वेब अनुप्रयोग फ़ायरवॉल (WAF) क्या है?

WAF या वेब एप्लिकेशन फ़ायरवॉल वेब एप्लिकेशन और इंटरनेट के बीच HTTP ट्रैफ़िक को फ़िल्टर और मॉनिटर करके वेब एप्लिकेशन को सुरक्षित रखने में मदद करता है। यह आम तौर पर क्रॉस-साइट जालसाजी, क्रॉस-साइट-स्क्रिप्टिंग (XSS), फ़ाइल समावेशन और SQL इंजेक्शन जैसे हमलों से वेब अनुप्रयोगों की रक्षा करता है। एक WAF एक प्रोटोकॉल लेयर 7 डिफेंस (OSI मॉडल में) है, और यह सभी प्रकार के हमलों से बचाव के लिए नहीं बनाया गया है। हमले के शमन की यह विधि आमतौर पर उपकरणों के एक सूट का हिस्सा है जो एक साथ हमले वैक्टर की एक श्रृंखला के खिलाफ एक समग्र रक्षा बनाते हैं।

वेब एप्लिकेशन के सामने एक WAF तैनात करके, वेब एप्लिकेशन और इंटरनेट के बीच एक शील्ड लगाई जाती है। जबकि एक प्रॉक्सी सर्वर एक मध्यस्थ का उपयोग करके क्लाइंट मशीन की पहचान की रक्षा करता है, एक WAF एक प्रकार का रिवर्स-प्रॉक्सी है, सर्वर तक पहुंचने से पहले ग्राहकों को WAF से गुजरने से सर्वर को जोखिम से बचाता है।

WAF नियमों के एक सेट के माध्यम से संचालित होता है जिसे अक्सर नीतियां कहा जाता है। ये नीतियां दुर्भावनापूर्ण ट्रैफ़िक को फ़िल्टर करके अनुप्रयोग में भेद्यताओं से बचाने के लिए लक्षित हैं। एक WAF का मूल्य उस गति और आसानी से आता है जिसके साथ नीति संशोधन को लागू किया जा सकता है, जिससे हमलावर डॉक्टर्स को तीव्र प्रतिक्रिया मिल सके; DDoS हमले के दौरान, WAF नीतियों को संशोधित करके दर सीमित किया जा सकता है।

ब्लॉकलिस्ट और अनुमतिसूची WAF के बीच क्या अंतर है?

WAF जो एक ब्लॉकलिस्ट (नकारात्मक सुरक्षा मॉडल) पर आधारित है, जो ज्ञात हमलों से बचाता है। एक क्लब बाउंसर के रूप में एक ब्लॉकलिस्ट WAF के बारे में सोचें, जो ड्रेस कोड को पूरा नहीं करते हैं, जो मेहमानों के लिए प्रवेश से इनकार करते हैं। इसके विपरीत, एक अनुमत सूची (सकारात्मक सुरक्षा मॉडल) पर आधारित एक WAF केवल पहले से स्वीकृत ट्रैफ़िक को स्वीकार करता है। यह एक विशेष पार्टी में बाउंसर की तरह है, वह केवल उन लोगों को स्वीकार करता है जो सूची में हैं। ब्लॉकलिस्ट और भत्ते दोनों के अपने फायदे और कमियां हैं, यही वजह है कि कई WAF एक हाइब्रिड सुरक्षा मॉडल की पेशकश करते हैं, जो दोनों को लागू करता है।

नेटवर्क-आधारित, होस्ट-आधारित और क्लाउड-आधारित WAF क्या हैं?

WAF को तीन अलग-अलग तरीकों से लागू किया जा सकता है, जिनमें से प्रत्येक के अपने लाभ और कमियाँ हैं:

नेटवर्क-आधारित WAF आमतौर पर हार्डवेयर-आधारित होता है। चूंकि वे स्थानीय रूप से स्थापित हैं, वे विलंबता को कम करते हैं, लेकिन नेटवर्क-आधारित WAF सबसे महंगे विकल्प हैं और उन्हें भौतिक उपकरणों के भंडारण और रखरखाव की भी आवश्यकता होती है।

होस्ट-आधारित WAF को पूरी तरह से एक एप्लिकेशन के सॉफ़्टवेयर में एकीकृत किया जा सकता है। यह समाधान नेटवर्क-आधारित WAF से कम खर्चीला है और अधिक अनुकूलन क्षमता प्रदान करता है। होस्ट-आधारित WAF का नकारात्मक पक्ष स्थानीय सर्वर संसाधनों की खपत, कार्यान्वयन जटिलता और रखरखाव लागत है। इन घटकों को आमतौर पर इंजीनियरिंग समय की आवश्यकता होती है, और महंगा हो सकता है।

क्लाउड-आधारित WAFs एक किफायती विकल्प प्रदान करता है जिसे लागू करना बहुत आसान है; वे आम तौर पर एक टर्नकी इंस्टॉलेशन की पेशकश करते हैं जो ट्रैफ़िक को पुनर्निर्देशित करने के लिए DNS में बदलाव जितना आसान है। क्लाउड-आधारित WAFs की एक न्यूनतम अपफ्रंट लागत भी है, क्योंकि उपयोगकर्ता सेवा के रूप में सुरक्षा के लिए मासिक या वार्षिक भुगतान करते हैं। क्लाउड-आधारित WAFs एक समाधान की पेशकश कर सकते हैं जो उपयोगकर्ता के अंत में बिना किसी अतिरिक्त काम या लागत के नवीनतम खतरों से बचाने के लिए लगातार अपडेट किया जाता है। क्लाउड-आधारित WAF का दोष यह है कि उपयोगकर्ता तृतीय-पक्ष को जिम्मेदारी सौंपते हैं, इसलिए WAF की कुछ विशेषताएं उनके लिए एक ब्लैक बॉक्स हो सकती हैं। Cloudflare के क्लाउड-आधारित WAF समाधान के बारे में जानें।