышленники получают доступ к сети, а затем используют повышение уровня полномочий для расширения возможности действий в системе. Они могут делать это горизонтально, получая доступ к смежным системам, или вертикально, получая больше привилегий в рамках одной и той же системы.

Выбор между брандмауэром для приложений и межсетевым экраном

Стандартные межсетевые экраны и WAF защищают от различных типов угроз, поэтому очень важно выбрать тот, который вам подходит. Один межсетевой экран не защитит предприятие от атак на веб-страницы, которые можно предотвратить только с помощью возможностей WAF. Таким образом, без брандмауэра для приложений предприятия делают более широкую сеть уязвимой для проникновения через веб-приложения. Однако WAF не может защитить от атак на сетевом уровне, поэтому он должен дополнять межсетевой экран, а не заменять его. 

Сетевые решения работают на разных уровнях и защищают от различных типов трафика. Поэтому вместо того, чтобы конкурировать, они дополняют друг друга. Межсетевой экран, как правило, защищает более широкий спектр типов трафика, в то время как WAF борется с определенной угрозой, которую не может предусмотреть традиционный подход. Поэтому рекомендуется использовать оба решения, особенно если операционные системы компании тесно взаимодействуют с сетью.

Вместо того, чтобы выбирать одно или другое, лучше сосредоточиться на том, чтобы выбрать подходящую систему WAF, которая будет наилучшим образом отвечать потребностям бизнеса. WAF должен иметь аппаратный ускоритель, контролировать трафик и блокировать вредоносные попытки, быть высокодоступным и масштабируемым для поддержания производительности по мере роста вашего предприятия.

Брандмауэр следующего поколения, WAF и межсетевые экраны

Покупка отдельных брандмауэров для защиты каждого уровня безопасности является дорогостоящей и сложной задачей. Это приводит компании к созданию комплексных решений, таких как брандмауэры следующего поколения (NGFW). NGFW обычно объединяют возможности межсетевых экранов и WAF в централизованно управляемую систему. Они также предоставляют дополнительный контекст для политики безопасности, что крайне важно для защиты бизнеса от современных угроз безопасности. 

NGFW — это контекстно-ориентированные системы, которые используют такую информацию, как идентификация, время и местоположение, чтобы подтвердить личность пользователя. Эта дополнительная информация позволяет компаниям принимать более информированные и интеллектуальные решения о доступе пользователей. Они также включают такие функции, как антивирусные программы, защита от вредоносного ПО, системы предотвращения вторжений и фильтрация URL-адресов. Это упрощает и повышает эффективность политики безопасности в свете все более сложных угроз, с которыми сталкиваются компании.

Единое комплексное представление о цифровой безопасности часто проще и экономичнее. Однако важно убедиться, что NGFW охватывает все основы для защиты сети и веб-приложений. WAF играют определенную роль в защите веб-приложений от внедрения кода, согласия с файлами cookie, пользовательских страниц ошибок, подделки запросов и шифрования URL-адресов. Таким образом, может потребоваться использовать NGFW в сочетании со специальным брандмауэром для веб-приложений , таким как FortiWeb.

Fortinet идеально подходит для защиты важных веб-приложений от атак, использующих как известные, так и неизвестные уязвимости. Наше решение FortiWeb идет в ногу с быстрым развитием бизнес-приложений, обеспечивая их защиту при каждом внедрении новых функций, открытии новых веб-интерфейсов API и обновлении существующих.

Решение FortiWeb обеспечивает комплексную защиту от всех угроз безопасности, от защиты от DDoS-атак и проверки протоколов до сигнатур атак на приложения, снижения угроз ботов и репутации IP-адресов. Оно также использует функцию машинного обучения для автоматического создания и обновления модели нормального поведения пользователей и с ее помощью выявляет безопасный и вредоносный трафик приложений. Таким образом, в отличие от большинства других WAF наше решение не требует затрат времени на изучение поведения приложений вручную.

Более подробная информация о подходе Fortinet к межсетевому экрану и WAF приведена в нашем информационном бюллетене по WAF и IPS.