دیواره آتش لایه کاربرد

یک دیواره آتش لایه کاربرد شکلی از دیواره آتش (فایروال) است که ورودی خروجی یا دسترس پذیری از، به یا به وسیله یک برنامه کاربردی یا سرویس را کنترل می‌نماید. فایروال(دیواره آتش)؛ از طریق نظارت و مسدود نمودن بالقوهٔ ورودی و خروجی یا فراخوانی‌های سیستم خدمات که سیاست پیکربندی فایروال را برآورده نمی‌کنند(از آنها تبعیت نمی‌کنند)، عمل می‌نماید.

فایروال نرم‌افزاری معمولاً به منظور کنترل کلیهٔ ترافیک (ارتباطات) شبکه‌ای بر روی لایهٔ OSI تا لایهٔ کاربردی ساخته می‌شود و بر خلاف یک فایروال شبکه‌ای حالتمند (stateful) که بدون داشتن نرم‌افزار قادر به کنترل ترافیک شبکه در خصوص یک برنامه یا یک نرم‌افزار خاص نیست، می‌تواند برنامه‌های کاربردی و سرویس‌ها را به‌طور خاص کنترل نماید. دو دستهٔ اصلی فایروال‌های نرم‌افزاری عبارتند از

• دیواره آتش نرم‌افزاری مبتنی بر شبکه
• دیواره آتش نرم‌افزاری مبتنی بر میزبان (رایانه).

یک فایروال لایهٔ نرم‌افزاری مبتنی بر شبکه یک فایروال شبکه کامپیوتری است که در لایهٔ کاربردی یک پشتهٔ پروتکل عمل می‌کند؛ و هم چنین به عنوان یک فایروال مبتنی بر بر پروکسی یا فایروال پروکسی معکوس شناخته می‌شود. فایروال‌های کاربردی مختص به یک نوع خاص از ترافیک شبکه ممکن است بر اساس عنوان آن سرویس نام‌گذاری گردند. این فایروال‌ها می‌توانند از طریق یک نرم‌افزار در حال اجرا بر روی یک میزبان یا قطعهٔ مستقل سخت افزارشبکه پیاده‌سازی گردند.

همچنین قادر به برداشتن رمزگذاری از سرویس دهنده‌ها، مسدود نمودن ورودی/خروجی برنامهٔ کاربردی از نفوذهای شناسایی شده یا ارتباطات ناهنجار، مدیریت یا بهبود احراز هویت یا مسدود نمودن محتواهای مغایر با سیاست‌ها هستند.

ژان اسپافورد از دانشگاه پوردو، بیل چشیک از آزمایشگاه‌های AT&T و مارکوس رافورم، نسل سومی از فایروال‌ها که با عنوان فایروال‌های لایه کاربردی شناخته می‌شوند را توصیف نمودند. کار مارکوس رافررم در زمینهٔ تکنولوژی منجر به تولید اولین محصول تجاری گردید. این محصول توسط DES و با نام DES SEAL به بازار عرضه شود.TIS تحت یک قراردا گسترده‌ترDARPA، گیت کیت (ابزار) فایروال(FWTK) را بسط کرده و آن را در اوا اکتبر ۱۹۹۳تحت لیسانس به‌طور رایگان در دسترس قرار داد. اهداف انتشار رایگان FWTK نه استفادهٔ تجاری بلکه محقق ساختن سه مورد زیر است:

• اولاً شرکت قصد داشت تا از طریقز نرم‌افزار، مستندات و روش‌های به کار گرفته شده نشان دهد که چگونه شرکتی با ۱۱ سال تجربه در زمینهٔ روش‌های امنیتی رسمی و برخورداری از پرسنل با تجربه در خصوص فایروال‌ها موفق به توسعهٔ چنین نرم‌افزار فایروال گردیده‌است.
• ثانیاً منظور از این اقدام ایجاد یک پایهٔ مشترک از نرم افزاذهای فایروال بسیار خوب برای سایرین بود تا محصولات خود را بر این اساس تدریجاً بسط دهند. سومین مسئله نیز ارتقای استاندارد نرم‌افزار فایروال به کار گرفته شده بود.

فایروال‌های کاربدری مبتنی بر میزبان(host):یک فایروال کاربردی مبتنی بر میزبان قابلیت نظارت و کنترل بر هر گونه ورودی و خروجی برنامه‌های یا فراخوانی‌های سیستم خدمات از، یا توسط یک برنامهٔ کاربردی را داراست. این عمل به وسیله بررسی اطلاعات عبوری از طریق فراخوانی‌های سیتم، در عوض یک پشتهٔ شبکه‌ای ویا علاوه بر آن صورت می‌پذیرد. فایروال‌های کاربردی از طریق تعیین ضرورت قبول هرگونه اتصال داده شده به وسیلهٔ یک فرایند عمل می‌کنند. عملکرد فایروال‌های کاربردی بیشتر شبیه به یک غفیلتر بستهٔ اطلاعاتی می‌باشد. اما فیلترهای کاربردی به جای اعمال اتصالات فیلترینگ بر یک مبنای فرایندی، قوانین فیلترینگ (اجازه/انسداد) را بر یک مبنای پورتی اعمال می‌نمایند. به‌طور کلی نشانه‌های ورودی به منظور تعریف قوانین برای فرایندهایی که هنوز اتصالی دریافت نکرده‌اند به کار گرفته می‌شوند. به ندرت می‌توان فایروال‌های برنامه‌های کاربردی‌ترکیب نشده با یک فیلتر بسته‌ای را یافت. فایروال‌های برنامه‌های کاربردی علاوه بر این اتصالات را از طریق بررسی ID ی فرایند بسته‌های اطلاعاتی در مقابل یک مجموعهٔ قوانین برای فرایند موضعی درگیر در انتقال اطلاعات، فیلتر می‌نمایند. با توجه به تنوع نرم‌افزارهای موجود، فایروال‌های کاربردی تنها مجموعه قوانین پیچیده تری برلی سرویس‌های استانداردی از قبیل سرویس‌های اشتراک داراست. این مجموعهٔ قوانین هر فرایند تأثیر فیلترینگ هر بستگی متحمل که ممکن است با سایر فرایندها رخ دهد را محدود ساخته و هم چنین قابلیت پشتیبانی در برابر تغییر و اصلاح فرایند از طریق سو استفاده‌هایی نظیر سوءاستفاده از فساد حافظه را ندارند. به دلیل وجود همین محدودیت هاست که فایروال‌های نرم‌افزاری کم‌کم جای خود را به نسل جدیدی از فایروال‌ها که برای پشتیبانی از سرویس‌های آسیب‌پذیر بر کنترل دسترسی اجباری مک (ابهام‌زدایی) تکیه دارند.

به منظور نمایش بهتر این مفهوم، برخی نمونه‌های فایروال کاربردی ویژه در این بخش برشمرده شده‌است.

فایروال‌های کاربردی مختلفی در حال حاضر در دسترسند که هم دربرگیرندهٔ نرم‌افزارهای رایگان و منبع باز و هم محصولات تجاری هستند.

سیستم عامل فوق شامل پیاده‌سازی چارچوب TRUSTED BSD MAC است که از FREE BSD گرفته شده‌است. همان‌طور که APP ARMOR برای هدفی مشابه در برخی توزیعات لینوکس مورد استفاده قرار گرفته‌است. فایروال‌های کاربردی قرار گرفته در تنظیمات سیستم عامل اواس ده، پس از نسخهٔ لئوپارد قابلیت این نوع فایروال را تا میزان محدودی از طریق به‌کارگیری برنامه‌های امضاکننده کد CODE SIGNING افزوده شده به فهرست فایروال را فراهم می‌کند. در اکثر بخش‌ها این فایروال کاربردی تنها به مدیریت اتصالات شبکه می‌پردازد به این شکل که با انجام بررسی‌هایی از هدایت شدن اتصالات ورودی به سمت یکی از برنامه‌های موجود در فهرست فایروال و تبعیت آن‌ها از قانون (اجازه/انسداد) تعیین شده برای آن برنامه‌ها اطمینان حاصل می‌کند.

موارد زیر نشان دهندهٔ فهرستی از بسته‌های نرم افزلری امنیتی برای لینوکس هستد که اجازهٔ فیلتر کردن برنامه به برقراری ارتباط سیتم عامل احتمالاً بر یک مبنای کاربردی را می‌دهند.

• وینگیت WinGate
• وین روت WinRoute

این دستگاه‌ها به عنوان لوازم سخت‌افزار شبکه به فروش می‌رسند

فایروال‌های کاربردی تخصصی یک مجموعهٔ سرشار از امکانات و ویژگی‌ها را در جهت پشتیبانی و کنترل یک برنامه یا نرم‌افزار خاص ارائه می‌کنند. اکثر فایروال‌های کاربردی تخصصی لوازم شبکه مربوط به نرم‌افزارهای وب هستند.

حملات هکری بزرگ مقیاس به سرویس دهندگان وب مانند سوءاستفاده PHF CGI سال ۱۹۹۶ منجر به تحقیق و بررسی در زمینه مدل‌های امنیتی برا حمایت از برنامه‌های تحت وب گردید.

این مسئله سرآغاز خانواده تکنولوژی فاروال برنامه تحت وب WAF نام برده می‌شود. در سال ۲۰۰۴ فروشندگان امنیت و مدیریت گستردهٔ ترافیک عمدتاً در فضای لایهٔ شبکه از طریق یک جنبش ترکیب و ادغام ‚ وارد بازار waf شدند.

حرکت کلیدی در این میان ‚ اقدام صورت گرفته توسط fs در جهت دستیابی به سیستم‌های وب ذره بینی و یکپارچه سازی راه حل نرم‌افزاری اخیر ترافیک شیلد traffic schield و سیستم مدیریت ترافیک پیشین بیگ آی پی BIG IP بود. در همان سال بود که FS به APP SCHIELD دست پیدا کرد و این تکنولوژی را متوقف نمود. تحکیم‌های بیشتر در سال ۲۰۰۶ و با دست یابی PROTEGRITY و خرید سیستم‌های سیتریکس CITRIX از تروس TEROS به وقوع پیوست. تا این زمان بازار WAF تحت سلطه ارائه دهندگان خدمات نیچه NICHE که تمرکز اصلیشان بر روی امنیت لایهٔ کاربردی تحت وب بود‚ قرار داشت. از این نقطه به بعد بازار WAF به شکلی قاطعانه به سمت یکپارچه‌سازی محصولات WAF با تکنولوژی‌های شبکه‌ای گسترده تعادل بارگذاری و سریس دهندگان برنامه‌های کاربردی ‚ فایروال‌های شبکه و غیره هدایت شد و موج سریعی از تغییر علامت تجاری ‚ تغییر نام و تغییر موقعیت WAF آغاز گردید.

فایروال‌های نرم‌افزاری تحت وب توزیع شده که Dwaf نیز نامیده می‌شود. جزئی از فایروال‌ها ی کاربردی تحت وب (WAF) و خانواده تکنولوژی‌های امنیتی برنامه‌های کاربردی تحت وب به‌شمار می‌روند.

فایروال‌های برنامه‌های کاربردی تحت وب مبتنی بر فضای ابر نیز جزئی از فایروال‌های برنامه‌های کاربردی تحت وب (WAF) و خانوادهٔ تکنولوژی امنیتی نرم‌افزارهای تحت وب می‌باشند. این تکنولوژی از این جهت که وابسته به بسترهای نرم‌افزاری نبوده و نیازمند هیچ گونه تغییر سخت‌افزاری یا نرم‌افزاری در میزبان (host) نمی‌باشد. فناوری منحصربه‌فردی است.

تمامی ارائه دهندگان به جز یک مورد نیازمند یک تغییر pns می‌باشند؛ که در آن کلیهٔ ترافیک وب از طریق waf یعنی جاییکه در آن فرایند بازرسی و خنثی سازی تهدیدات صورت می‌پذیرد‚ هدایت می‌گردد. Waf مبتنی بر فضای ابر نوعاً هماهنگ متمرکز هستند بدین معنی که اطلاعات ردیابی تهدید در میان تمامی متصرفان سریس به اشتراک گذاشته شده‌است. نتیجهٔ این همکاری بهبود نرخ و سرعت ردیابی می‌باشد.

سایبر شیلد(xyber schield)

تنها waf مبتنی بر فضای ابر است که مستلزم یک تغییر pns نمی‌باد اما در عوض متکی بر یک اسکریپت K4 ای موضعی و ارتباط ثابت با سرویس سراسری در ۵۵ نقطه می‌باشد.

• در سال ۲۰۱۰ ایمپردا imperda) ‚ اینکپسولا (incopsala) را به منظور فراهم ساختن یک waf مبتنی بر فضای ابر برای تجارت‌های کوچک یا متوسط گسترش بخشید.
• پس از سال ۲۰۱۱‚ارایه دهندگان خدمات امنیتی یک سرور ورودی ایمن را به عنوان فایروال کاربردی تحت وب مبتنی بر فضای ابر Amazon EC2 ارائه می‌کنند.
• فناوری‌های آکامی (Akami)

یک waf مبتنی بر فضای ابر را که ویژگی‌های پیشرفته نظیر کنترل سرعت و قواعد دلخواه را به هم آویخته‌است‚ عرضه خواهد کرد که این مسئله قابلیت مقابله با حملات DDOS ولایهٔ ۷را در اختیار آن قرار می‌دهد.

• از سال ۲۰۱۲ به بعد‚کمپانی سیستم‌های امنیتی پنتا یک WAF مبتنی بر فضای ابر بانام سری ** را با مشارکت راهبردی با ISPهای مانند KT کره به عموم عرضه خواهد نمود.

• Wikipedia contributors, "Application firewall," Wikipedia, The Free Encyclopedia, http://en.wikipedia.org/w/index.php?title=Application_firewall&oldid=499534555 (accessed July 16, 2012).