वेब अनुप्रयोग फ़ायरवॉल

एक वेब अनुप्रयोग फ़ायरवॉल (वेब एप्लिकेशन फ़ायरवॉल) आवेदन फ़ायरवॉल का एक विशिष्ट रूप है जो एक वेब एप्लिकेशन से और हाइपरटेक्स्ट ट्रांसफ़र प्रोटोकॉल प्रसार यातायात को फ़िल्टर, मॉनिटर और ब्लॉक करता है।हाइपरटेक्स्ट ट्रांसफ़र प्रोटोकॉल ट्रैफ़िक का निरीक्षण करके, यह वेब एप्लिकेशन की ज्ञात कमजोरियों, जैसे कि संरचित क्वेरी भाषा इंजेक्शन, क्रॉस साइट स्क्रिप्टिंग (XSS), फ़ाइल समावेशन भेद्यता और अनुपयुक्त सिस्टम कॉन्फ़िगरेशन जैसे हमलों को रोक सकता है।

इतिहास
समर्पित वेब एप्लिकेशन फ़ायरवॉल ने 1990 के दशक के उत्तरार्ध में एक ऐसे समय में बाजार में प्रवेश किया जब वेब सर्वर हैकर अधिक प्रचलित हो रहा था।

वेब एप्लिकेशन फ़ायरवॉल का एक प्रारंभिक संस्करण अपने AppShield उत्पाद के साथ परफेक्टो टेक्नोलॉजीज द्वारा विकसित किया गया था, जो ई-कॉमर्स बाजार पर केंद्रित था और अवैध वेब पेज चरित्र प्रविष्टियों के खिलाफ संरक्षित था।कावाडो और गिलियन टेक्नोलॉजीज के अन्य प्रारम्भिक वेब एप्लिकेशन फ़ायरवॉल उत्पाद, एक ही समय में बाजार में उपलब्ध थे, 90 के दशक के अंत में वेब अनुप्रयोगों पर हमलों की बढ़ती मात्रा को हल करने की कोशिश कर रहे थे।2002 में, ओपन सोर्स प्रोजेक्ट मोडसिटी वेब एप्लिकेशन फ़ायरवॉल तकनीक को अधिक सुलभ बनाने के लिए गठित किया गया था।उन्होंने ओएसआईएस वेब एप्लिकेशन सुरक्षा तकनीकी समिति (टीसी) भेद्यता कार्य के आधार पर वेब अनुप्रयोगों की सुरक्षा के लिए एक मुख्य नियम को अंतिम रूप दिया।2003 में, उन्होंने वेब अनुप्रयोग सुरक्षा परियोजना खोलें (मुक्त वेब एप्लिकेशन सुरक्षा प्रोजेक्ट) टॉप 10 लिस्ट के माध्यम से नियमों का विस्तार और मानकीकृत किया, जो वेब सुरक्षा कमजोरियों के लिए एक वार्षिक रैंकिंग है।यह सूची वेब एप्लिकेशन सुरक्षा अनुपालन के लिए उद्योग मानक बन जाएगी। तब से, बाजार बढ़ता रहा और विकसित होता रहा है, विशेष रूप से क्रेडिट कार्ड धोखाधड़ी की रोकथाम पर ध्यान केंद्रित कर रहा है।भुगतान कार्ड उद्योग डेटा सुरक्षा मानक (पीसीआई डीएसएस) के विकास के साथ, कार्डधारक डेटा पर नियंत्रण का एक मानकीकरण, सुरक्षा इस क्षेत्र में अधिक विनियमित हो गई है।CISO मैगज़ीन के अनुसार, 2022 तक वेब एप्लिकेशन फ़ायरवॉल बाजार बढ़ने की उम्मीद थी।.

विवरण
एक वेब एप्लिकेशन फ़ायरवॉल एक विशेष प्रकार का एप्लिकेशन फ़ायरवॉल है जो विशेष रूप से वेब एप्लिकेशन पर लागू होता है।यह वेब एप्लिकेशन के सामने परिनियोजित है और द्वि-दिशात्मक वेब-आधारित (हाइपरटेक्स्ट ट्रांसफ़र प्रोटोकॉल) ट्रैफ़िक का विश्लेषण करता है-कुछ भी दुर्भावनापूर्ण का पता लगाने और अवरुद्ध करता है।मुक्त वेब एप्लिकेशन सुरक्षा प्रोजेक्ट एक वेब एप्लिकेशन फ़ायरवॉल के लिए एक व्यापक तकनीकी परिभाषा "वेब एप्लिकेशन स्तर पर एक सुरक्षा समाधान के रूप में प्रदान करता है - जो कि तकनीकी दृष्टिकोण से - एप्लिकेशन पर निर्भर नहीं करता है।" आवश्यकता 6.6 के लिए पेरिफ़ेरल कंपोनेंट इंटरकनेक्ट (पीसीएल) निर्णय समर्थन प्रणाली सूचना पूरक के अनुसार, एक वेब एप्लिकेशन फ़ायरवॉल को "एक वेब एप्लिकेशन और क्लाइंट एंडपॉइंट के बीच परिनियोजित एक सुरक्षा नीति प्रवर्तन बिंदु" के रूप में परिभाषित किया गया है।इस कार्यक्षमता को सॉफ्टवेयर या हार्डवेयर में लागू किया जा सकता है, एक उपकरण डिवाइस में, या एक सामान्य ऑपरेटिंग सिस्टम चलाने वाले एक विशिष्ट सर्वर में।यह एक स्टैंड-अलोन डिवाइस हो सकता है या अन्य नेटवर्क घटकों में एकीकृत हो सकता है। ” दूसरे शब्दों में, एक वेब एप्लिकेशन फ़ायरवॉल एक आभासी या भौतिक उपकरण हो सकता है जो वेब अनुप्रयोगों में कमजोरियों को बाहरी खतरों द्वारा शोषण करने से रोकता है।ये कमजोरियां हो सकती हैं क्योंकि एप्लिकेशन स्वयं एक विरासत प्रकार है या इसे डिजाइन द्वारा अपर्याप्त रूप से कोडित किया गया था।वेब एप्लिकेशन फ़ायरवॉल इन कोड कमियों को नियम-सेट के विशेष कॉन्फ़िगरेशन द्वारा संबोधित करता है, जिसे नीतियों के रूप में भी जाना जाता है।

पहले अज्ञात कमजोरियों को पैठ परीक्षण के माध्यम से या एक भेद्यता स्कैनर के माध्यम से खोजा जा सकता है।एक वेब अनुप्रयोग सुरक्षा स्कैनर, जिसे वेब एप्लिकेशन सिक्योरिटी स्कैनर के रूप में भी जाना जाता है, को SAMATE NIST 500-269 में "एक स्वचालित कार्यक्रम के रूप में परिभाषित किया गया है जो संभावित सुरक्षा कमजोरियों के लिए वेब अनुप्रयोगों की जांच करता है।वेब एप्लिकेशन-विशिष्ट कमजोरियों की खोज करने के अतिरिक्त, टूल भी सॉफ्टवेयर कोडिंग त्रुटियों की तलाश करते हैं। ” कमजोरियों को हल करना सामान्य रूप से उपचारात्मक के रूप में जाना जाता है।कोड में सुधार एप्लिकेशन में किया जा सकता है लेकिन सामान्य रूप से एक अधिक त्वरित प्रतिक्रिया आवश्यक है।इन स्थितियों में, एक अस्थायी लेकिन तत्काल फिक्स (वर्चुअल पैच के रूप में जाना जाता है) प्रदान करने के लिए एक अद्वितीय वेब एप्लिकेशन भेद्यता के लिए एक कस्टम नीति का अनुप्रयोग आवश्यक हो सकता है।

वेब एप्लिकेशन फ़ायरवॉल सिस्टम एक अंतिम सुरक्षा समाधान नहीं है, बल्कि वे एक समग्र रक्षा रणनीति प्रदान करने के लिए नेटवर्क फ़ायरवॉल और आक्षेप रोकथाम प्रणालियों जैसे अन्य नेटवर्क परिधि सुरक्षा समाधानों के साथ संयोजन में उपयोग किए जाते हैं।

वेब एप्लिकेशन फ़ायरवॉल सिस्टम सामान्य रूप से एक सकारात्मक सुरक्षा मॉडल, एक नकारात्मक सुरक्षा, या SANS संस्थान द्वारा उल्लिखित दोनों के संयोजन का पालन करता है। वेब एप्लिकेशन फ़ायरवॉल सिस्टम क्रॉस-साइट स्क्रिप्टिंग और संरचित क्वेरी भाषा इंजेक्शन जैसे हमलों का पता लगाने और रोकने के लिए नियम-आधारित तर्क, पदच्छेद  और हस्ताक्षर के संयोजन का उपयोग करता है। सामान्य रूप से, ब्राउज़र इम्यूलेशन, ऑबफ्यूसेशन और वर्चुअलाइजेशन के साथ -साथ आईपी ऑबफ्यूसेशन जैसी सुविधाओं का उपयोग वेब एप्लिकेशन फ़ायरवॉल को बायपास करने के लिए किया जाता है। मुक्त वेब एप्लिकेशन सुरक्षा प्रोजेक्ट शीर्ष दस वेब एप्लिकेशन सुरक्षा खामियों की एक सूची तैयार करता है।सभी वाणिज्यिक वेब एप्लिकेशन फ़ायरवॉल प्रसाद कम से कम इन दस दोषों को कवर करते हैं।गैर-वाणिज्यिक विकल्प भी हैं।जैसा कि पहले उल्लेख किया गया है, प्रसिद्ध ओपन सोर्स वेब एप्लिकेशन फ़ायरवॉल इंजन जिसे मोडक्युरिटी कहा जाता है, इन विकल्पों में से एक है।एक वेब एप्लिकेशन फ़ायरवॉल इंजन अकेले पर्याप्त सुरक्षा प्रदान करने के लिए अपर्याप्त है, इसलिए ट्रस्टवेव के स्पाइडरलैब्स के साथ मुक्त वेब एप्लिकेशन सुरक्षा प्रोजेक्ट, GitHub के माध्यम से एक कोर-नियम को व्यवस्थित करने और बनाए रखने में मदद करता है Modsecurity वेब एप्लिकेशन फ़ायरवॉल इंजन के साथ उपयोग करने के लिए।

परिनियोजन विकल्प
यद्यपि ऑपरेटिंग मोड के लिए नाम अलग -अलग हो सकते हैं, वेब एप्लिकेशन फ़ायरवॉलs मूल रूप से तीन अलग -अलग तरीकों से इनलाइन परिनियोजित किए जाते हैं।एनएसएस लैब्स के अनुसार, परिनियोजिती के विकल्प पारदर्शी पुल, पारदर्शी रिवर्स प्रॉक्सी और रिवर्स प्रॉक्सी हैं। 'ट्रांसपेरेंट' इस तथ्य को संदर्भित करता है कि हाइपरटेक्स्ट ट्रांसफ़र प्रोटोकॉल ट्रैफ़िक को सीधे वेब एप्लिकेशन में भेजा जाता है, इसलिए वेब एप्लिकेशन फ़ायरवॉल क्लाइंट और सर्वर के बीच पारदर्शी है।यह रिवर्स प्रॉक्सी के विपरीत है, जहां वेब एप्लिकेशन फ़ायरवॉल एक प्रॉक्सी के रूप में कार्य करता है और ग्राहक के ट्रैफ़िक को सीधे वेब एप्लिकेशन फ़ायरवॉल को भेजा जाता है।वेब एप्लिकेशन फ़ायरवॉल तब अलग से वेब एप्लिकेशन को फ़िल्टर्ड ट्रैफ़िक भेजता है।यह आईपी मास्किंग जैसे अतिरिक्त लाभ प्रदान कर सकता है, लेकिन प्रदर्शन विलंबता जैसे नुकसान का परिचय दे सकता है।

यह भी देखें

 * आवेदन फ़ायरवॉल
 * भुगतान कार्ड उद्योग डेटा सुरक्षा मानक (पीसीआई डीएसएस)
 * वेब अनुप्रयोग
 * एक सेवा के रूप में सॉफ्टवेयर (SAAS)
 * कंप्यूटर सुरक्षा
 * नेटवर्क सुरक्षा
 * आवेदन सुरक्षा
 * वेब अनुप्रयोग सुरक्षा