دیوار آتش وب (WAF)

دیوار آتش وب آبالون، با بهره‌گیری از قوانین مبتنی بر Regex و روش Anomaly Scoring، درخواست‌های مخرب را شناسایی و مسدود می‌کند. در روش Anomaly Scoring، هر قانون دارای یک امتیاز مشخص است. هنگام بررسی یک درخواست، اگر چند قانون با آن تطابق داشته باشند، مجموع امتیاز قوانین مطابقت‌یافته با آستانه‌ حساسیت تنظیم‌شده برای WAF مقایسه می‌شود:

• اگر مجموع امتیاز کمتر از آستانه باشد، درخواست مجاز شناخته می‌شود.

• اگر مجموع امتیاز برابر یا بیشتر از حد آستانه باشد، درخواست به‌عنوان مخرب مسدود خواهد شد.

این روش دقت بالایی در شناسایی حملات پیچیده دارد، زیرا بر اساس رفتار ترکیبی و نه فقط تطابق مستقیم عمل می‌کند.

تنظیم و پیکربندی WAF در پنل آبالون

برای پیکربندی WAF:

۱. وارد پنل کاربری آبالون شوید.

۲. از منوی سمت راست، به بخش CDN بروید.

۳. گزینه‌ دیوار آتش وب (WAF) را انتخاب کنید.

در این بخش، می‌توانید وضعیت WAF را از میان سه حالت موجود انتخاب کنید:

• فعال: تمامی قوانین فعال هستند و درخواست‌ها بر اساس امتیازدهی بررسی می‌شوند.

• حالت گزارش‌گیری (Only Log): درخواست‌ها مسدود نمی‌شوند، اما گزارش‌ها ثبت می‌شوند.

• غیرفعال: با غیرفعال کردن این گزینه، دیوار آتش وب برای دامنه شما به‌طور کامل خاموش می‌شود.

پکیج‌های امنیتی WAF

برای ساده‌سازی پیکربندی دیوار آتش وب (WAF)، آبالون مجموعه‌ای از پکیج‌های امنیتی را ارائه می‌دهد. این پکیج‌ها شامل قوانین و تنظیمات از پیش تعریف‌شده‌ای هستند که با فعال‌سازی آن‌ها، به‌صورت خودکار روی WAF شما اعمال می‌شوند.

سه پکیج زیر از طریق بخش «پکیج‌ها» در پنل WAF قابل انتخاب و فعال‌سازی هستند:

• پکیج پیش‌فرض آبالون

• پکیج استاندارد CRS

• پکیج امنیتی Comodo

نکته

در پلن سازمانی امکان فعال کردن همزمان هر ۳ پکیج WAF فراهم است. (مقایسه پلن‌های سرویس CDN)

پکیج پیش‌فرض WAF آبالون

برای شروع پیکربندی، کافی است در بخش پکیج پیش‌فرض WAF آبالون روی دکمه‌ «ویرایش» کلیک کنید. با این کار، به تنظیمات اختصاصی هر قانون دسترسی پیدا می‌کنید. این تنظیمات شامل گزینه‌هایی برای مدیریت فعال یا غیرفعال بودن قوانین است.

این پکیج شامل مجموعه‌ای از قوانین پایه برای محافظت در برابر حملات رایج وب‌سایت‌ها است. در ادامه، دسته‌بندی‌های اصلی قوانین این پکیج توضیح داده شده‌اند:

• اجرای کدهای مخرب (XSS) – کدهای 42xxx

حملات Cross-Site Scripting یا XSS زمانی اتفاق می‌افتند که مهاجم کدی مخرب را از طریق ورودی‌های کاربر یا لینک‌های crafted به مرورگر قربانی ارسال می‌کند. در صورت نبود اعتبارسنجی مناسب، این کد در مرورگر اجرا شده و می‌تواند منجر به سرقت اطلاعات، ربودن نشست کاربر یا اجرای دستورات ناخواسته شود.

• حملات تزریق SQL (SQL Injection) – کدهای 41xxx

در حمله SQL Injection، مهاجم کوئری‌های مخرب SQL را از طریق ورودی‌های کاربر یا پارامترهای URL به سمت دیتابیس ارسال می‌کند. نتیجه‌ این حملات ممکن است شامل دسترسی غیرمجاز، تغییر یا حذف اطلاعات و حتی در دست گرفتن کامل کنترل دیتابیس باشد.

• درخواست‌های خلاف قاعده – کدهای 21xxx

در این دسته، حملاتی متوجه ساختار یا هدرهای HTTP هستند. WAF با تحلیل هدرها، مقادیر نامعتبر یا غیرمنتظره را شناسایی و درخواست‌های غیرقابل اعتماد را مسدود می‌کند.

• بات‌های مخرب – کدهای 35xxx

فایروال با تفکیک بین بات‌های قانونی (مانند Googlebot) و بات‌های مشکوک یا مهاجم، تنها بات‌هایی را مسدود می‌کند که رفتار غیرعادی داشته و سعی در بهره‌برداری از آسیب‌پذیری‌ها دارند.

• درخواست‌های خارج از استاندارد HTTP – کدهای 20xxx

در این بخش، WAF عملکرد صحیح پروتکل HTTP را بررسی می‌کند. مثال‌هایی از بررسی‌ها شامل وجود Header مناسب مانند Content-Length در متدهای POST و یا صحت ساختار متدهای درخواست است.

• حملات عمومی – کدهای 40xxx

این دسته از حملات معمولاً از فقدان اعتبارسنجی مناسب در ورودی/خروجی داده‌ها سوءاستفاده می‌کنند. مهاجم ممکن است کد مخربی را به برنامه تزریق کرده و از طریق آن فرآیندهایی مانند دور زدن احراز هویت یا سرقت اطلاعات انجام دهد. حملات معروفی مانند RFI (مخفف Remote File Inclusion) و LFI (مخفف Local File Inclusion) در این دسته قرار می‌گیرند.

بسیاری از قوانین در پکیج پیش‌فرض WAF آبالون دارای زیرمجموعه‌هایی هستند که قابلیت تنظیم مجزا دارند. با کلیک روی آیکون پیکان کنار هر قانون، این زیرقوانین نمایش داده می‌شوند. می‌توانید بسته به شرایط شبکه و نیازهای خاص خود، هر یک از این زیرمجموعه‌ها را به‌صورت مستقل فعال یا غیرفعال کنید.

پکیج امنیتی CRS

پکیج CRS (مخفف Core Rule Set) مجموعه‌ای از قوانین عمومی برای تشخیص و مقابله با حملات رایج وب‌سایت‌ها است که امکان فعال‌سازی آن روی قابلیت WAF آبالون فراهم شده است. با فعال‌سازی دیوار آتش وب و انتخاب این پکیج از طریق پنل کاربری، می‌توانید از وب‌سایت خود در برابر طیف گسترده‌ای از تهدیدات امنیتی محافظت کنید. با کلیک روی آیکون ویرایش، وارد بخش تنظیمات اختصاصی این پکیج می‌شوید.

مهم‌ترین حملاتی که توسط پکیج CRS شناسایی و مسدود می‌شوند:

• SQL Injection (SQLi)

• Cross-Site Scripting (XSS)

• Local File Inclusion (LFI)

• Remote File Inclusion (RFI)

• PHP Code Injection

• Java Code Injection

• HTTPoxy Vulnerability

• Shellshock

• Unix/Windows Shell Injection

• Session Fixation

• شناسایی و مسدودسازی اسکریپت‌ها، اسکنرها و بات‌های مشکوک

• جلوگیری از افشای متادیتا یا پیام‌های خطای ناخواسته (Error Leakage)

پکیج امنیتی Comodo

پکیج Comodo یکی دیگر از مجموعه قوانین قابل فعال‌سازی از طریق پنل WAF آبالون است. این پکیج ترکیبی از قوانین حفاظت در برابر نفوذ (Intrusion Protection Rules) و فیلترهای پیشرفته (Advanced Filtering Rules) را ارائه می‌دهد. استفاده از این پکیج، امکان تشخیص حملات پیچیده‌ و رفتارهای مخرب در لایه‌های مختلف اپلیکیشن را فراهم کرده و سطح امنیتی بالایی برای وب‌سایت شما ایجاد می‌کند. دسته‌بندی حملاتی که توسط پکیج Comodo پشتیبانی می‌شوند به شرح زیر است:

• Global – Generic

• Global – Agents

• Global – Domains

• Global – Incoming

• Global – Backdoor

• Global – Other

• XSS

• Bruteforce

• HTTP

• HTTP – Protocol

• HTTP – Request

• PHP – PHPGen

• SQL – SQLi

• ROR – RORGen

• Apps – Joomla

• Apps – JComponent

• Apps – WordPress

• Apps – WPPlugin

• Apps – WHMCS

• Apps – Drupal

1. Apps – OtherApps

قوانین سفارشی

در WAF آبالون این امکان وجود دارد که قابلیت محافظت WAF را برای یک مسیر خاص از دامنه یا یک بازه‌ مشخص از IPها فعال یا غیرفعال کنید. این قابلیت برای زمانی مفید است که بخواهید کنترل دقیق‌تری بر رفتار WAF در بخش‌های خاصی از وب‌سایت یا برای گروهی از کاربران داشته باشید.

برای ایجاد قانون سفارشی، ابتدا وارد پنل CDN آبالون شوید، به بخش دیوار آتش وب (WAF) بروید و در قسمت قوانین سفارشی روی دکمه‌ «افزودن قانون» کلیک کنید.

در این مرحله باید مسیر درخواستی را در قالب الگوی Glob وارد کنید و سپس IP یا بازه‌ IP مورد نظر خود را مشخص کنید؛ یعنی محدوده‌ای که می‌خواهید قانون روی آن اعمال شود. در ادامه، باید وضعیت عملیات را انتخاب کنید تا تعیین شود دیوار آتش وب برای این مسیر یا IP فعال یا غیرفعال باشد. پس از ایجاد قانون، فهرستی از قوانین سفارشی در همان صفحه نمایش داده می‌شود که شامل مشخصات هر قانون و اولویت اجرای آن‌ها است. امکان ویرایش یا حذف این قوانین نیز در همین بخش وجود دارد. اولویت هر قانون تعیین می‌کند که در صورت وجود چند قانون برای یک مسیر مشخص، کدام‌یک زودتر اجرا شود. توجه داشته باشید که هرچه عدد اولویت کمتر باشد، قانون زودتر اعمال خواهد شد؛ برای مثال، قانونی با اولویت ۱ پیش از قانونی با اولویت ۱۰ اجرا خواهد شد.

گزارش حملات در WAF

در بخش گزارش‌های دیوار آتش وب (WAF) آبالون، می‌توانید حملات شناسایی‌شده به وب‌سایت خود را بررسی و تحلیل کنید. این بخش به شما امکان می‌دهد تا با دید دقیق‌تری نسبت به نوع تهدیدات، منبع آن‌ها و نحوه مقابله با آن‌ها تصمیم‌گیری کنید.

در قسمت جزئیات حملات، لیستی از لاگ‌های ثبت‌شده برای درخواست‌های مخرب نمایش داده می‌شود. با کلیک روی هر لاگ، می‌توانید اطلاعات دقیق‌تری در مورد آن حمله مشاهده کنید.

این اطلاعات شامل IP حمله‌کننده، متد درخواست (مانند GET یا POST)، نشانی هدف، زمان دقیق وقوع حمله، کوکی‌های ارسالی، و User Agent مرورگر یا ابزار استفاده‌شده است.

در انتهای هر لاگ نیز فهرستی از قوانینی که آن درخواست با آن‌ها تطبیق داشته نمایش داده می‌شود. می‌توانید شناسه (ID) هر قانون را مشاهده کرده و در صورت نیاز، آن را در تنظیمات WAF غیرفعال کنید؛ به‌ویژه اگر مطمئن باشید که قانون مذکور با رفتار طبیعی وب‌سایت شما در تضاد است.

همچنین در بخش نقشه حملات، موقعیت جغرافیایی IPهایی که از آن‌ها حمله صورت گرفته نمایش داده می‌شود تا بتوانید منشأ حملات را به‌صورت بصری شناسایی کنید و در صورت نیاز، اقدامات امنیتی تکمیلی بر اساس موقعیت انجام دهید.

بررسی لاگ‌ها و مدیریت خطاهای False Positive

پس از فعال‌سازی WAF و قرار دادن آن روی حالت روشن و شناسایی (Detection Mode)، موتور WAF شروع به ثبت لاگ‌هایی از درخواست‌های مشکوک می‌کند. این لاگ‌ها نشان می‌دهند که کدام قوانین امنیتی، جلوی درخواست‌ها را گرفته‌اند یا آن‌ها را به عنوان تهدید شناسایی کرده‌اند.

این امکان وجود دارد که پیش از فعال‌سازی کامل WAF در حالت جلوگیری (Blocking Mode)، از حالت شناسایی برای تحلیل لاگ‌های حمله استفاده کنید. این بررسی به شما کمک می‌کند مطمئن شوید که تشخیص‌ها از نوع false positive نیستند. منظور از false positive، حالتی است که یک درخواست سالم به اشتباه به عنوان حمله شناسایی می‌شود.

برای انجام این بررسی، وارد بخش لاگ‌های WAF شوید و روی لاگ مشکوک به false positive کلیک کنید. پنجره‌ای باز می‌شود که اطلاعاتی مانند آدرس IP، نوع تهدید شناسایی‌شده و شناسه‌ رول (با عنوان id) که باعث این تشخیص شده است را نمایش می‌دهد.

در مرحله بعد، می‌توانید این شناسه را کپی کرده و به منوی «دیوار آتش وب» بازگردید. سپس گزینه ویرایش مقابل بسته امنیتی فعال WAF (مثلا بسته امنیتی Abalon) را کلیک کنید. در ادامه، شناسه مورد نظر را در آن جستجو کنید. با پیدا کردن قانون مربوطه، این امکان وجود دارد که آن را غیرفعال کنید. با این کار، آن قانون دیگر توسط موتور WAF اجرا نمی‌شود و بسته‌های مرتبط با قانون را مسدود نمی‌کند.

نکته

اگر به طور همزمان بیش از یک بسته WAF را فعال کرده باشید، ممکن است لازم باشد در همه بسته‌های فعال به طور جداگانه شماره شناسه رول را جستجو و رول مربوط به آن را غیر فعال کنید.