वेब अनुप्रयोग फ़ायरवॉल

यह आलेख एप्लिकेशन फ़ायरवॉल के उप-प्रकार के बारे में है। एप्लिकेशन फायरवॉल पर आलेख के लिए, एप्लिकेशन फायरवॉल देखें। फ़ायरवॉल के प्राथमिक विषय के लिए, फ़ायरवॉल (कंप्यूटिंग) देखें।

वेब एप्लीकेशन फ़ायरवॉल (डब्ल्यूएएफ) एप्लिकेशन फ़ायरवॉल का एक विशिष्ट रूप है जो एक वेब एप्लिकेशन से और हाइपरटेक्स्ट ट्रांसफ़र प्रोटोकॉल प्रसार ट्रैफिक को फ़िल्टर, मॉनिटर और ब्लॉक करता है। हाइपरटेक्स्ट ट्रांसफ़र प्रोटोकॉल ट्रैफ़िक का निरीक्षण करके, यह वेब एप्लिकेशन की ज्ञात अरक्षितता, जैसे कि संरचित क्वेरी भाषा अंतःक्षेपण, क्रॉस साइट स्क्रिप्टिंग (एक्सएसएस), फ़ाइल समावेशन और अनुपयुक्त सिस्टम कॉन्फ़िगरेशन का उपयोग करने वाले आक्षेप को रोक सकता है।

इतिहास
समर्पित वेब एप्लिकेशन फ़ायरवॉल ने 1990 के दशक के अंत में उस समय में विक्रय में प्रवेश किया जब वेब सर्वर आक्षेप अधिक प्रचलित हो रहा था।

वेब एप्लिकेशन फ़ायरवॉल का एक प्रारंभिक संस्करण अपने ऐपशील्ड उत्पाद के साथ परफेक्टो तकनीक द्वारा विकसित किया गया था, जो ई-कॉमर्स विक्रय पर केंद्रित था और अवैध वेब पेज वर्ण प्रविष्टियों से सुरक्षित था। कावाडो और गिलियन तकनीक के अन्य प्रारम्भिक वेब एप्लिकेशन फ़ायरवॉल उत्पाद, एक ही समय में विक्रय में उपलब्ध थे, 90 के दशक के अंत में वेब एप्लिकेशन पर आक्षेप की बढ़ती मात्रा को संशोधन करने की प्रयास कर रहे थे। 2002 में, मुक्त स्त्रोत परियोजना मॉड सुरक्षा वेब एप्लिकेशन फ़ायरवॉल तकनीक को अधिक सुलभ बनाने के लिए निर्मित किया गया था। उन्होंने संरचित सूचना मानक की उन्नति के लिए संगठन वेब एप्लिकेशन सुरक्षा तकनीकी समिति (टीसी) बेध्यता कार्य के आधार पर वेब एप्लिकेशन की सुरक्षा के लिए एक मुख्य नियम को अंतिम रूप दिया। 2003 में, उन्होंने मुक्त वेब एप्लीकेशन सुरक्षा परियोजना (ओडब्ल्यूएएसपी) की शीर्ष 10 सूची, माध्यम से नियमों का विस्तार और मानकीकृत किया, जो वेब सुरक्षा अरक्षितता के लिए एक वार्षिक रैंकिंग है। यह सूची वेब एप्लिकेशन सुरक्षा अनुसरण के लिए उद्योग मानक बन जाएगी।

तब से, विक्रय बढ़ता रहा और विकसित होता रहा है, विशेष रूप से क्रेडिट कार्ड धोखाधड़ी की रोकथाम पर ध्यान केंद्रित कर रहा है। भुगतान कार्ड उद्योग डेटा सुरक्षा मानक (पीसीआई डीएसएस) के विकास के साथ, कार्डधारक डेटा पर नियंत्रण का एक मानकीकरण, सुरक्षा इस क्षेत्र में अधिक विनियमित हो गई है। मुख्य सूचना सुरक्षा अधिकारी मैगज़ीन के अनुसार, 2022 तक वेब एप्लिकेशन फ़ायरवॉल विक्रय बढ़ने की उपेक्षा थी।.

विवरण
एक वेब एप्लिकेशन फ़ायरवॉल एक विशेष प्रकार का एप्लिकेशन फ़ायरवॉल है जो विशेष रूप से वेब एप्लिकेशन पर प्रयुक्त होता है।यह वेब एप्लिकेशन के सामने परिनियोजित है और द्वि-दिशात्मक वेब-आधारित (हाइपरटेक्स्ट ट्रांसफ़र प्रोटोकॉल) ट्रैफ़िक का विश्लेषण करता है, कुछ भी द्वेषपूर्ण का पता लगाने और अवरुद्ध करता है। मुक्त वेब एप्लिकेशन सुरक्षा परियोजना एक वेब एप्लिकेशन फ़ायरवॉल के लिए एक व्यापक तकनीकी परिभाषा "वेब एप्लिकेशन स्तर पर एक सुरक्षा समाधान के रूप में प्रदान करता है - जो कि तकनीकी दृष्टिकोण से - एप्लिकेशन पर निर्भर नहीं करता है।" आवश्यकता 6.6 के लिए पेरिफ़ेरल घटक इंटरकनेक्ट (पीसीएल) निर्णय समर्थन प्रणाली सूचना पूरक के अनुसार, एक वेब एप्लिकेशन फ़ायरवॉल को "एक वेब एप्लिकेशन और क्लाइंट एंडपॉइंट के बीच परिनियोजित एक सुरक्षा नीति प्रवर्तन बिंदु" के रूप में परिभाषित किया गया है। इस कार्यक्षमता को सॉफ्टवेयर या हार्डवेयर में प्रयुक्त किया जा सकता है, एक उपकरण डिवाइस में, या सामान्य ऑपरेटिंग सिस्टम चलाने वाले विशिष्ट सर्वर में लागू की जा सकती है। यह एक स्वचालित डिवाइस हो सकता है या अन्य नेटवर्क घटकों में एकीकृत हो सकता है। ” दूसरे शब्दों में, एक वेब एप्लिकेशन फ़ायरवॉल एक आभासी या भौतिक उपकरण हो सकता है जो वेब एप्लिकेशन में अरक्षितता को बाहरी जोखिमों द्वारा शोषण करने से रोकता है। ये अरक्षितता हो सकती हैं क्योंकि एप्लिकेशन स्वयं एक पारंपरिक प्रकार है या इसे डिजाइन द्वारा अपर्याप्त रूप से कोडित किया गया था। वेब एप्लिकेशन फ़ायरवॉल इन कोड कमियों को नियम-सेट के विशेष कॉन्फ़िगरेशन द्वारा संबोधित करता है, जिसे नीतियों के रूप में भी जाना जाता है।

पहले कि अज्ञात अरक्षितता को अन्तर्वेशन परीक्षण के माध्यम से या एक बेध्यता स्कैनर के माध्यम से जानकारी उपलब्ध की जा सकती है। एक वेब एप्लीकेशन सुरक्षा स्कैनर, जिसे वेब एप्लिकेशन सुरक्षा स्कैनर के रूप में भी जाना जाता है, को सॉफ्टवेयर आश्वासन मेट्रिक्स और उपकरण मूल्यांकन मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान 500-269 में "एक स्वचालित प्रोग्राम के रूप में परिभाषित किया गया है जो संभावित सुरक्षा अरक्षितता के लिए वेब एप्लिकेशन की जांच करता है। वेब एप्लिकेशन-विशिष्ट अरक्षितता की जांच करने के अतिरिक्त, उपकरण भी सॉफ्टवेयर कोडिंग त्रुटियों की जाँच करते हैं।” अरक्षितता को संशोधन करना सामान्य रूप से उपचारात्मक के रूप में जाना जाता है। कोड में संशोधन एप्लिकेशन में किया जा सकता है लेकिन सामान्य रूप से एक अधिक त्वरित प्रतिक्रिया आवश्यक है। इन स्थितियों में, अस्थायी लेकिन तत्काल निर्धारित (वर्चुअल पैच के रूप में जाना जाता है) प्रदान करने के लिए एक अद्वितीय वेब एप्लिकेशन बेध्यता के लिए एक कस्टम नीति का एप्लीकेशन आवश्यक हो सकता है।

वेब एप्लिकेशन फ़ायरवॉल सिस्टम एक अंतिम सुरक्षा समाधान नहीं है, बल्कि वे एक समग्र रक्षा रणनीति प्रदान करने के लिए नेटवर्क फ़ायरवॉल और आक्षेप रोकथाम प्रणालियों जैसे अन्य नेटवर्क पैरीमीटर सुरक्षा समाधानों के साथ संयोजन में उपयोग किए जाते हैं।

वेब एप्लिकेशन फ़ायरवॉल सिस्टम सामान्य रूप से एक सकारात्मक सुरक्षा मॉडल, एक नकारात्मक सुरक्षा, या भंडारण क्षेत्र नेटवर्क (एसएएनएस) संस्थान द्वारा उल्लिखित दोनों के संयोजन का अनुसरण करता है। वेब एप्लिकेशन फ़ायरवॉल सिस्टम क्रॉस-साइट स्क्रिप्टिंग और संरचित क्वेरी भाषा अंतःक्षेपण जैसे आक्षेप का पता लगाने और रोकने के लिएनियम-आधारित तर्क, पार्सिंग और हस्ताक्षर के संयोजन का उपयोग करता है। सामान्य रूप से, ब्राउज़र इम्यूलेशन, ऑबफ्यूसेशन और वर्चुअलाइजेशन के साथ -साथ इंटरनेट प्रोटोकॉल ऑबफ्यूसेशन जैसी सुविधाओं का उपयोग वेब एप्लिकेशन फ़ायरवॉल को उपपथन करने के लिए किया जाता है। मुक्त वेब एप्लिकेशन सुरक्षा परियोजना शीर्ष दस वेब एप्लिकेशन सुरक्षा दोषों की एक सूची तैयार करता है। सभी वाणिज्यिक वेब एप्लिकेशन फ़ायरवॉल प्रस्ताव कम से कम इन दस दोषों को कवर करते हैं। गैर-वाणिज्यिक विकल्प भी हैं। जैसा कि पहले उल्लेख किया गया है, प्रसिद्ध मुक्त स्त्रोत वेब एप्लिकेशन फ़ायरवॉल इंजन जिसे मॉड सुरक्षा कहा जाता है, इन विकल्पों में से एक है। एक वेब एप्लिकेशन फ़ायरवॉल इंजन पर्याप्त सुरक्षा प्रदान करने के लिए अपर्याप्त है, इसलिए मॉड सुरक्षा वेब एप्लिकेशन फ़ायरवॉल इंजन के साथ उपयोग करने के लिए ट्रस्टवेव के स्पाइडरलैब्स के साथ मुक्त वेब एप्लिकेशन सुरक्षा परियोजना, गिटहब के माध्यम से एक कोर-नियम को व्यवस्थित करने और बनाए रखने में सहायता करता है।

परिनियोजन विकल्प
यद्यपि ऑपरेटिंग मोड के लिए नाम अलग -अलग हो सकते हैं, वेब एप्लिकेशन फ़ायरवॉल मूल रूप से तीन अलग -अलग तरीकों से इनलाइन परिनियोजित किए जाते हैं। नेटवर्क स्विचिंग सिस्टम प्रयोगशाला के अनुसार, परिनियोजन के विकल्प पारदर्शी ब्रिज, पारदर्शी रिवर्स प्रॉक्सी और रिवर्स प्रॉक्सी हैं। 'पारदर्शी' इस तथ्य को संदर्भित करता है कि हाइपरटेक्स्ट ट्रांसफ़र प्रोटोकॉल ट्रैफ़िक को प्रत्यक्ष रूप से वेब एप्लिकेशन में प्रेषित किया जाता है, इसलिए वेब एप्लिकेशन फ़ायरवॉल क्लाइंट और सर्वर के बीच पारदर्शी है। यह रिवर्स प्रॉक्सी के विपरीत है, जहां वेब एप्लिकेशन फ़ायरवॉल एक प्रॉक्सी के रूप में कार्य करता है और ग्राहक के ट्रैफ़िक को प्रत्यक्ष रूप से वेब एप्लिकेशन फ़ायरवॉल को प्रदान किया जाता है। वेब एप्लिकेशन फ़ायरवॉल तब अलग से वेब एप्लिकेशन को फ़िल्टर्ड ट्रैफ़िक प्रदान करता है। यह इंटरनेट प्रोटोकॉल मास्किंग जैसे अतिरिक्त लाभ प्रदान कर सकता है, लेकिन प्रदर्शन विलंबता जैसे नुकसान का परिचय दे सकता है।

यह भी देखें

 * एप्लिकेशन फ़ायरवॉल
 * भुगतान कार्ड उद्योग डेटा सुरक्षा मानक (पीसीआई डीएसएस)
 * वेब एप्लीकेशन
 * सॉफ्टवेयर एक सेवा के रूप में (एसएएएस)
 * कंप्यूटर सुरक्षा
 * नेटवर्क सुरक्षा
 * एप्लिकेशन सुरक्षा
 * वेब एप्लीकेशन सुरक्षा