دیواره آتش لایه کاربرد
یک لایهٔ کاربردی دیواره آتش شکلی از دیواره آتش (فایروال) است که ورودی خروجی یا دسترس پذیری از، به یا به وسیله یک برنامه کاربردی یا سرویس را کنترل مینماید. فایروال(دیواره آتش)؛ از طریق نظارت و مسدود نمودن بالقوهٔ ورودی و خروجی یا فراخوانیهای سیستم خدمات که سیاست پیکربندی فایروال را برآورده نمیکنند(از آنها تبعیت نمیکنند)، عمل مینماید.
فایروال نرمافزاری معمولاً به منظور کنترل کلیهٔ ترافیک (ارتباطات) شبکهای بر روی لایهٔ OSI تا لایهٔ کاربردی ساخته میشود و بر خلاف یک فایروال شبکهای حالتمند (stateful) که بدون داشتن نرمافزار قادر به کنترل ترافیک شبکه در خصوص یک برنامه یا یک نرمافزار خاص نیست، میتواند برنامههای کاربردی و سرویسها را بهطور خاص کنترل نماید. دو دستهٔ اصلی فایروالهای نرمافزاری عبارتند از
- دیواره آتش نرمافزاری مبتنی بر شبکه
- دیواره آتش نرمافزاری مبتنی بر میزبان (رایانه).
فایروالهای نرمافزاری مبتنی بر شبکه
یک فایروال لایهٔ نرمافزاری مبتنی بر شبکه یک فایروال شبکه کامپیوتری است که در لایهٔ کاربردی یک پشتهٔ پروتکل عمل میکند؛ و هم چنین به عنوان یک فایروال مبتنی بر بر پروکسی یا فایروال پروکسی معکوس شناخته میشود. فایروالهای کاربردی مختص به یک نوع خاص از ترافیک شبکه ممکن است بر اساس عنوان آن سرویس نامگذاری گردند. این فایروالها میتوانند از طریق یک نرمافزار در حال اجرا بر روی یک میزبان یا قطعهٔ مستقل سخت افزارشبکه پیادهسازی گردند.
فایروالهای کاربردی مدرن
همچنین قادر به برداشتن رمزگذاری از سرویس دهندهها، مسدود نمودن ورودی/خروجی برنامهٔ کاربردی از نفوذهای شناسایی شده یا ارتباطات ناهنجار، مدیریت یا بهبود احراز هویت یا مسدود نمودن محتواهای مغایر با سیاستها هستند.
تاریخچه
ژان اسپافورد از دانشگاه پوردو، بیل چشیک از آزمایشگاههای AT&T و مارکوس رافورم، نسل سومی از فایروالها که با عنوان فایروالهای لایه کاربردی شناخته میشوند را توصیف نمودند. کار مارکوس رافررم در زمینهٔ تکنولوژی منجر به تولید اولین محصول تجاری گردید. این محصول توسط DES و با نام DES SEAL به بازار عرضه شود.TIS تحت یک قراردا گستردهترDARPA، گیت کیت (ابزار) فایروال(FWTK) را بسط کرده و آن را در اوا اکتبر ۱۹۹۳تحت لیسانس بهطور رایگان در دسترس قرار داد. اهداف انتشار رایگان FWTK نه استفادهٔ تجاری بلکه محقق ساختن سه مورد زیر است:
- اولاً شرکت قصد داشت تا از طریقز نرمافزار، مستندات و روشهای به کار گرفته شده نشان دهد که چگونه شرکتی با ۱۱ سال تجربه در زمینهٔ روشهای امنیتی رسمی و برخورداری از پرسنل با تجربه در خصوص فایروالها موفق به توسعهٔ چنین نرمافزار فایروال گردیدهاست.
- ثانیاً منظور از این اقدام ایجاد یک پایهٔ مشترک از نرم افزاذهای فایروال بسیار خوب برای سایرین بود تا محصولات خود را بر این اساس تدریجاً بسط دهند. سومین مسئله نیز ارتقای استاندارد نرمافزار فایروال به کار گرفته شده بود.
فایروالهای کاربدری مبتنی بر میزبان(host):یک فایروال کاربردی مبتنی بر میزبان قابلیت نظارت و کنترل بر هر گونه ورودی و خروجی برنامههای یا فراخوانیهای سیستم خدمات از، یا توسط یک برنامهٔ کاربردی را داراست. این عمل به وسیله بررسی اطلاعات عبوری از طریق فراخوانیهای سیتم، در عوض یک پشتهٔ شبکهای ویا علاوه بر آن صورت میپذیرد. فایروالهای کاربردی از طریق تعیین ضرورت قبول هرگونه اتصال داده شده به وسیلهٔ یک فرایند عمل میکنند. عملکرد فایروالهای کاربردی بیشتر شبیه به یک غفیلتر بستهٔ اطلاعاتی میباشد. اما فیلترهای کاربردی به جای اعمال اتصالات فیلترینگ بر یک مبنای فرایندی، قوانین فیلترینگ (اجازه/انسداد) را بر یک مبنای پورتی اعمال مینمایند. بهطور کلی نشانههای ورودی به منظور تعریف قوانین برای فرایندهایی که هنوز اتصالی دریافت نکردهاند به کار گرفته میشوند. به ندرت میتوان فایروالهای برنامههای کاربردیترکیب نشده با یک فیلتر بستهای را یافت. فایروالهای برنامههای کاربردی علاوه بر این اتصالات را از طریق بررسی ID ی فرایند بستههای اطلاعاتی در مقابل یک مجموعهٔ قوانین برای فرایند موضعی درگیر در انتقال اطلاعات، فیلتر مینمایند. با توجه به تنوع نرمافزارهای موجود، فایروالهای کاربردی تنها مجموعه قوانین پیچیده تری برلی سرویسهای استانداردی از قبیل سرویسهای اشتراک داراست. این مجموعهٔ قوانین هر فرایند تأثیر فیلترینگ هر بستگی متحمل که ممکن است با سایر فرایندها رخ دهد را محدود ساخته و هم چنین قابلیت پشتیبانی در برابر تغییر و اصلاح فرایند از طریق سو استفادههایی نظیر سوءاستفاده از فساد حافظه را ندارند. به دلیل وجود همین محدودیت هاست که فایروالهای نرمافزاری کمکم جای خود را به نسل جدیدی از فایروالها که برای پشتیبانی از سرویسهای آسیبپذیر بر کنترل دسترسی اجباری مک (ابهامزدایی) تکیه دارند.
نمونهها
به منظور نمایش بهتر این مفهوم، برخی نمونههای فایروال کاربردی ویژه در این بخش برشمرده شدهاست.
پیادهسازیها
فایروالهای کاربردی مختلفی در حال حاضر در دسترسند که هم دربرگیرندهٔ نرمافزارهای رایگان و منبع باز و هم محصولات تجاری هستند.
Mac OS X
سیستم عامل فوق شامل پیادهسازی چارچوب TRUSTED BSD MAC است که از FREE BSD گرفته شدهاست. همانطور که APP ARMOR برای هدفی مشابه در برخی توزیعات لینوکس مورد استفاده قرار گرفتهاست. فایروالهای کاربردی قرار گرفته در تنظیمات سیستم عامل اواس ده، پس از نسخهٔ لئوپارد قابلیت این نوع فایروال را تا میزان محدودی از طریق بهکارگیری برنامههای امضاکننده کد CODE SIGNING افزوده شده به فهرست فایروال را فراهم میکند. در اکثر بخشها این فایروال کاربردی تنها به مدیریت اتصالات شبکه میپردازد به این شکل که با انجام بررسیهایی از هدایت شدن اتصالات ورودی به سمت یکی از برنامههای موجود در فهرست فایروال و تبعیت آنها از قانون (اجازه/انسداد) تعیین شده برای آن برنامهها اطمینان حاصل میکند.
لینوکس
موارد زیر نشان دهندهٔ فهرستی از بستههای نرم افزلری امنیتی برای لینوکس هستد که اجازهٔ فیلتر کردن برنامه به برقراری ارتباط سیتم عامل احتمالاً بر یک مبنای کاربردی را میدهند.
ویندوز
- وینگیت WinGate
- وین روت WinRoute
لوازم شبکه
این دستگاهها به عنوان لوازم سختافزار شبکه به فروش میرسند
فایروالهای کاربردی تخصصی
فایروالهای کاربردی تخصصی یک مجموعهٔ سرشار از امکانات و ویژگیها را در جهت پشتیبانی و کنترل یک برنامه یا نرمافزار خاص ارائه میکنند. اکثر فایروالهای کاربردی تخصصی لوازم شبکه مربوط به نرمافزارهای وب هستند.
تاریخچه
حملات هکری بزرگ مقیاس به سرویس دهندگان وب مانند سوءاستفاده PHF CGI سال ۱۹۹۶ منجر به تحقیق و بررسی در زمینه مدلهای امنیتی برا حمایت از برنامههای تحت وب گردید.
این مسئله سرآغاز خانواده تکنولوژی فاروال برنامه تحت وب WAF نام برده میشود. در سال ۲۰۰۴ فروشندگان امنیت و مدیریت گستردهٔ ترافیک عمدتاً در فضای لایهٔ شبکه از طریق یک جنبش ترکیب و ادغام ‚ وارد بازار waf شدند.
حرکت کلیدی در این میان ‚ اقدام صورت گرفته توسط fs در جهت دستیابی به سیستمهای وب ذره بینی و یکپارچه سازی راه حل نرمافزاری اخیر ترافیک شیلد traffic schield و سیستم مدیریت ترافیک پیشین بیگ آی پی BIG IP بود. در همان سال بود که FS به APP SCHIELD دست پیدا کرد و این تکنولوژی را متوقف نمود. تحکیمهای بیشتر در سال ۲۰۰۶ و با دست یابی PROTEGRITY و خرید سیستمهای سیتریکس CITRIX از تروس TEROS به وقوع پیوست. تا این زمان بازار WAF تحت سلطه ارائه دهندگان خدمات نیچه NICHE که تمرکز اصلیشان بر روی امنیت لایهٔ کاربردی تحت وب بود‚ قرار داشت. از این نقطه به بعد بازار WAF به شکلی قاطعانه به سمت یکپارچهسازی محصولات WAF با تکنولوژیهای شبکهای گسترده تعادل بارگذاری و سریس دهندگان برنامههای کاربردی ‚ فایروالهای شبکه و غیره هدایت شد و موج سریعی از تغییر علامت تجاری ‚ تغییر نام و تغییر موقعیت WAF آغاز گردید.
فایروالهای نرمافزاری تحت وب توزیع شده
فایروالهای نرمافزاری تحت وب توزیع شده که Dwaf نیز نامیده میشود. جزئی از فایروالها ی کاربردی تحت وب (WAF) و خانواده تکنولوژیهای امنیتی برنامههای کاربردی تحت وب بهشمار میروند.
فایروالهای برنامههای کاربردی تحت وب مبتنی بر فضای ابر
فایروالهای برنامههای کاربردی تحت وب مبتنی بر فضای ابر نیز جزئی از فایروالهای برنامههای کاربردی تحت وب (WAF) و خانوادهٔ تکنولوژی امنیتی نرمافزارهای تحت وب میباشند. این تکنولوژی از این جهت که وابسته به بسترهای نرمافزاری نبوده و نیازمند هیچ گونه تغییر سختافزاری یا نرمافزاری در میزبان (host) نمیباشد. فناوری منحصربهفردی است.
تمامی ارائه دهندگان به جز یک مورد نیازمند یک تغییر pns میباشند؛ که در آن کلیهٔ ترافیک وب از طریق waf یعنی جاییکه در آن فرایند بازرسی و خنثی سازی تهدیدات صورت میپذیرد‚ هدایت میگردد. Waf مبتنی بر فضای ابر نوعاً هماهنگ متمرکز هستند بدین معنی که اطلاعات ردیابی تهدید در میان تمامی متصرفان سریس به اشتراک گذاشته شدهاست. نتیجهٔ این همکاری بهبود نرخ و سرعت ردیابی میباشد.
سایبر شیلد(xyber schield)
تنها waf مبتنی بر فضای ابر است که مستلزم یک تغییر pns نمیباد اما در عوض متکی بر یک اسکریپت K4 ای موضعی و ارتباط ثابت با سرویس سراسری در ۵۵ نقطه میباشد.
- در سال ۲۰۱۰ ایمپردا imperda) ‚ اینکپسولا (incopsala) را به منظور فراهم ساختن یک waf مبتنی بر فضای ابر برای تجارتهای کوچک یا متوسط گسترش بخشید.
- پس از سال ۲۰۱۱‚ارایه دهندگان خدمات امنیتی یک سرور ورودی ایمن را به عنوان فایروال کاربردی تحت وب مبتنی بر فضای ابر Amazon EC2 ارائه میکنند.
- فناوریهای آکامی (Akami)
یک waf مبتنی بر فضای ابر را که ویژگیهای پیشرفته نظیر کنترل سرعت و قواعد دلخواه را به هم آویختهاست‚ عرضه خواهد کرد که این مسئله قابلیت مقابله با حملات DDOS ولایهٔ ۷را در اختیار آن قرار میدهد.
- از سال ۲۰۱۲ به بعد‚کمپانی سیستمهای امنیتی پنتا یک WAF مبتنی بر فضای ابر بانام سری ** را با مشارکت راهبردی با ISPهای مانند KT کره به عموم عرضه خواهد نمود.
منابع
- Wikipedia contributors, "Application firewall," Wikipedia, The Free Encyclopedia, http://en.wikipedia.org/w/index.php?title=Application_firewall&oldid=499534555 (accessed July 16, 2012).