Trong bài viết này, chúng ta sẽ so sánh WAF và Firewall. Firewall là lớp phòng thủ đầu tiên, kiểm soát luồng dữ liệu vào và ra khỏi mạng. Trong khi đó, WAF (Web Application Firewall) tập trung vào bảo vệ các ứng dụng web khỏi các cuộc tấn công cụ thể như SQL Injection hay Cross-Site Scripting.
Xem thêm:
Lịch sử phát triển của Web Application Firewall
Phân loại Firewall – Các loại tường lửa
1. Tổng quan về WAF và Firewall
WAF (Web Application Firewall) là một công cụ bảo mật giúp theo dõi, lọc và chặn các gói dữ liệu đến và đi từ một web application hoặc trang web. WAF bảo vệ lớp ứng dụng và được thiết kế đặc biệt để phân tích từng request HTTP/S ở lớp ứng dụng. WAF thực hiện điều này bằng cách tuân thủ một tập hợp các chính sách (policy) giúp xác định lưu lượng truy cập nào là nguy hại và lưu lượng truy cập nào là an toàn.
– Firewall là một hệ thống bảo mật mạng giám sát lưu lượng truy cập mạng đến và đi, đồng thời cho phép hoặc chặn các gói dữ liệu dựa trên một bộ quy tắc bảo mật. Mục đích của Firewall là thiết lập một hàng rào giữa mạng nội bộ và lưu lượng truy cập đến từ các nguồn bên ngoài (chẳng hạn như internet) để chặn lưu lượng không an toàn như virus và hacker.
2. Sự khác biệt giữa WAF và Firewall
2.1 Sự khác biệt về chức năng
WAF tập trung vào việc đảm bảo an ninh cho lưu lượng mạng ứng dụng trong khi Firewall nhấn mạnh vào một mạng để bảo vệ và giám sát lưu lượng.
Cụ thể, WAF chủ yếu được sử dụng để bảo vệ các ứng dụng, API cho Webhook, sàng lọc dữ liệu, giám sát và chặn lưu lượng đến hoặc đi đến ứng dụng nếu cần. Trong khi đó, Firewall đóng vai trò là ranh giới bảo mật giữa mạng đáng tin cậy và mạng không đáng tin cậy.
2.2 Được đặt ở vị trí khác nhau của mạng
Đây là sự khác biệt cơ bản giữa Firewall và WAF: Firewall hoạt động giống như cách mà biên giới của một quốc gia hoạt động: quét tìm những thứ không được phép ra vào. Nói chung, Firewall được triển khai gần rìa của mạng, điều này làm cho nó trở thành rào cản giữa các mạng đã biết và đáng tin cậy với bất kỳ mạng không xác định nào.
Mặt khác, WAF được đặt trước ứng dụng và máy server, do đó, nó được kích hoạt để cung cấp khả năng bảo vệ chống lại bất kỳ mối đe dọa nào tấn công máy server.
2.3 Sự khác biệt về khả năng bảo mật
Nói chung, Firewall được thiết kế để từ chối hoặc cho phép truy cập vào mạng, ví dụ như chặn truy cập vào nội dung không lành mạnh, hoặc có vấn đề từ phòng máy tính của trường và đăng nhập vào mạng LAN máy tính trong phòng thí nghiệm.
Trong khi đó, WAF thường tập trung vào việc cung cấp khả năng bảo vệ cho các ứng dụng và máy server HTTP/HTTPS để ngăn chặn các mối đe dọa, như tấn công SQL Injection, DDOS, XSS…
2.4 Tập trung vào các lớp khác nhau của mô hình OSI
Mô hình OSI đại diện cho hoạt động và chức năng bên trong của một mạng tiêu chuẩn. Firewall tập trung vào lớp 3 (Network) và lớp 4 (Transport) của mô hình OSI, lớp 3 thường liên quan đến việc truyền các gói giữa các nút trong mạng, lớp 4 của mô hình liên quan đến việc chuyển đổi dữ liệu đến máy đích thông qua một nguồn.
Trong khi đó, WAF tập trung vào lớp 7 (Application) gần người dùng nhất; Lớp 7 thường là phần mềm hoặc giao diện mà người dùng tương tác với mạng.
2.5 Sự khác nhau về số lượng kiểm soát truy cập được cung cấp
Công việc của WAF là tập trung vào việc ngăn chặn các cuộc tấn công vào ứng dụng bằng cách giám sát mạng chứ không phải hạn chế truy cập. Do đó, WAF không tập trung vào kiểm soát truy cập hoặc hạn chế quyền truy cập.
Mặt khác, kiểm soát truy cập là hoạt động chính được thực hiện bằng Firewall. Các cài đặt này thường được tùy chỉnh để phục vụ nhu cầu của người dùng. Firewall sẽ được kích hoạt để từ chối quyền truy cập vào các thư mục, trang web, mạng – chỉ cho phép những người có thông tin đăng nhập phù hợp.
2.6 Firewall và WAF chạy các Thuật toán khác nhau
Vì Firewall và WAF khác nhau về thiết kế và chức năng nên chúng chạy các loại thuật toán khác nhau. WAF chạy các thuật toán phát hiện bất thường, thuật toán heuristic và thuật toán dựa trên chữ ký (Signature Based). Mặt khác, Firewall chạy các thuật toán proxy, thuật toán Packet-Filtering và thuật toán Stateless/Stateful Inspection.
2.7 Cả hai đều có bảo vệ DDOS ở các khu vực khác nhau
Các cuộc tấn công DDOS hoặc DOS là loại tấn công khiến mạng rơi vào tình trạng tê liệt do tình trạng quá tải traffic. Cả Firewall và WAF đều cung cấp một số biện pháp bảo vệ chống lại các cuộc tấn công này ở các khu vực khác nhau.
Vì WAF chủ yếu xử lý các ứng dụng, nên khả năng bảo vệ DDOS của chúng tập trung vào lớp ứng dụng là Lớp 7 của mô hình OSI. Trong khi đó, Firewall bảo vệ chống lại Lớp 3 và 4 của Lớp Mạng.
2.8 Sự khác nhau về chế độ hoạt động
WAF hoạt động ở hai chế độ khác nhau như sau:
– Passive Mode: Chế độ này WAF hoạt động một cách thụ động mà không có hành động nào, điều này khiến mạng ứng dụng không an toàn và chỉ nên được sử dụng cho trường hợp sử dụng thử nghiệm.
– Active Inspection Mode: Trong chế độ này, WAF sẽ liên tục quét và cung cấp khả năng bảo vệ chống lại bất kỳ loại mối đe dọa nào.
Trong khi đó, Firewall cũng hoạt động ở hai chế độ:
– Routed Mode: Đây là chế độ chính của Firewall hoạt động ở Cấp độ 3, thực hiện các giao thức static và routing, và hoạt động tương tự như một bộ định tuyến mạng.
– Transparent Mode: Chế độ này chỉ hoạt động trên Lớp 2 và cho phép chuyển tiếp dữ liệu transparent do kết nối các giao diện, bỏ qua hoàn toàn Lớp 3.
2.9 Sự khác nhau về cấp độ bảo vệ ứng dụng
WAF và Firewall khác nhau về Thiết kế, Chức năng, Vị trí vận hành, do đó chúng cũng có các loại bảo vệ khác nhau được cung cấp ở cấp độ ứng dụng.
Firewall hoạt động ở Lớp 3 và 4 trong Mô hình OSI, điều này cho phép Firewall chuyển dữ liệu giữa các mạng. Mặt khác, chức năng chính của WAF là bảo vệ lớp ứng dụng (Lớp 7) của mạng, do đó nó cung cấp bảo mật cho toàn bộ lớp ứng dụng của mạng, lớp ứng dụng này bao gồm các ứng dụng, máy server, phần mềm và giao diện mà người dùng có quyền truy cập trực tiếp vào mạng.
2.10 Sự khác nhau về use case
WAF được triển khai trong các vùng có liên hệ với internet, bảo vệ các ứng dụng và máy server HTTP/HTTPS. Trọng tâm của nó là sự an toàn của ứng dụng hoặc máy server.
Trong khi đó, Firewall thường có mục đích bảo vệ người dùng cá nhân cũng như mạng của các cá nhân (chẳng hạn như mạng LAN), chúng chủ yếu cung cấp khả năng bảo vệ ở các cấp độ cơ bản của mạng.
Đây là lý do tại sao WAF được triển khai cùng với Firewall để tăng khả năng bảo vệ, mạng trở nên mạnh mẽ và an toàn hơn.
Qua bài viết này, chúng ta đã cùng so sánh WAF và Firewall, nhận ra rằng cả hai công nghệ đều đóng vai trò quan trọng trong việc bảo mật hệ thống mạng. Trong khi Firewall bảo vệ mạng khỏi các mối đe dọa từ bên ngoài, WAF tập trung vào việc ngăn chặn các cuộc tấn công vào ứng dụng web. Hiểu rõ sự khác biệt và ưu điểm của từng loại sẽ giúp doanh nghiệp xây dựng một hệ thống bảo mật toàn diện hơn.
