دیواره آتش (فایروال) برنامه های کاربردی پارس وف
محصول فايروال برنامههای کاربردی تحت وب شرکت امنافزار گستر شریف با نام تجاری پـارسوف حاصل تلاش و فعاليت متخصصين ايرانی در این شرکت میباشد.
اين محصول به عنوان یک سختافزار (Appliance) بدون نياز به تغيير در کارگزارهای وب قابل استفاده بوده و امکان استقرار به شيوههای مختلف در شبکههای سازمانی مورد نظر را دارد.
از جمله دلایل استقلال محصول پارسوف از سیستم UTM، میتوان به موارد زیر اشاره کرد:
نیاز به توان پردازشی بالا جهت بررسی ارتباطات در لايه کاربرد (Application Layer)
کاهش سربار ناشی از تجميع IDS/IPS ،آنتیویروس و فایروال برنامههای کاربردی تحتوب
جداسازی پيچيدگیها و تنظيمات خاصِ برنامههای کاربردی تحتوب از تنظیمات لایه شبکه
پارسوف امکان محافظت در برابر حملات و آسیبپذیریهای رايج از جمله ۱۰ آسیبپذیری برترِ معرفی شده توسط OWASP را فراهم میکند. برخی از اين حملات عبارتند از:
- حملات اسکريپتی شامل XSS
- حملات تزريق (SQL Injection، Null Byte Injection، Command Injection)
- حملات سرريز شامل Buffer Overflow، Integer Overflow، Format String attack
- حملات مربوط به کوکیها و اطلاعات نشست، مانند حمله Session Hijacking
- مقابله با Web Defacement
- حملات ناشی از نشت اطلاعات (Information Leakage)
- حملات ناشی از بارگذاری فايلهایی آلوده
- حملات مرتبط با دادههای XML و Json
- حملهی منع سرويس (DoS) در لایه ۳ و لایه
- حمله ClickJacking
- حمله BruteForce
پـارسوف با مدلها و توانهای پردازشی متنوع، با تمرکز بر پيامهای ارسالی در لايه کاربرد شبکه و پروتکلهای وب، و با بهرهگیری از موتور قدرتـمند تشخیص حملات وب، درخواستها و پاسخهای غیرمجاز را شناسایی و عکسالعمل مناسب را در برابر آنها اتخاذ میکند.
مدلهای پیادهسازی
Transparent (Bridge)
Route/NAT (Reverse Proxy)
Route/One-Armed
Transparent Proxy (NEW)
Route with Client Real IP (NEW)
Active/Passive traffic inspection
مدلهای استقرار و نظارت پـارسوف
محصول پارسوف به صورت آنلاین در معماری شبکه به روشهای زیر قابل پیادهسازی بوده و در تمام حالات بصورت فعال یا غیرفعال به نظارت ترافیک شبکه میپردازد.
استقرار به روش شفاف یا Bridge
در این نوع معماری محصول پارسوف آدرس IP ندارد (فقط دارای یک آدرس مدیریتی است)، در لایه ۲ از مدل OSI کار میکند و برای پیادهسازی این روش نیازی به تغییر ساختار شبکه و آدرسهای آن نیست و پارسوف از دید کاربر/کارگزار مخفی میباشد. در این روش کارگزار آدرسهای IP واقعی کاربران را دریافت میکند و پارسوف میتواند در ۲ حالت فعال یا غیرفعال بر ترافیک نظارت کند.
استقرار به روش پراکسی معکوس یا Reverse Proxy
پارسوف با بررسی کردن اتصالات HTTP/S ترافیکهای درخواست شده و پاسخ داده شده نقش فعالی در رهگیری تمامی ارتباطات بین کاربر و برنامه کاربردی تحت وب دارد. کاربر و برنامه کاربردی محافظتشده، با آگاهی از حضور وف با یکدیگر ارتباط برقرار میکنند. وف در این مد میتواند ارتباطات بین برنامه کاربردی و کاربر را بررسی و تغییر دهد و از افشای دادههای حساس جلوگیری کند، همچنین IP واقعی برنامه کاربردیِ محافظت شده را پنهان کند.
در این معماری از قابلیتهای پارسوف به صورت کارآمد استفاده خواهد شد. ویژگیهایی نظیر LoadBalancing, ContentBase Routing, Compression, Caching و Rewriting فقط در این معماری قابل پیکربندی هستند.
سیستم بروزرسانی پارسوف
وصلههای جدید با هدف ارتقای ویژگیهای محصول و بروزرسانی امضاها ارائه میشوند. انجام بروزرسانی این اطمینان را میدهد که محصول پارسوف همواره قابلیت مقابله با جدیدترین حملات لایه کاربرد را داشته باشد.
وصلههای پارسوف در قالب:
وصله ویژگیها (Firmware)
وصله امضاها (Signature)
ارائه شده است و امکان بروزرسانی این بستهها از طریق:
آنلاین
آفلاین
در همهی مدلهای پارسوف فراهم شده است.
- Online & Offline Updating
- Firmware & Signature Updating
- L3 and L4 load balancing between servers
- Software based SSL offloading (X,509/PKCS12 certificates)
- Compression
- Caching
- High Availability
- Request & Response Header Rewriting
- Request & Response Body Rewriting
- Antivirus communication capability (ICAP Protocol)
- Custom HTTP error pages
- Virtual patching
- URL filtering
- XML security
- Cookie security
- Web site cloaking
- Outbound information leakage protection
- Anti Defacement
- ClickJacking Protection
- Application denial of service (DoS) protection BruteForce Protection
- File upload control
- Protocol limit checks
- Negative and Positive Security Models (Whitelist/Blacklist)
- HTTP/HTTPS protocol Validation
- Customizable policy for specific CMS,DataBase,Programing language and Platform
ParsWAF 3000
میزان | عنوان |
---|---|
20000 | HTTP transaction |
12000 | HTTPS transaction |
Active/Passive | High Availability |
4 | Ethernet |
NO | SFP |
ParsWAF 5000
میزان | عنوان |
---|---|
28000 | HTTP transaction |
16800 | HTTPS transaction |
Active/Passive | High Availability |
6 | Ethernet |
2 | SFP |
ParsWAF 7000
میزان | عنوان |
---|---|
74000 | HTTP transaction |
44400 | HTTPS transaction |
Active/Passive | High Availability |
4 | Ethernet |
4 | SFP |
ParsWAF 9000
میزان | عنوان |
---|---|
145000 |
HTTP transaction |
87000 | HTTPS transaction |
Active/Passive | High Availability |
4 | Ethernet |
4 | SFP |
Pars WAF 9000 | Pars WAF 7000 | Pars WAF 5000 | Pars WAF 3000 | Feature |
---|---|---|---|---|
800000 | 480000 | 320000 | 20000 | HTTP transaction per second (No Policy) |
27000 | 15000 | 9000 | 4000 | Operational HTTP transaction per second |
4000 | 2000 | 1800 | 12000 | HTTPS transaction per second |
1300 | 670 | 600 | Sub-ms | Latency |
Active/Passive | Active/Passive | Active/Passive | Active/Passive | High Availability |
Unlimited | 80 | 40 | 20 | Max Backend Servers Support |
1XGE | 1XGE | NO | NO | Dedicated Mgt.Port |
4 | 4 | 6 | 4 | Ethernet 10/100/1000 |
4 | 4 | 2 | NO | SFP |
YES | YES | YES | YES | Rack Mountable |
2U | 1U | 1U | 1U | Form Factor |
460W | 460W | 250W | 200W | Power |