Mục lục
- WAF hoạt dộng như thế nào ?
- Lợi ích của tường lửa ứng dụng web
1. WAF hoạt động như thế nào ?
WAF phân tích các yêu cầu HTTP và áp dụng một bộ quy tắc xác định phần nào an toàn và độc hại. Các thành phần chính của traffic HTTP mà WAF phân tích là các yêu cầu GET và POST. Yêu cầu GET được sử dụng để truy xuất dữ liệu từ máy chủ và yêu cầu POST được sử dụng để gửi dữ liệu đến máy chủ để thay đổi trạng thái của nó
WAF có thể thực hiện hai cách tiếp cận để phân tích và lọc nội dung có trong các yêu cầu HTTP này hoặc kết hợp cả hai:
- Whitelisting: Cách tiếp cận whitelisting có nghĩa là WAF sẽ từ chối tất cả các yêu cầu theo mặc định và chỉ cho phép các yêu cầu được biết là đáng tin cậy. Nó cung cấp một danh sách các địa chỉ IP được biết là an toàn. Whitelisting ít tốn tài nguyên hơn so với Blacklisting. Nhược điểm của cách tiếp cận whitelisting là nó có thể vô tình chặn lưu lượng truy cập an toàn. Mặc dùn nó tạo ra một mạng lưới rộng và có thể hiệu quả, nhưng nó cũng có thể không chính xác
- Blacklisting: Phương pháp tiếp cân mặc định cho phép các gói tin đi qua và sử dụng chữ ký đặt trước để chặn lưu lượng web độc hại và bảo vệ các lỗ hổng của các trang web hoặc ứng dụng web. Nó là một danh sách các quy tắc chỉ các gói traffic độc hại. Blacklisting phù hợp hơn cho các trang web và ứng dụng web công cộng vì chúng nhận được nhiều lưu lượng truy cập từ các địa chỉ IP không quen thuộc mà không được biết là an toàn hay nguy hiểm. Nhược điểm của cách tiếp cận Blacklisting là tốn nhiều tài nguyên hơn, nó yêu cầu nhiều thông tin hơn để lọc các gói dựa trên các đặc điểm cụ thể, trái ngược với việc mặc định các địa chỉ IP tin cậy
- Hybrid security: Mô hình bảo mật kết hợp sử dụng các yếu tố của cả Blacklisting và Whitelisting
Bất kể mô hình mà WAF sử dụng là gì, nó cuối cùng vẫn hoạt động để phân tích các traffic HTTP và giảm hoặc lý tưởng nhất là loại bỏ lưu lượng độc hại trước khi đến máy chủ để xử lý
2. Lợi ích của tường lửa ứng dụng web
WAF có lợi thế hơn tường lửa truyền thống vì nó cung cấp khả năng hiển thị tốt hơn đối với dữ liệu ứng dụng nhạy cảm được giao tiếp bằng cách sử dụng lớp ứng dụng HTTP. Nó có thể ngăn chặn các cuộc tấn công các ứng dụng có thể vượt qua tường lửa mạng truyền thống, bao gồm những điều sau:
- Các cuộc tấn công cross-site scripting (XSS) cho phép kẻ tấn công đưa và thực thi các đoạn mã độc hại trong trình duyệt
- Các cuộc tấn công SQL Injection có thể ảnh hưởng đến bất kỳ ứng dụng nào sử dụng cơ sở dữ liệu SQL và cho phép kẻ tấn công truy cập và có khả năng thay đổi dữ liệu nhạy cảm
- Hack phiên web cho phép kẻ tấn công chiếm đoạt phiên ID và giả dạng người dùng được uỷ quyền. Phiên ID thường được lưu trữ trong cookie hoặc URL
- DdoS áp đảo mạng bằng cách làm ngập nó với lưu lượng truy cập cho đến khi nó không thể phục vụ người dùng. Cả tường lửa và WAF đều có thể xử lý kiểu tấn công này nhưng tiếp cận nó từ các lớp khác nhau
Ưu điểm khác của WAF là nó có thể bảo vệ các ứng dụng dựa trên web mà không cần truy cập vào mã nguồn của ứng dụng