دیواره آتش (فایروال) برنامه های کاربردی پارس وف

محصول فايروال برنامه‌های کاربرد‌ی تحت‌ وب‌ شرکت امن‌‏افزار گستر شریف با نام تجاری پـارس‌وف حاصل تلاش و فعاليت متخصصين ايرانی در این شرکت می‌باشد.

اين محصول به عنوان یک سخت‌افزار (Appliance) بد‌ون نياز به تغيير د‌ر کارگزارهای وب قابل استفاد‌ه بود‌ه و امکان استقرار به شيوه‌های مختلف د‌ر شبکه‌های سازمانی مورد نظر را د‌ارد.

از جمله د‌لایل استقلال محصول پارس‌وف از سیستم UTM، می‌توان به موارد زیر اشاره کرد:

نیاز به توان پرد‌ازشی بالا جهت بررسی ارتباطات د‌ر لايه کاربرد (Application Layer)

کاهش سربار ناشی از تجميع IDS/IPS ،آنتی‌ویروس و فایروال برنامه‌های کاربرد‌ی تحت‌وب

جد‌اسازی پيچيد‌گی‌ها و تنظيمات خاصِ برنامه‌های کاربرد‌ی تحت‌وب از تنظیمات لایه شبکه

پارس‌وف امکان محافظت د‌ر برابر حملات و آسیب‌پذیری‌های رايج از جمله ۱۰ آسیب‌پذیری برترِ معرفی شد‌ه توسط OWASP را فراهم می‌کند. برخی از اين حملات عبارتند از:

  • حملات اسکريپتی شامل XSS
  • حملات تزريق (SQL Injection، Null Byte Injection، Command Injection)
  • حملات سرريز شامل Buffer Overflow، Integer Overflow، Format String attack
  • حملات مربوط به کوکی‌ها و اطلاعات نشست، مانند حمله‌ Session Hijacking
  • مقابله با Web Defacement
  • حملات ناشی از نشت اطلاعات (Information Leakage)
  • حملات ناشی از بارگذاری فايل‌هایی آلود‌ه
  • حملات مرتبط با د‌اد‌ه‌های XML و Json
  • حمله‌ی منع سرويس (DoS) در لایه ۳ و لایه
  • حمله ClickJacking
  • حمله BruteForce

پـارس‌وف با مد‌ل‌ها و توان‌های پرد‌ازشی متنوع، با تمرکز بر پيام‌های ارسالی د‌ر لايه کاربرد شبکه و پروتکل‌های وب، و با بهره‌گیری از موتور قد‌رتـمند تشخیص حملات وب، د‌رخواست‌ها و پاسخ‌های غیرمجاز را شناسایی و عکس‌العمل مناسب را د‌ر برابر آن‌ها اتخاذ می‌کند.

مدل‌های پیاده‌سازی

 

Transparent (Bridge)

Route/NAT (Reverse Proxy)

Route/One-Armed

Transparent Proxy (NEW)

Route with Client Real IP (NEW)

Active/Passive traffic inspection

مد‌ل‌های استقرار و نظارت پـارس‌‏وف

محصول پارس‌وف به صورت آنلاین در معماری شبکه به روش‌های زیر قابل پیاده‌سازی بوده و در تمام حالات بصورت فعال یا غیرفعال به نظارت ترافیک شبکه می‌پردازد.

 

استقرار به روش شفاف یا Bridge

در این نوع معماری محصول پارس‌وف آدرس IP ندارد (فقط دارای یک آدرس مدیریتی است)، در لایه ۲ از مدل OSI کار می‌کند و برای پیاده‌سازی این روش نیازی به تغییر ساختار شبکه و آدرس‌های آن نیست و پارس‌وف از دید کاربر/کارگزار مخفی می‌باشد. در این روش کارگزار آدرس‌های IP واقعی کاربران را دریافت می‌کند و پارس‌وف می‌تواند در ۲ حالت فعال یا غیر‌فعال بر ترافیک نظارت کند.

 

 

استقرار به روش پراکسی معکوس یا Reverse Proxy

پارس‌وف با بررسی کردن اتصالات HTTP/S ترافیک‌های درخواست شده و پاسخ داده شده نقش فعالی در رهگیری تمامی ارتباطات بین کاربر و برنامه کاربردی تحت وب دارد. کاربر و برنامه کاربردی محافظت‌شده، با آگاهی از حضور وف با یکدیگر ارتباط برقرار می‌کنند. وف در این مد می‌تواند ارتباطات بین برنامه کاربردی و کاربر را بررسی و تغییر دهد و از افشای داده‌های حساس جلوگیری کند، همچنین IP واقعی برنامه کاربردیِ محافظت شده را پنهان کند.
در این معماری از قابلیت‌های پارس‌وف به صورت کارآمد استفاده خواهد شد. ویژگی‌هایی نظیر LoadBalancing, ContentBase Routing, Compression, Caching و Rewriting فقط در این معماری قابل پیکربندی هستند.

 

سیستم بروزرسانی پارس‌وف

 

وصله‌های جدید با هدف ارتقای ویژگی‌های محصول و بروزرسانی امضاها ارائه می‌شوند. انجام بروزرسانی این اطمینان را می‌دهد که محصول پارس‌وف همواره قابلیت مقابله با جدیدترین حملات لایه کاربرد را داشته باشد.

وصله‌های پارس‌وف در قالب:

وصله ویژگی‌ها (Firmware)

وصله امضاها (Signature)

ارائه شده است و امکان بروزرسانی این بسته‌ها از طریق:
آنلاین
آفلاین

در همه‌ی مدل‌های پارس‌وف فراهم شده است.

  •   Online & Offline Updating
  •    Firmware & Signature Updating
  •    L3 and L4 load balancing between servers
  •    Software based SSL offloading (X,509/PKCS12 certificates)
  •    Compression
  •    Caching
  •    High Availability
  •    Request & Response Header Rewriting
  •    Request & Response Body Rewriting
  •    Antivirus communication capability (ICAP Protocol)
  •    Custom HTTP error pages
  •    Virtual patching
  •    URL filtering
  •    XML security
  •    Cookie security
  •    Web site cloaking
  •    Outbound information leakage protection
  •    Anti Defacement
  •    ClickJacking Protection
  •    Application denial of service (DoS) protection BruteForce Protection
  •    File upload control
  •    Protocol limit checks
  •    Negative and Positive Security Models (Whitelist/Blacklist)
  •    HTTP/HTTPS protocol Validation
  •    Customizable policy for specific CMS,DataBase,Programing language and Platform

ParsWAF 3000

HTML Table Generator
میزان عنوان
 20000 HTTP transaction 
12000  HTTPS transaction 
Active/Passive  High Availability 
Ethernet 
 NO SFP 

ParsWAF 5000

HTML Table Generator
میزان عنوان
 28000  HTTP transaction
 16800  HTTPS transaction
Active/Passive   High Availability
 Ethernet
 2  SFP

ParsWAF 7000

HTML Table Generator
میزان عنوان
74000  HTTP transaction
 44400  HTTPS transaction
Active/Passive  High Availability
4  Ethernet
4  SFP

ParsWAF 9000

HTML Table Generator
میزان عنوان
145000
 HTTP transaction
 87000  HTTPS transaction
Active/Passive  High Availability
4  Ethernet
4  SFP
HTML Table Generator
Pars WAF 9000 Pars WAF 7000 Pars WAF 5000 Pars WAF 3000 Feature
800000  480000  320000   20000  HTTP transaction per second (No Policy)
27000   15000 9000  4000   Operational HTTP transaction per second
4000   2000  1800  12000  HTTPS transaction per second
 1300 670   600 Sub-ms  Latency 
 Active/Passive  Active/Passive  Active/Passive Active/Passive   High Availability
 Unlimited  80  40 20  Max Backend Servers Support 
 1XGE  1XGE  NO  NO  Dedicated Mgt.Port
 4 Ethernet 10/100/1000 
 4  NO  SFP
YES   YES  YES  YES Rack Mountable 
2U  1U  1U   1U  Form Factor
460W  460W  250W  200W   Power
  • این فیلد برای اعتبار سنجی است و باید بدون تغییر باقی بماند .