Oracle Cloud Free Tier

Uygulama yazılımlarını Oracle Cloud'da ücretsiz olarak oluşturun, test edin ve dağıtın.

Web uygulaması güvenlik duvarı konuları

WAF (Web Uygulaması Güvenlik Duvarı) nedir?

Web uygulaması güvenlik duvarı tanımı

Web uygulaması güvenlik duvarları, web uygulamalarının robotlar, enjeksiyon ve uygulama katmanı hizmet reddi (DoS) dahil olmak üzere kötü amaçlı saldırılara ve istenmeyen internet trafiğine karşı korunmasına yardımcı olur. WAF, IP adresleri, HTTP üstbilgileri, HTTP gövdesi, URI dizeleri, siteler arası betik çalıştırma (XSS), SQL enjeksiyonu ve diğer OWASP tanımlı güvenlik açıkları dahil olmak üzere internet tehditlerini önlemeye yönelik kurallar belirlemenize ve yönetmenize yardımcı olur. Web uygulaması güvenlik duvarı, web'e yönelik uygulamaları korumak ve uyumluluk ve analitikler için erişim günlüklerini toplamak için dağıtılır.

WAF güvenliği neden önemlidir?

Web uygulaması güvenlik duvarları, coğrafi konum verilerine, beyaz listeye ve kara listeye alınmış IP adreslerine, Yardımlı Metin Aktarım Protokolü Tekdüzen Kaynak Bulucu (HTTP URL) ve HTTP üstbilgisine dayalı erişim kontrolleriyle genel bulutta, şirket içinde ve çoklu bulut ortamlarında dağıtılan uygulama yazılımlarının korunmasına yardımcı olur. İnsan ve Bilgisayar Ayrımı (CAPTCHA), cihaz yorumlama ve insan etkileşimi algoritmalarına bildirmek için JavaScript, Tam Otomatik Genel Turing Testi dahil olmak üzere bir dizi gelişmiş doğrulama yöntemi ile kötü amaçlı robot trafiğini belirler ve engeller. WAF'ler, birden çok kaynaktan toplanan entegre tehdit zekası ve Açık Web Uygulaması Güvenlik Projesi (OWASP) algılama kurallarının bir sonucu olarak internete yönelik uygulama yazılımlarını saldırılara karşı korur.

Web uygulaması güvenlik duvarı hizmet bileşenleri

WAF'nin bir dizi bileşeni vardır, özellikle:

  • Web uygulaması güvenlik duvarı ilkesi

    WAF ilkeleri, kaynak yönetimi, koruma kuralı ayarları ve robot algılama özellikleri dahil olmak üzere WAF hizmetinizin genel konfigürasyonunu kapsar.

  • Kaynak

    WAF ilkenizde tanımlandığı gibi, koruma kuralları veya diğer özellikleri ayarlamak için tasarlanmış web uygulamanızın kaynak ana bilgisayar sunucusu.

  • Koruma kuralları

    Koruma kuralları, bir koruma kuralının belirtilen ölçütlerini karşıladıklarında ağ isteklerine izin verecek, engelleyecek veya günlüğe kaydedecek şekilde konfigüre edilebilir. WAF, zaman içinde web uygulamanıza gelen trafiği gözlemleyecek ve uygulanacak yeni kurallar önerecektir.

  • Bot yönetimi

    WAF hizmeti, web uygulamalarınıza gelen tanımlanmış robot trafiğini algılamanıza ve engellemenize veya izin vermenize olanak tanıyan çeşitli özellikler içerir. Robot yönetimi özellikleri arasında JavaScript sorgulaması, CAPTCHA parola kodlaması ve GoodBot beyaz listeleri bulunur. Robot yönetimi çözümleri, web uygulamalarınızdaki şüpheli robot etkinliğini belirlemek ve engellemek için IP hızı sınırlama, CAPTCHA, cihaz parmak izi ve insan etkileşimi parola kodlaması gibi algılama tekniklerini kullanabilir. Aynı zamanda WAF, yasal robot sağlayıcılarından gelen meşru robot trafiğinin bu kontrolleri atlamasına izin verebilir.

WAF özellikleri

Web uygulaması güvenlik duvarlarının özellikleri

WAF'lerin en önemli yetenekleri ve özellikleri şunlardır:

  • Etki alanı sistemi (DNS) aracılığıyla dinamik trafik yönlendirmesi: En düşük gecikme süresine sahip yolları belirlemek için binlerce global konumdan kullanıcı gecikme süresini dikkate alan DNS tabanlı trafik yönlendirme algoritmalarından yararlanır.
  • WAF hizmetlerinin yüksek erişilebilirliği: Web uygulaması dağıtımını konfigüre ederken WAF'ler, birden çok kaynak sunucusu ekleme yeteneğiyle birlikte birkaç yüksek erişilebilirlik konfigürasyonu seçeneği sunabilir. Bu ayarlar, birincil kaynak sunucuların çevrimdışı olduğu veya sağlamlık denetimlerine doğru yanıt vermediği durumlarda kullanılabilir.
  • İlkeleri yönetmek için esnek yöntemler: WAF konfigürasyonları, organizasyonunuzun ihtiyaçlarını karşılamak için özellikleri ve işlevleri konfigüre etmenize ve yönetmenize olanak tanır.
  • İzleme ve raporlama: WAF'ler, kullanıcılara uyumluluk ve analiz için içerik kitaplıklarıyla ilgili raporlara erişme yeteneği verir.
  • Üst merciye iletme: WAF'lerden gelen bilgiler, destek ekiplerine aciliyete bağlı olarak bir bilet düzenleme ve bileti üst merciye iletme yeteneği sağlar.

Bulut tabanlı Web Uygulaması Güvenlik Duvarı Dağıtma

Bulut tabanlı bir WAF, şirket içi, bulut, hibrit ve çoklu bulut dahil olmak üzere birden çok web uygulaması barındırma ortamını desteklemelidir. Bu da WAF'nin, kullanılan altyapı sağlayıcısına bakılmaksızın bir ağ ucunu kötü amaçlı trafikten koruyabileceği anlamına gelir. Doğru bulut tabanlı WAF, nerede bulunursa bulunsun, internete yönelik tüm uygulama yazılımlarının ve API'lerin güvenliğini sağlamak için bağımsız bir platform sunacaktır.

En iyi bulut tabanlı WAF'ler, bir ortamı izleyen ve sorunlar ortaya çıktığında performansı kanıtlanmış tehdit azaltma adımları öneren deneyimli internet güvenliği uzmanlarından oluşan bir ekip tarafından 7/24 yönetilir. Riskin önemli ölçüde azaltılması tönetilen bir WAF hizmetinin avantajları arasında yer alır Bulut sağlayıcısının sorumluluğunda olan WAF konfigürasyonu, izleme, ayarlama ve olay müdahalesi sayesinde yönetim yükü de azaltılır. Sürekli izleme, organizasyonları planlanmamış kapalı kalma sürelerinden ve bunun sonucunda marka itibarına yönelik oluşacak zarardan korur. Ayrıca, yönetilen hizmetler, temel iş görevlerine odaklanmak ve kârlılığı iyileştirmek için daha fazla zaman sağlar. Bulut tabanlı WAF'ler, kaynaklara büyük bir ön yatırım yapmadan veya bakım, donanım değiştirme ve yazılım yükseltmeleriyle ilgili devam eden maliyetler olmadan en yüksek düzeyde web uygulaması güvenliği sağlar. Bulut tabanlı WAF'ler, dağıtım kolaylığı ve öngörülebilir abonelik fiyatlandırması sunarak bütçe planlamasını kolaylaştırır.

Web uygulaması güvenlik duvarlarının avantajları

Web Uygulaması Güvenlik Duvarı (WAF), web uygulamasına veya API'ye yönelik kötü amaçlı istekleri filtreler. Ayrıca, trafiğin nereden geldiği konusunda daha fazla görünürlük sağlar ve uygulama yazılımı erişilebilirliği elde etmeye ve uyumluluk zorunluluklarını daha iyi uygulamaya yardımcı olmak için Katman 7 dağıtılmış hizmet reddi (DDos) saldırıları hafifletilir.

Robot yönetimi çözümü, kötü ve/veya şüpheli robot etkinliğinin rekabetçi veriler için web sitenizi taramasını belirlemek ve engellemek için IP hızı sınırlama, CAPTCHA, cihaz parmak izi ve insan etkileşimi parola kodlaması gibi algılama tekniklerini kullanır. Aynı zamanda WAF; Google, Facebook ve diğerlerinden gelen yasal robot trafiğinin amaçlandığı şekilde web uygulamalarınıza erişmeye devam etmesine izin verebilir. WAF, belirli bir kullanıcıya gerçek zamanlı olarak hizmet sunmak için en iyi global varlık noktasını (POP) belirleyen, veriye dayalı bir algoritma kullanan akıllı bir Etki Alanı Sistemi (DNS) kullanır. Sonuç olarak, kullanıcılara mümkün olan en iyi çalışma süresi ve hizmet seviyeleri sunulurken kullanıcılar global ağ sorunları ve olası gecikme süresi konusunda yönlendirilir.

Oracle Bulut Depolamayı ücretsiz deneyin

Ücretsiz bir Oracle Bulut hesabı, iki Oracle Kendi Kendini Yöneten Veritabanı ve bir dizi başka özellik dahil olmak üzere bir dizi Daima Ücretsiz hizmete erişim sağlar. Bu Her Zaman Ücretsiz kaynaklar, kesintisiz bir şekilde zaman kısıtlamaları olmadan kullanılabilir.