वेब अनुप्रयोग फ़ायरवॉल

एक वेब अनुप्रयोग फ़ायरवॉल (WAF) आवेदन फ़ायरवॉल का एक विशिष्ट रूप है जो एक वेब एप्लिकेशन से और HTTP प्रसार यातायात को फ़िल्टर, मॉनिटर और ब्लॉक करता है।HTTP ट्रैफ़िक का निरीक्षण करके, यह वेब एप्लिकेशन की ज्ञात कमजोरियों, जैसे कि SQL इंजेक्शन, क्रॉस साइट स्क्रिप्टिंग (XSS), फ़ाइल समावेशन भेद्यता और अनुचित सिस्टम कॉन्फ़िगरेशन जैसे हमलों को रोक सकता है।

इतिहास
समर्पित वेब एप्लिकेशन फ़ायरवॉल ने 1990 के दशक के उत्तरार्ध में एक ऐसे समय में बाजार में प्रवेश किया जब वेब सर्वर हैकर अधिक प्रचलित हो रहा था।

WAF का एक प्रारंभिक संस्करण अपने AppShield उत्पाद के साथ परफेक्टो टेक्नोलॉजीज द्वारा विकसित किया गया था, जो ई-कॉमर्स बाजार पर केंद्रित था और अवैध वेब पेज चरित्र प्रविष्टियों के खिलाफ संरक्षित था।कावाडो और गिलियन टेक्नोलॉजीज के अन्य शुरुआती WAF उत्पाद, एक ही समय में बाजार में उपलब्ध थे, 90 के दशक के अंत में वेब अनुप्रयोगों पर हमलों की बढ़ती मात्रा को हल करने की कोशिश कर रहे थे।2002 में, ओपन सोर्स प्रोजेक्ट मोडसिटी WAF तकनीक को अधिक सुलभ बनाने के लिए गठित किया गया था।उन्होंने ओएसआईएस वेब एप्लिकेशन सुरक्षा तकनीकी समिति (टीसी) भेद्यता कार्य के आधार पर वेब अनुप्रयोगों की सुरक्षा के लिए एक मुख्य नियम को अंतिम रूप दिया।2003 में, उन्होंने वेब अनुप्रयोग सुरक्षा परियोजना खोलें (OWASP) टॉप 10 लिस्ट के माध्यम से नियमों का विस्तार और मानकीकृत किया, जो वेब सुरक्षा कमजोरियों के लिए एक वार्षिक रैंकिंग है।यह सूची वेब एप्लिकेशन सुरक्षा अनुपालन के लिए उद्योग मानक बन जाएगी। तब से, बाजार बढ़ता रहा और विकसित होता रहा है, विशेष रूप से क्रेडिट कार्ड धोखाधड़ी की रोकथाम पर ध्यान केंद्रित कर रहा है।भुगतान कार्ड उद्योग डेटा सुरक्षा मानक (पीसीआई डीएसएस) के विकास के साथ, कार्डधारक डेटा पर नियंत्रण का एक मानकीकरण, सुरक्षा इस क्षेत्र में अधिक विनियमित हो गई है।CISO मैगज़ीन के अनुसार, 2022 तक WAF बाजार बढ़ने की उम्मीद थी।.

विवरण
एक वेब एप्लिकेशन फ़ायरवॉल एक विशेष प्रकार का एप्लिकेशन फ़ायरवॉल है जो विशेष रूप से वेब एप्लिकेशन पर लागू होता है।यह वेब एप्लिकेशन के सामने तैनात है और द्वि-दिशात्मक वेब-आधारित (HTTP) ट्रैफ़िक का विश्लेषण करता है-कुछ भी दुर्भावनापूर्ण का पता लगाने और अवरुद्ध करता है।OWASP एक WAF के लिए एक व्यापक तकनीकी परिभाषा "वेब एप्लिकेशन स्तर पर एक सुरक्षा समाधान के रूप में प्रदान करता है - जो कि तकनीकी दृष्टिकोण से - एप्लिकेशन पर निर्भर नहीं करता है।" आवश्यकता 6.6 के लिए PCI DSS सूचना पूरक के अनुसार, एक WAF को "एक वेब एप्लिकेशन और क्लाइंट एंडपॉइंट के बीच तैनात एक सुरक्षा नीति प्रवर्तन बिंदु" के रूप में परिभाषित किया गया है।इस कार्यक्षमता को सॉफ्टवेयर या हार्डवेयर में लागू किया जा सकता है, एक उपकरण डिवाइस में, या एक सामान्य ऑपरेटिंग सिस्टम चलाने वाले एक विशिष्ट सर्वर में।यह एक स्टैंड-अलोन डिवाइस हो सकता है या अन्य नेटवर्क घटकों में एकीकृत हो सकता है। ” दूसरे शब्दों में, एक WAF एक आभासी या भौतिक उपकरण हो सकता है जो वेब अनुप्रयोगों में कमजोरियों को बाहरी खतरों द्वारा शोषण करने से रोकता है।ये कमजोरियां हो सकती हैं क्योंकि एप्लिकेशन स्वयं एक विरासत प्रकार है या इसे डिजाइन द्वारा अपर्याप्त रूप से कोडित किया गया था।WAF इन कोड कमियों को नियम-सेट के विशेष कॉन्फ़िगरेशन द्वारा संबोधित करता है, जिसे नीतियों के रूप में भी जाना जाता है।

पहले अज्ञात कमजोरियों को पैठ परीक्षण के माध्यम से या एक भेद्यता स्कैनर के माध्यम से खोजा जा सकता है।एक वेब अनुप्रयोग सुरक्षा स्कैनर, जिसे वेब एप्लिकेशन सिक्योरिटी स्कैनर के रूप में भी जाना जाता है, को SAMATE NIST 500-269 में "एक स्वचालित कार्यक्रम के रूप में परिभाषित किया गया है जो संभावित सुरक्षा कमजोरियों के लिए वेब अनुप्रयोगों की जांच करता है।वेब एप्लिकेशन-विशिष्ट कमजोरियों की खोज करने के अलावा, टूल भी सॉफ्टवेयर कोडिंग त्रुटियों की तलाश करते हैं। ” कमजोरियों को हल करना आमतौर पर उपचारात्मक के रूप में जाना जाता है।कोड में सुधार एप्लिकेशन में किया जा सकता है लेकिन आमतौर पर एक अधिक त्वरित प्रतिक्रिया आवश्यक है।इन स्थितियों में, एक अस्थायी लेकिन तत्काल फिक्स (वर्चुअल पैच के रूप में जाना जाता है) प्रदान करने के लिए एक अद्वितीय वेब एप्लिकेशन भेद्यता के लिए एक कस्टम नीति का अनुप्रयोग आवश्यक हो सकता है।

WAFS एक अंतिम सुरक्षा समाधान नहीं है, बल्कि वे एक समग्र रक्षा रणनीति प्रदान करने के लिए नेटवर्क फ़ायरवॉल और घुसपैठ रोकथाम प्रणालियों जैसे अन्य नेटवर्क परिधि सुरक्षा समाधानों के साथ संयोजन में उपयोग किए जाते हैं।

WAFS आमतौर पर एक सकारात्मक सुरक्षा मॉडल, एक नकारात्मक सुरक्षा, या SANS संस्थान द्वारा उल्लिखित दोनों के संयोजन का पालन करता है। WAFS क्रॉस-साइट स्क्रिप्टिंग और SQL इंजेक्शन जैसे हमलों का पता लगाने और रोकने के लिए नियम-आधारित तर्क, पदच्छेद  और हस्ताक्षर के संयोजन का उपयोग करता है।सामान्य तौर पर, ब्राउज़र इम्यूलेशन, ऑबफ्यूसेशन और वर्चुअलाइजेशन के साथ -साथ आईपी ऑबफ्यूसेशन जैसी सुविधाओं का उपयोग WAF को बायपास करने के लिए किया जाता है। OWASP शीर्ष दस वेब एप्लिकेशन सुरक्षा खामियों की एक सूची तैयार करता है।सभी वाणिज्यिक WAF प्रसाद कम से कम इन दस दोषों को कवर करते हैं।गैर-वाणिज्यिक विकल्प भी हैं।जैसा कि पहले उल्लेख किया गया है, प्रसिद्ध ओपन सोर्स WAF इंजन जिसे मोडक्युरिटी कहा जाता है, इन विकल्पों में से एक है।एक WAF इंजन अकेले पर्याप्त सुरक्षा प्रदान करने के लिए अपर्याप्त है, इसलिए ट्रस्टवेव के स्पाइडरलैब्स के साथ OWASP, GitHub के माध्यम से एक कोर-नियम को व्यवस्थित करने और बनाए रखने में मदद करता है Modsecurity WAF इंजन के साथ उपयोग करने के लिए।

परिनियोजन विकल्प
यद्यपि ऑपरेटिंग मोड के लिए नाम अलग -अलग हो सकते हैं, WAFs मूल रूप से तीन अलग -अलग तरीकों से इनलाइन तैनात किए जाते हैं।एनएसएस लैब्स के अनुसार, तैनाती के विकल्प पारदर्शी पुल, पारदर्शी रिवर्स प्रॉक्सी और रिवर्स प्रॉक्सी हैं। 'ट्रांसपेरेंट' इस तथ्य को संदर्भित करता है कि HTTP ट्रैफ़िक को सीधे वेब एप्लिकेशन में भेजा जाता है, इसलिए WAF क्लाइंट और सर्वर के बीच पारदर्शी है।यह रिवर्स प्रॉक्सी के विपरीत है, जहां WAF एक प्रॉक्सी के रूप में कार्य करता है और ग्राहक के ट्रैफ़िक को सीधे WAF को भेजा जाता है।WAF तब अलग से वेब एप्लिकेशन को फ़िल्टर्ड ट्रैफ़िक भेजता है।यह आईपी मास्किंग जैसे अतिरिक्त लाभ प्रदान कर सकता है, लेकिन प्रदर्शन विलंबता जैसे नुकसान का परिचय दे सकता है।

यह भी देखें

 * आवेदन फ़ायरवॉल
 * भुगतान कार्ड उद्योग डेटा सुरक्षा मानक (पीसीआई डीएसएस)
 * वेब अनुप्रयोग
 * एक सेवा के रूप में सॉफ्टवेयर (SAAS)
 * कंप्यूटर सुरक्षा
 * नेटवर्क सुरक्षा
 * आवेदन सुरक्षा
 * वेब अनुप्रयोग सुरक्षा