WAF (Web Application Firewall) කියන්නේ මොකක්ද? - Website එකේ "Private Security Guard" ගැන දැනගමු!
මචං, ඔයා කවදාහරි දැකලා තියෙනවද Night Club එකකට යද්දි දොරකඩ ඉන්න බාප්පලා වගේ Security Guards ලා? ටිකට් තියෙන, ඩීසන්ට් පිට ඉන්න කට්ටියට විතරයි ඇතුලට යන්න දෙන්නේ. වලි දාගන්න එන, පිස්සු කෙළින සෙට් එක එළියෙම නවත්තනවා. අන්න ඒ වගේ තමයි Internet එකේදී WAF (Web Application Firewall) එකක් කියන්නේ.
සරලවම කිව්වොත්, WAF එකක් කියන්නේ ඔයාගේ Web Application එකයි Internet එකයි අතර මැද ඉන්න Security Guard කෙනෙක්. එයා බලන් ඉන්නේ ඔයාගේ සයිට් එකට එන Traffic දිහා. හොඳ එවුන්ට එන්න දෙනවා, හැබැයි Malicious Traffic (ඒ කියන්නේ හැකර්ලා, වෛරස් කෑලි) දැක්ක ගමන් එළියෙම නවත්තනවා.
Web Application Firewall (WAF) එක වැඩ කරන්නේ කොහොමද?
දැන් අපි බලමු මේකේ ඇතුලේ වැඩේ වෙන විදිය. සාමාන්යයෙන් ඔයා Browser එකෙන් Website එකකට යද්දි Request එක කෙලින්ම Server එකට යනවා. හැබැයි WAF එකක් තියෙනකොට කතාව වෙනස්.
- Step 1: User යවන HTTP/HTTPS Request එක මුලින්ම යන්නේ WAF එකට.
- Step 2: WAF එක එතනදී පොඩි "Body Check" එකක් දානවා. URL එක, Headers, Cookies, සහ Parameters ඔක්කොම Inspect (පරීක්ෂා) කරනවා.
- Step 3: ඊට පස්සේ WAF එකේ තියෙන Rules එක්ක මේක මැච් කරලා බලනවා.
- Safe නම් → "අවුලක් නෑ මචං පලයන්" කියලා Server එකට යවනවා.
- Suspicious (සැකයි) නම් → එතනම Block කරනවා!
මේ process එක වෙන්නේ OSI Model එකේ 7 වෙනි Layer එකේ (Application Layer). ඒ කියන්නේ සාමාන්ය Firewall එකකට අල්ලගන්න බැරි සියුම් Vulnerabilities මේ WAF එකෙන් අල්ලගන්නවා.
ඇයි බං අපිට WAF එකක් ඕන වෙන්නේ? (Risk එක මොකක්ද?)
නිකමට හිතන්න ඔයාගේ ගෙදර දොර ජනෙල් ඇරලා දාලා නිදාගන්නවා කියලා. ඕන හොරෙක්ට එන්න පුළුවන් නේද? WAF එකක් නැති Website එකක් කියන්නෙත් අන්න ඒ වගේ තමයි. WAF නැත්තම් වෙන්න පුළුවන් දේවල් ටිකක් මෙන්න:
- Data Breach: ඔයාගේ යූසර්ලාගේ Passwords, Credit Card details උස්සන්න පුළුවන්. මේ ගැන වැඩි විස්තර IBM Security එකෙන් බලාගන්න පුළුවන්.
- Website Defacement: හැකර් කෙනෙක් ඇවිත් ඔයාගේ සයිට් එකේ හෝම් පේජ් එක වෙනස් කරලා, විකාර ෆොටෝ දාලා යන්න පුළුවන්.
- Downtime: සයිට් එකට එකපාරටම ලොකු ට්රැෆික් එකක් එවල (DDoS Attacks), සයිට් එක ඩවුන් කරන්න පුළුවන්.
- Zero-day Exploits: අලුතින් හොයාගත්ත සොෆ්ට්වෙයා ලෙඩක් (Bug) ආවොත්, ඒකට Patch එකක් එනකම් සයිට් එක බේරගන්න WAF එකට පුළුවන් (Virtual Patching).
ලෝකේ තියෙන ප්රසිද්ධම WAF Tools මොනවද?
දැන් ඔයාට හිතෙනවා ඇති "හරි මචං, මගේ සයිට් එකටත් එකක් දාගන්න ඕන" කියලා. Market එකේ තියෙන සුපිරිම බඩු ටිකක් මෙන්න. ඔයාගේ Budget එකයි, Requirement එකයි අනුව තෝරගන්න පුළුවන්.
1. Cloud-based WAF (ලොකු වැඩ කෑලි නැතුව ලේසියෙන් දාගන්න)
මේවා තමයි දැන් ගොඩක්ම Famous. මොකද මේවා manage කරන්න ලේසියි.
- Cloudflare WAF - අපි කවුරුත් දන්න සුපිරිම බාණ්ඩේ. Free plan එකෙත් සෑහෙන වැඩක් කරගන්න පුළුවන්.
- AWS WAF - Amazon Web Services පාවිච්චි කරන අයට මේක තමයි Best option එක.
- Azure Web Application Firewall - Microsoft Azure එක්ක වැඩ කරන අයට.
- Google Cloud Armor - Google ලගේ බලගතු security system එක.
2. On-Premise / Open Source WAF (වැඩ්ඩොන්ට විතරයි)
ඔයාටම server එකක් run කරලා, ටිකක් ගැඹුරට වැඩේ කරන්න ඕන නම් මේවා බලන්න.
- ModSecurity - ලෝකේ පරණම සහ ප්රසිද්ධම Open source WAF එකක්.
- OWASP CRS - Security ගැන ඉගෙන ගන්නවනම් අනිවාර්යයෙන් බලන්න ඕන තැනක්.
- F5 Advanced WAF - Enterprise level එකේ ලොකු Company වලට හරියන එකක්.
- Imperva WAF - තවත් සුපිරි paid option එකක්.
අවසාන වශයෙන්...
මචං, අද කාලේ Website එකක් කරනවා කියන්නේ නිකන්ම HTML ෆයිල් එකක් අප්ලෝඩ් කරනවා කියන එක නෙවෙයි. Data කියන්නේ රත්තරන් වගේ දෙයක්. ඒ නිසා ඔයා පොඩි බ්ලොග් එකක් කළත්, ලොකු E-commerce සයිට් එකක් කළත් WAF එකක් දාගන්න එක අනිවාර්යයි. නැත්තම් කවදාහරි උදේ නැගිටිද්දී සයිට් එක "Hacked" කියලා වැටිලා තිබ්බොත් අඬන්න තමයි වෙන්නේ.
ඔයාලගේ සයිට් වලට පාවිච්චි කරන Security methods ගැන පල්ලෙහායින් Comment එකක් දාගෙන යන්න. තව මේ වගේ Cyber Security ලිපි ඕන නම් අපේ OneReddak එකේ සෙට් වෙලා ඉන්න!