Bu maddede bulunmasına karşın yetersizliği nedeniyle bazı bilgilerin hangi kaynaktan alındığı belirsizdir.Nisan 2017) () ( |
Uygulama güvenlik duvarı (İngilizce: Application Firewall), girdi ve çıktıları bir uygulama veya hizmetle denetleyen bir güvenlik duvarı biçimidir . Güvenlik duvarının gerekliliklerini karşılamayan girdi,çıktı ve sistem servis çağrılarını engelleyerek çalışır. OSI Modelindeuygulama katmanı düzeyinde çalışır. OSI katmanı üzerindeki tüm ağ trafiğini uygulama katmanında kontrol etmek için oluşturulmuştur. Belirli bir uygulama olmadan ilgili ağ trafiğini kontrol edemeyen durumlu ağ güvenlik duvarının aksine, uygulamaları veya hizmetleri kontrol edebilir. Uygulama güvenlik duvarları, ağ tabanlı uygulama güvenlik duvarları ve bilgisayar tabanlı uygulama güvenlik duvarları olmak üzere ikiye ayrılır.
Ağ tabanlı uygulama güvenlik duvarı
Ağ tabanlı bir uygulama katmanı güvenlik duvarı, bir iletişim kuralı yığınının uygulama katmanında çalışan bir bilgisayar ağı güvenlik duvarıdır aynı zamanda proxy tabanlı veya ters proxy güvenlik duvarı olarak da bilinir. Belirli bir ağ trafiğine özgü uygulama güvenlik duvarları adıyla da adlandırılırlar, (Ağ uygulaması güvenlik duvarı) buna bir örnektir. Bilgisayarda çalışan bir yazılım veya bağımsız bir ağ donanımı parçası aracılığıyla uygulanabilirler. Genellikle, bilgisayar tabanlı çeşitli proxy sunucu formları kullanılarak, ağ trafiği, kullanıcı veya sunucuya geçmeden proxy sunucular tarafından denetlenir. Uygulama katmanı üzerinde çalıştığı için, trafik içeriğini denetleyebilir, engellenmiş zararlı içerikleri engelleyebilir (web siteleri, virüsler, istemci tarafındaki zararlı mantıksal akışlar gibi) .
Modern uygulama güvenlik duvarlarında, şifreleme işlemleri sunucularda yapılmayabilir, algılanan müdahalelerden veya zararlı iletişimden uygulama girdi / çıktısını engelleyebilir, kimlik doğrulamayı yönetebilir,konsolide edebilir veya ilkeleri ihlal eden içeriği engelleyebilir.
Tarih
Purdue Üniversitesi'nden , AT & T Laboratuvarlarından Bill Cheswick ve Marcus Ranum, uygulama katmanı güvenlik duvarı olarak bilinen üçüncü jenerasyon güvenlik duvarını tanımladılar. Markus Ranum'un Paul Vixie, Brian Reed ve Jeff Mogul tarafından geliştirilen güvenlik duvarı üzerine olan çalışması ilk ticari ürünün yaratılmasına öncülük etti. Ürün DEC tarafından çıkarıldı, Geoff Mulligan tarafından DEC SEAL olarak isimlendirildi. DEC'in ilk büyük satışı 13 Haziran 1991'de ABD'nin Doğu kıyısında bulunan bir kimya şirketine yapıldı.
TIS'teki DARPA sözleşmesi uyarınca, Marcus Ranum, Wei Xu ve Peter Churchyard Firewall Toolkit (FWTK) denilen güvenlik duvarını geliştirdiler, ve 1 Ekim 1993 tarihinde lisanslı olarak kullanılabilir hale getirildi. Ürünün ticari amaç yerine serbestçe temin edilebilmesinin amaçları şunlardı; Yazılım, dokümantasyon ve kullanılan yöntemler vasıtasıyla, (halihazırda) resmi güvenlik yöntemlerinde 11 yıllık tecrübeye sahip bir şirketin bu deneyimlerini geliştiricilere aktararak, başkalarının inşa edeceği güvenlik yazılımları için ortak taban oluşturmak(böylece insanlar "sıfırdan" bu işe başlamak zorunda kalmazlar), güvenlik duvarının sınırlarını görüp bu sınırları ve güvenilirliği artırmak amaçlanmıştır. Ancak FWTK, kullanıcı etkileşimleri gerektiren basit bir uygulama proxy'si idi.
1994 yılında Wei Xu FWTK'yi çekirdek'te bazı geliştirmeler(IP durumlu filtre geliştirmesi ve socket sadeleştirme) yaparak FWTK'yi bir üst noktaya taşıdı.Bu, Gauntlet güvenlik duvarı olarak bilinen ticari ürün olarak piyasaya sürülen geleneksel bir uygulama proxy'sinin (ikinci nesil güvenlik duvarı) ötesinde, üçüncü nesil güvenlik duvarının başlangıcı olarak bilinen ilk şeffaf güvenlik duvarıydı. Gauntlet güvenlik duvarı, 1995 yılından 1998 yılına kadar Network Associates Inc (NAI) tarafından satın alındığı yılın en iyi uygulama güvenlik duvarlarından biri olarak derecelendirildi.
Uygulama katmanı filtrelemesinin en önemli özelliği, bazı uygulamaları ve protokolleri (Dosya Aktarım Protokolü, DNS veya web tarama gibi) anlayabilmesi, bir protokolün herhangi bir zararlı şekilde kötüye kullanılıp kullanılmadığını,istenmeyen bir protokolün standart olmayan bir bağlantı noktasına sızma olup olmadığını tespit edebilmesidir.
Bilgisayar tabanlı uygulama güvenlik duvarı
Bilgisayar tabanlı bir uygulama güvenlik duvarı, herhangi bir uygulama girdisi, çıktısı veya sistem hizmeti çağrısını, bir uygulama ile veya bir uygulama tarafından izleyebilir. Bu, bir ağ yığını yerine veya ağ yığınına ek olarak sistem çağrılarıyla iletilen bilgileri inceleyerek yapılır. Bir bilgisayar tabanlı uygulama güvenlik duvarı, yalnızca aynı bilgisayarda çalışan uygulamalara koruma sağlayabilir.
Uygulama güvenlik duvarları, bir işlemin belirli bir bağlantıyı kabul edip etmeyeceğini belirleyerek çalışır.Uygulama güvenlik duvarları, uygulama katmanı ile OSI modelinin alt katmanları arasındaki bağlantıları filtrelemek için soket çağrılarını dinleyerek işlevlerini yerine getirirler. Soket çağrılarını dinleyen uygulama güvenlik duvarları aynı zamanda soket filtreleri olarak da adlandırılır. Uygulama güvenlik duvarları bir paket filtresi gibi çalışır, ancak uygulama filtreleri, bağlantıları bağlantı noktası bazında filtrelemek yerine işlem bazında filtreleyerek (izin ver / engelle) çalışır. Genellikle, istemler, henüz bir bağlantı almamış işlemler için kural tanımlamak amaçlı kullanılır. Paket filtresi ile birlikte kullanılmayan uygulama güvenlik duvarları çok az sayıdadır.
Ayrıca, uygulama güvenlik duvarları, veri aktarımında yer alan yerel işlemler için bir protokol(kural) kümesine karşı veri paketlerinin ID'sini inceleyerek bağlantıları bir katman daha filtrelemektedir. Oluşan filtrelemenin kapsamı, verilen protokol kümesi tarafından tanımlanır. Var olan yazılım çeşitliliği göz önüne alındığında, uygulama güvenlik duvarlarının yalnızca standart hizmetler(paylaşım hizmetleri vs..) için daha karmaşık protokol kümeleri vardır. Her İşlem için olan kural kümeleri, diğer işlemlerle oluşabilecek olası tüm ilişkilendirmelerin filtrelenmesinde sınırlı etkinliğe sahiptir. Ayrıca bu kurallar, işlemin bellek bozulması istismarları(memory corruption exploit) gibi saldırılara karşı savunmasızdır.
Bilgisayar tabanlı uygulama güvenlik duvarları ayrıca ağ tabanlı uygulama güvenlik duvarının özelliklerine de sahiptir.
Korumalı sistemler(sandboxing), dosya erişimini, süreç erişimlerini ve ağ erişimini denetleyebilir. Ticari korumalı(sandboxing) sistemler hem Windows hem de Unix tipi işletim sistemleri için mevcuttur.
Örnekler
Daha iyi anlaşılması açısından spesifik uygulama güvenlik duvarı örnekleri belirtilmiştir.
Uygulamalar
Açık kaynak kodlu veya ticari amaçlı birçok çeşit uygulama güvenlik duvarı mevcuttur.
Mac OS X
Mac OS X, FreeBSD'den alınan TrustedBSD MAC çalışma çatısının gerçeklemesini(implementation) içerir. TrustedBSD MAC çalışma çatısı, bazı Linux dağıtımlarında bulunan korumalı servis alanları için AppArmor'un kullanıldığı gibi, mDNSresponder gibi bazı hizmetleri korumak için kullanılır. TrustedBSD MAC çalışma çatısı, Mac OS X Leopard ve Snow Leopard'daki paylaşım servislerinin varsayılan yapılandırması göz önüne alındığında varsayılan bir güvenlik duvarı katmanı sağlar.
Leopard ile başlayan, Mac OS X güvenlik tercihlerinde bulunan Uygulama güvenlik duvarı, güvenlik duvarı listesine eklenen kod imzalama uygulamalarının kullanımı yoluyla bu tür bir güvenlik duvarının işlevselliğini sağlar. Genellikle, bu uygulama güvenlik duvarı yalnızca gelen bağlantıların güvenlik duvarı listesinde bir uygulamaya yönlendirilip yönlendirilmediğini kontrol ederek ağ bağlantılarını yönetir ve bu uygulamalar için belirtilen kuralları (engelle / izin ver) uygular .
Linux
Aşağıdaki liste Linux için güvenlik yazılım paketlerinin bir listesi olup, uygulamanın OS ile iletişimine filtrelemesine, kullanıcı düzeyinde filtrelemeye izin verir.
- Kerio Control - ticari ürün
- AppArmor
- ModSecurity - Windows, Mac OS X, Solaris ve diğer Unix versiyonları altında çalışır. ModSecurity ağ sunucusu IIS, Apache2 veNGINX ile birlikte çalışması için dizayn edilmiştir.
- Systrace
- Zorp
Windows
- WinGate
Ağ cihazları
Bu cihazlar, donanım ağı aletleri olarak ve bazı durumlarda temel sunucu donanımı üzerinde çalışan sanal versiyon(virtual image) olarak satılmaktadır.
- Fortinet NextGeneration Firewall
- Meraki
- F5 Networks BIG-IP Application Security Manager
- AIONCLOUD
- A10 Networks Web Application Firewall
- Barracuda Networks Web Application Firewall/Load Balancer ADC
- Monitorapp AIWAF
- Check Point
- Citrix NetScaler
- Cloudbric
- CloudFlare
- Imperva
- KEMP Technologies
- Penta Security
- Smoothwall
- Untangle
- WatchGuard
Özelleşmiş uygulama güvenlik duvarları
Özelleşmiş uygulama güvenlik duvarları, belirli bir uygulamayı koruma ve kontrol etme konusunda birçok özellik sunar. En özelleşmiş ağ cihazı uygulama güvenlik duvarları web uygulamaları içindir.
Tarih
1996 PHF CGI saldırısı gibi büyük ölçekli web sunucu saldırıları, web uygulamalarını korumak için güvenlik modelleri araştırması için öncü oldu. Bu, şu anda web uygulama güvenlik duvarı (WAF) teknolojisi ailesi olarak anılacak olan teknolojinin başlangıcıydı. Piyasadaki ilk katılımcılar 1999'da ortaya çıkmaya başladı,örneğin Perfecto Technologies’s AppShield(adını 2004'te Sanctum olarak değiştirdi ve Watchfire tarafından alındı.). Bu katılımcılar e-ticaret'e ve illegal internet sayfalarına karşı gelişmek için yoğunlaştılar. NetContinuum (Barracuda Networks tarafından 2007'de satın alındı) konuya, önceden yapılandırılmış 'güvenli sunucular' sağlayarak yaklaştı.Bu tür öncüler, kural koyma sorunları, işletme açısından engeller ve genel olarak maliyet engelleri ile karşı karşıya kaldılar, ancak bu tür çözümlere duyulan ihtiyaç gün geçtikçe daha da belirginleşiyordu.
2002'de, Thinking Stone tarafından işletilen ve daha sonra 2006 yılında Breach Security tarafından satın alınan, ModSecurity adlı açık kaynak projesi, bu engelleri çözmek ve WAF teknolojisini her şirket için erişilebilir kılmak için kurulmuş bir misyon ile kuruldu. OASIS Web Uygulama Güvenliği Teknik Komitesinin (WAS TC) güvenlik açığı çalışmasına dayanan, Web uygulamalarını korumak için eşsiz bir açık kaynak kural seti olan çekirdek kural kümesinin piyasaya sürülmesiyle, piyasanın uyması gereken, düzgün, iyi belgelendirilmiş ve standartlaştırılmış öncülük edecek bir model ortaya çıkmış oldu.
2003'te,WAS TC'nin çalışmaları, Açık Web Uygulama Güvenliği Projesi (OWASP) Top 10 Listesiyle sektör boyunca genişletildi ve standartlaştırıldı. Bu yıllık sıralama, web güvenlik açıkları için bir sınıflandırma şeması olup, tehdit ve etkilere karşı durumları açıklayan yol gösterici bir modeldir. WAF gibi koruma araçları tarafından takip edilir. Bu liste, pek çok uyumluluk şemasının endüstri ölçütü olmaya devam etmiştir.
2004'te, ağ katmanı alanındaki büyük trafik yönetimi ve güvenlik sağlayıcıları, hızlı bir şekilde birleşme ve devralma yöntemleriyle WAF pazarına girdi. Bu girişimlerden önemli olanı F5'in yıl ortasında Magnifire WebSystems'i elde edebilmek için TrafficShield yazılım çözümü ile Big-IP trafik yönetim sisteminin entegrasyonunu sağladı. Aynı yıl, F5 AppShield'i satın aldı ve teknolojiyi durdurdu. Bu alım satım devir işlemleri, 2006'da Protegrity tarafından Kavado'nun satın alınmasıyla ve Citrix Systems'in Teros'u satın almasıyla devam etti.
Bu noktaya kadar, WAF pazarına, web uygulama katmanı güvenliği üzerine yoğunlaşan niş sağlayıcılar hakimdi. Pazar bu aşamadan sonra WAF geniş ağ teknolojileri (yük dengeleme, uygulama sunucuları, ağ güvenlik duvarları vb.) ile entegrasyonu üzerine yoğunlaşıldı. WAF bu noktadan sonra farklı bir markalaşma sürecine girdi. Seçenekler karmaşıktı, pahalıydı ve pazar tarafından henüz tamamen anlaşılamamıştı.
2006'da, Web Uygulama Güvenliği Konsorsiyumu, WAF pazarının anlaşılırlığını artırmaya yardımcı olmak için kuruldu. Web Uygulama Güvenlik Duvarı Değerlendirme Ölçütleri projesi (WAFEC), satıcılar, akademisyenler ve bağımsız analistler ve araştırmacıların bulunduğu bu topluluk bugün hala geçerli olan WAF'ın adaptasyonu ve geliştirilmesi için ortak bir taban oluşturdu.
WAF'a olan ilgi, 2006 PCI Güvenlik Standartları Konseyi kurulmasına bağlı olarak arttı. Önemli kart markaları (AMEX, Visa, MasterCard, vb.), Endüstrideki güvenlik uygulamalarını düzenleme ve yaygın kredi kartı dolandırıcılığını azaltmanın bir yolu olarak PCI formunu oluşturdu. Bu standart form, tüm web uygulamalarının güvenli olmasını gerekli kıldı.(güvenli geliştirme veya WAF kullanımı ile). (OWASP Top 10, bu gereksinimin omurgasını oluşturur).
Sanallaştırmaya ve mevcut kaynakları en üst düzeye çıkarmak için Bulut sistemine ağırlık verilince, WAF teknolojisinin de yeniden ölçeklendirilebilmesi büyük önem kazandı.
2010 yılına gelindiğinde, WAF piyasası Forrester'e göre 200 milyon doları aşan bir pazara ulaşmıştı. Forrester analisti Chenxi Wang, "Web Uygulamaları Güvenlik Duvarı 2010 ve sonrası adlı şubat ayında yayınladığı raporda, "Forrester, WAF ve pazarının 2009 pazar gelirini yaklaşık 200 milyon $ olarak tahmin ediyor ve pazarın 2010'da % 20 oranında büyüyeceği" öngörüsünde bulundu. Güvenlik ve risk yöneticileri 2010'da WAF için iki eğilim olacağı tahmininde bulundular. 1)orta ölçekli markette WAF ulaşılabilir olacak, 2) Daha büyük işletmeler giderek daha yaygın olan WAF çözümlerine yönelecekler." Ayrıca yazar "Imperva'nın, WAF lideri" olduğunu da yazdı.
Dağıtık web uygulaması güvenlik duvarı
Dağıtık Web Uygulaması Güvenlik Duvarı (dWARF olarak da bilinen), web uygulama güvenlik duvarı (WAF) ve Web uygulamaları güvenlik ailesinin bir üyesidir. Tamamıyla yazılım tabanlı olan dWARF mimarisi, ağın farklı alanlarında fiziksel olarak bulunabilen ayrı bileşenler olarak tasarlanmıştır. Mimarideki bu özellik, dWARF'in kaynak tüketiminin bir cihaza bağımlı olması yerine bir ağa yayılmasına olanak sağlarken, gerekli ölçeklemeyi özgürce yapabilmesine izin verir. Özellikle, daha iyi kaynak yönetimi için herhangi bir bileşen sayısının birbirinden bağımsız olarak eklenmesini / çıkarılmasını sağlar. Bu yaklaşım, özel, genel veya hybrid bulut modelleri gibi büyük ve dağıtılmış sanallaştırılmış altyapılar için idealdir.
Bulut sistem tabanlı web uygulaması güvenlik duvarı
Bulut tabanlı web uygulaması güvenlik duvarı da web uygulama güvenlik duvarı (WAF) ve web uygulamaları güvenlik ailesinin bir üyesidir. Bu teknoloji, platform bağımsız olması ve bilgisayar üzerinde herhangi bir donanım veya yazılım değişikliği gerektirmemesi nedeniyle tercih sebebidir. Tüm sağlayıcılar, sadece biri DNS değişikliği yaparak; burada, tüm web trafiği, WAF vasıtasıyla yönlendirilir ve tehditler engellenir. Bulut tabanlı WAF'ler genellikle merkezi olarak orkestra gibi çalışır, yani tehdit tespit edildiğinde tehdit bilgilerinin servisin tüm kullanıcıları arasında paylaşıldığı anlamına gelir. Bu işbirliği sayesinde tehdit algılama mekanizması daha doğru sonuçlar verir. Söz konusu tehditten herkes haberdar olur. Diğer bulut tabanlı çözümler gibi bu teknoloji de esnek, ölçeklenebilir ve genelde servis ağı büyüdükçe ödeme yapmanız gereken bir hizmet olarak sunulmaktadır. Bu yaklaşım, web uygulaması güvenliğini gerektiren ancak sistemlerinde yazılım veya donanım değişiklikleri yapmak istemeyen bulut tabanlı web uygulamaları, küçük veya orta ölçekli web siteleri için idealdir.
- Bekchy
- CloudFlare
- Sucuri
Ayrıca bakınız
Kaynakça
Bu madde önerilmeyen biçimde kaynaklandırılmıştır. () |
1.Luis F. Medina (2003). The Weakest Security Link Series (1st ed.). IUniverse. p. 54. ISBN 978-0-595-26494-0.
2."Software Firewalls: Made of Straw? Part 1 of 2" 7 Kasım 2017 tarihinde Wayback Machine sitesinde .. Symantec.com. Symantec Connect Community. 2010-06-29. Retrieved 2013-09-05.
3. "Firewall your applications with AppArmor" 30 Ağustos 2011 tarihinde Wayback Machine sitesinde .. Retrieved 2010-02-15.
4. "The TrustedBSD Project". The TrustedBSD Project. 2008-11-21. 23 Ocak 2010 tarihinde Wayback Machine sitesinde . from the original on 23 January 2010. Retrieved 2010-02-15.
5. "Mandatory Access Control (MAC) Framework"23 Ocak 2010 tarihinde Wayback Machine sitesinde .. TrustedBSD. Retrieved 2013-09-05.
6. CERT (March 20, 1996). "CERT Advisory CA-1996-06 Vulnerability in NCSA/Apache CGI example code" 7 Kasım 2013 tarihinde Wayback Machine sitesinde .. CERT Coordination Center. Retrieved 2010-11-17.
7. Ellen Messmer (September 7, 1999). "New tool blocks wily e-comm hacker tricks"29 Mayıs 2010 tarihinde Wayback Machine sitesinde .. CNN. Retrieved 2010-11-17.
8. Jaikumar Vijayan (August 4, 2004). "Q&A: Watchfire CTO sees Sanctum acquisition as a good fit" 8 Ekim 2012 tarihinde Wayback Machine sitesinde .. Computerworld. Retrieved 2010-11-17.
9. Jeremy Kirk (September 25, 2006). "Breach Security acquires rival firewall ModSecurity" 15 Nisan 2014 tarihinde Wayback Machine sitesinde .. InfoWorld. Retrieved 2011-12-06.
10. Tim Greene (June 1, 2004). "F5 buys Magnifire for $29 million" 4 Temmuz 2013 tarihinde Wayback Machine sitesinde .. Network World. Retrieved 2011-12-06.
11. Linda Rosencrance (August 19, 2005). "Protegrity acquires Web apps security vendor Kavado" 8 Ekim 2012 tarihinde Wayback Machine sitesinde .. Computerworld. Retrieved 2011-12-06.
12. James Rogers (November 15, 2005). "Citrix Picks Up Teros" 5 Mart 2012 tarihinde Wayback Machine sitesinde .. networkcomputing.com. Retrieved 2011-12-06.
wikipedia, wiki, viki, vikipedia, oku, kitap, kütüphane, kütübhane, ara, ara bul, bul, herşey, ne arasanız burada,hikayeler, makale, kitaplar, öğren, wiki, bilgi, tarih, yukle, izle, telefon için, turk, türk, türkçe, turkce, nasıl yapılır, ne demek, nasıl, yapmak, yapılır, indir, ücretsiz, ücretsiz indir, bedava, bedava indir, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, resim, müzik, şarkı, film, film, oyun, oyunlar, mobil, cep telefonu, telefon, android, ios, apple, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, pc, web, computer, bilgisayar
Bu maddede kaynak listesi bulunmasina karsin metin ici kaynaklarin yetersizligi nedeniyle bazi bilgilerin hangi kaynaktan alindigi belirsizdir Lutfen kaynaklari uygun bicimde metin icine yerlestirerek maddenin gelistirilmesine yardimci olun Nisan 2017 Bu sablonun nasil ve ne zaman kaldirilmasi gerektigini ogrenin Uygulama guvenlik duvari Ingilizce Application Firewall girdi ve ciktilari bir uygulama veya hizmetle denetleyen bir guvenlik duvari bicimidir Guvenlik duvarinin gerekliliklerini karsilamayan girdi cikti ve sistem servis cagrilarini engelleyerek calisir OSI Modelindeuygulama katmani duzeyinde calisir OSI katmani uzerindeki tum ag trafigini uygulama katmaninda kontrol etmek icin olusturulmustur Belirli bir uygulama olmadan ilgili ag trafigini kontrol edemeyen durumlu ag guvenlik duvarinin aksine uygulamalari veya hizmetleri kontrol edebilir Uygulama guvenlik duvarlari ag tabanli uygulama guvenlik duvarlari ve bilgisayar tabanli uygulama guvenlik duvarlari olmak uzere ikiye ayrilir Ag tabanli uygulama guvenlik duvariAg tabanli bir uygulama katmani guvenlik duvari bir iletisim kurali yigininin uygulama katmaninda calisan bir bilgisayar agi guvenlik duvaridir ayni zamanda proxy tabanli veya ters proxy guvenlik duvari olarak da bilinir Belirli bir ag trafigine ozgu uygulama guvenlik duvarlari adiyla da adlandirilirlar Ag uygulamasi guvenlik duvari buna bir ornektir Bilgisayarda calisan bir yazilim veya bagimsiz bir ag donanimi parcasi araciligiyla uygulanabilirler Genellikle bilgisayar tabanli cesitli proxy sunucu formlari kullanilarak ag trafigi kullanici veya sunucuya gecmeden proxy sunucular tarafindan denetlenir Uygulama katmani uzerinde calistigi icin trafik icerigini denetleyebilir engellenmis zararli icerikleri engelleyebilir web siteleri virusler istemci tarafindaki zararli mantiksal akislar gibi Modern uygulama guvenlik duvarlarinda sifreleme islemleri sunucularda yapilmayabilir algilanan mudahalelerden veya zararli iletisimden uygulama girdi ciktisini engelleyebilir kimlik dogrulamayi yonetebilir konsolide edebilir veya ilkeleri ihlal eden icerigi engelleyebilir Tarih Purdue Universitesi nden AT amp T Laboratuvarlarindan Bill Cheswick ve Marcus Ranum uygulama katmani guvenlik duvari olarak bilinen ucuncu jenerasyon guvenlik duvarini tanimladilar Markus Ranum un Paul Vixie Brian Reed ve Jeff Mogul tarafindan gelistirilen guvenlik duvari uzerine olan calismasi ilk ticari urunun yaratilmasina onculuk etti Urun DEC tarafindan cikarildi Geoff Mulligan tarafindan DEC SEAL olarak isimlendirildi DEC in ilk buyuk satisi 13 Haziran 1991 de ABD nin Dogu kiyisinda bulunan bir kimya sirketine yapildi TIS teki DARPA sozlesmesi uyarinca Marcus Ranum Wei Xu ve Peter Churchyard Firewall Toolkit FWTK denilen guvenlik duvarini gelistirdiler ve 1 Ekim 1993 tarihinde lisansli olarak kullanilabilir hale getirildi Urunun ticari amac yerine serbestce temin edilebilmesinin amaclari sunlardi Yazilim dokumantasyon ve kullanilan yontemler vasitasiyla halihazirda resmi guvenlik yontemlerinde 11 yillik tecrubeye sahip bir sirketin bu deneyimlerini gelistiricilere aktararak baskalarinin insa edecegi guvenlik yazilimlari icin ortak taban olusturmak boylece insanlar sifirdan bu ise baslamak zorunda kalmazlar guvenlik duvarinin sinirlarini gorup bu sinirlari ve guvenilirligi artirmak amaclanmistir Ancak FWTK kullanici etkilesimleri gerektiren basit bir uygulama proxy si idi 1994 yilinda Wei Xu FWTK yi cekirdek te bazi gelistirmeler IP durumlu filtre gelistirmesi ve socket sadelestirme yaparak FWTK yi bir ust noktaya tasidi Bu Gauntlet guvenlik duvari olarak bilinen ticari urun olarak piyasaya surulen geleneksel bir uygulama proxy sinin ikinci nesil guvenlik duvari otesinde ucuncu nesil guvenlik duvarinin baslangici olarak bilinen ilk seffaf guvenlik duvariydi Gauntlet guvenlik duvari 1995 yilindan 1998 yilina kadar Network Associates Inc NAI tarafindan satin alindigi yilin en iyi uygulama guvenlik duvarlarindan biri olarak derecelendirildi Uygulama katmani filtrelemesinin en onemli ozelligi bazi uygulamalari ve protokolleri Dosya Aktarim Protokolu DNS veya web tarama gibi anlayabilmesi bir protokolun herhangi bir zararli sekilde kotuye kullanilip kullanilmadigini istenmeyen bir protokolun standart olmayan bir baglanti noktasina sizma olup olmadigini tespit edebilmesidir Bilgisayar tabanli uygulama guvenlik duvariBilgisayar tabanli bir uygulama guvenlik duvari herhangi bir uygulama girdisi ciktisi veya sistem hizmeti cagrisini bir uygulama ile veya bir uygulama tarafindan izleyebilir Bu bir ag yigini yerine veya ag yiginina ek olarak sistem cagrilariyla iletilen bilgileri inceleyerek yapilir Bir bilgisayar tabanli uygulama guvenlik duvari yalnizca ayni bilgisayarda calisan uygulamalara koruma saglayabilir Uygulama guvenlik duvarlari bir islemin belirli bir baglantiyi kabul edip etmeyecegini belirleyerek calisir Uygulama guvenlik duvarlari uygulama katmani ile OSI modelinin alt katmanlari arasindaki baglantilari filtrelemek icin soket cagrilarini dinleyerek islevlerini yerine getirirler Soket cagrilarini dinleyen uygulama guvenlik duvarlari ayni zamanda soket filtreleri olarak da adlandirilir Uygulama guvenlik duvarlari bir paket filtresi gibi calisir ancak uygulama filtreleri baglantilari baglanti noktasi bazinda filtrelemek yerine islem bazinda filtreleyerek izin ver engelle calisir Genellikle istemler henuz bir baglanti almamis islemler icin kural tanimlamak amacli kullanilir Paket filtresi ile birlikte kullanilmayan uygulama guvenlik duvarlari cok az sayidadir Ayrica uygulama guvenlik duvarlari veri aktariminda yer alan yerel islemler icin bir protokol kural kumesine karsi veri paketlerinin ID sini inceleyerek baglantilari bir katman daha filtrelemektedir Olusan filtrelemenin kapsami verilen protokol kumesi tarafindan tanimlanir Var olan yazilim cesitliligi goz onune alindiginda uygulama guvenlik duvarlarinin yalnizca standart hizmetler paylasim hizmetleri vs icin daha karmasik protokol kumeleri vardir Her Islem icin olan kural kumeleri diger islemlerle olusabilecek olasi tum iliskilendirmelerin filtrelenmesinde sinirli etkinlige sahiptir Ayrica bu kurallar islemin bellek bozulmasi istismarlari memory corruption exploit gibi saldirilara karsi savunmasizdir Bilgisayar tabanli uygulama guvenlik duvarlari ayrica ag tabanli uygulama guvenlik duvarinin ozelliklerine de sahiptir Korumali sistemler sandboxing dosya erisimini surec erisimlerini ve ag erisimini denetleyebilir Ticari korumali sandboxing sistemler hem Windows hem de Unix tipi isletim sistemleri icin mevcuttur OrneklerDaha iyi anlasilmasi acisindan spesifik uygulama guvenlik duvari ornekleri belirtilmistir UygulamalarAcik kaynak kodlu veya ticari amacli bircok cesit uygulama guvenlik duvari mevcuttur Mac OS X Mac OS X FreeBSD den alinan TrustedBSD MAC calisma catisinin gerceklemesini implementation icerir TrustedBSD MAC calisma catisi bazi Linux dagitimlarinda bulunan korumali servis alanlari icin AppArmor un kullanildigi gibi mDNSresponder gibi bazi hizmetleri korumak icin kullanilir TrustedBSD MAC calisma catisi Mac OS X Leopard ve Snow Leopard daki paylasim servislerinin varsayilan yapilandirmasi goz onune alindiginda varsayilan bir guvenlik duvari katmani saglar Leopard ile baslayan Mac OS X guvenlik tercihlerinde bulunan Uygulama guvenlik duvari guvenlik duvari listesine eklenen kod imzalama uygulamalarinin kullanimi yoluyla bu tur bir guvenlik duvarinin islevselligini saglar Genellikle bu uygulama guvenlik duvari yalnizca gelen baglantilarin guvenlik duvari listesinde bir uygulamaya yonlendirilip yonlendirilmedigini kontrol ederek ag baglantilarini yonetir ve bu uygulamalar icin belirtilen kurallari engelle izin ver uygular Linux Asagidaki liste Linux icin guvenlik yazilim paketlerinin bir listesi olup uygulamanin OS ile iletisimine filtrelemesine kullanici duzeyinde filtrelemeye izin verir Kerio Control ticari urun AppArmor ModSecurity Windows Mac OS X Solaris ve diger Unix versiyonlari altinda calisir ModSecurity ag sunucusu IIS Apache2 veNGINX ile birlikte calismasi icin dizayn edilmistir Systrace ZorpWindows WinGateAg cihazlari Bu cihazlar donanim agi aletleri olarak ve bazi durumlarda temel sunucu donanimi uzerinde calisan sanal versiyon virtual image olarak satilmaktadir Fortinet NextGeneration Firewall Meraki F5 Networks BIG IP Application Security Manager AIONCLOUD A10 Networks Web Application Firewall Barracuda Networks Web Application Firewall Load Balancer ADC Monitorapp AIWAF Check Point Citrix NetScaler Cloudbric CloudFlare Imperva KEMP Technologies Penta Security Smoothwall Untangle WatchGuardOzellesmis uygulama guvenlik duvarlariOzellesmis uygulama guvenlik duvarlari belirli bir uygulamayi koruma ve kontrol etme konusunda bircok ozellik sunar En ozellesmis ag cihazi uygulama guvenlik duvarlari web uygulamalari icindir Tarih 1996 PHF CGI saldirisi gibi buyuk olcekli web sunucu saldirilari web uygulamalarini korumak icin guvenlik modelleri arastirmasi icin oncu oldu Bu su anda web uygulama guvenlik duvari WAF teknolojisi ailesi olarak anilacak olan teknolojinin baslangiciydi Piyasadaki ilk katilimcilar 1999 da ortaya cikmaya basladi ornegin Perfecto Technologies s AppShield adini 2004 te Sanctum olarak degistirdi ve Watchfire tarafindan alindi Bu katilimcilar e ticaret e ve illegal internet sayfalarina karsi gelismek icin yogunlastilar NetContinuum Barracuda Networks tarafindan 2007 de satin alindi konuya onceden yapilandirilmis guvenli sunucular saglayarak yaklasti Bu tur onculer kural koyma sorunlari isletme acisindan engeller ve genel olarak maliyet engelleri ile karsi karsiya kaldilar ancak bu tur cozumlere duyulan ihtiyac gun gectikce daha da belirginlesiyordu 2002 de Thinking Stone tarafindan isletilen ve daha sonra 2006 yilinda Breach Security tarafindan satin alinan ModSecurity adli acik kaynak projesi bu engelleri cozmek ve WAF teknolojisini her sirket icin erisilebilir kilmak icin kurulmus bir misyon ile kuruldu OASIS Web Uygulama Guvenligi Teknik Komitesinin WAS TC guvenlik acigi calismasina dayanan Web uygulamalarini korumak icin essiz bir acik kaynak kural seti olan cekirdek kural kumesinin piyasaya surulmesiyle piyasanin uymasi gereken duzgun iyi belgelendirilmis ve standartlastirilmis onculuk edecek bir model ortaya cikmis oldu 2003 te WAS TC nin calismalari Acik Web Uygulama Guvenligi Projesi OWASP Top 10 Listesiyle sektor boyunca genisletildi ve standartlastirildi Bu yillik siralama web guvenlik aciklari icin bir siniflandirma semasi olup tehdit ve etkilere karsi durumlari aciklayan yol gosterici bir modeldir WAF gibi koruma araclari tarafindan takip edilir Bu liste pek cok uyumluluk semasinin endustri olcutu olmaya devam etmistir 2004 te ag katmani alanindaki buyuk trafik yonetimi ve guvenlik saglayicilari hizli bir sekilde birlesme ve devralma yontemleriyle WAF pazarina girdi Bu girisimlerden onemli olani F5 in yil ortasinda Magnifire WebSystems i elde edebilmek icin TrafficShield yazilim cozumu ile Big IP trafik yonetim sisteminin entegrasyonunu sagladi Ayni yil F5 AppShield i satin aldi ve teknolojiyi durdurdu Bu alim satim devir islemleri 2006 da Protegrity tarafindan Kavado nun satin alinmasiyla ve Citrix Systems in Teros u satin almasiyla devam etti Bu noktaya kadar WAF pazarina web uygulama katmani guvenligi uzerine yogunlasan nis saglayicilar hakimdi Pazar bu asamadan sonra WAF genis ag teknolojileri yuk dengeleme uygulama sunuculari ag guvenlik duvarlari vb ile entegrasyonu uzerine yogunlasildi WAF bu noktadan sonra farkli bir markalasma surecine girdi Secenekler karmasikti pahaliydi ve pazar tarafindan henuz tamamen anlasilamamisti 2006 da Web Uygulama Guvenligi Konsorsiyumu WAF pazarinin anlasilirligini artirmaya yardimci olmak icin kuruldu Web Uygulama Guvenlik Duvari Degerlendirme Olcutleri projesi WAFEC saticilar akademisyenler ve bagimsiz analistler ve arastirmacilarin bulundugu bu topluluk bugun hala gecerli olan WAF in adaptasyonu ve gelistirilmesi icin ortak bir taban olusturdu WAF a olan ilgi 2006 PCI Guvenlik Standartlari Konseyi kurulmasina bagli olarak artti Onemli kart markalari AMEX Visa MasterCard vb Endustrideki guvenlik uygulamalarini duzenleme ve yaygin kredi karti dolandiriciligini azaltmanin bir yolu olarak PCI formunu olusturdu Bu standart form tum web uygulamalarinin guvenli olmasini gerekli kildi guvenli gelistirme veya WAF kullanimi ile OWASP Top 10 bu gereksinimin omurgasini olusturur Sanallastirmaya ve mevcut kaynaklari en ust duzeye cikarmak icin Bulut sistemine agirlik verilince WAF teknolojisinin de yeniden olceklendirilebilmesi buyuk onem kazandi 2010 yilina gelindiginde WAF piyasasi Forrester e gore 200 milyon dolari asan bir pazara ulasmisti Forrester analisti Chenxi Wang Web Uygulamalari Guvenlik Duvari 2010 ve sonrasi adli subat ayinda yayinladigi raporda Forrester WAF ve pazarinin 2009 pazar gelirini yaklasik 200 milyon olarak tahmin ediyor ve pazarin 2010 da 20 oraninda buyuyecegi ongorusunde bulundu Guvenlik ve risk yoneticileri 2010 da WAF icin iki egilim olacagi tahmininde bulundular 1 orta olcekli markette WAF ulasilabilir olacak 2 Daha buyuk isletmeler giderek daha yaygin olan WAF cozumlerine yonelecekler Ayrica yazar Imperva nin WAF lideri oldugunu da yazdi Dagitik web uygulamasi guvenlik duvari Dagitik Web Uygulamasi Guvenlik Duvari dWARF olarak da bilinen web uygulama guvenlik duvari WAF ve Web uygulamalari guvenlik ailesinin bir uyesidir Tamamiyla yazilim tabanli olan dWARF mimarisi agin farkli alanlarinda fiziksel olarak bulunabilen ayri bilesenler olarak tasarlanmistir Mimarideki bu ozellik dWARF in kaynak tuketiminin bir cihaza bagimli olmasi yerine bir aga yayilmasina olanak saglarken gerekli olceklemeyi ozgurce yapabilmesine izin verir Ozellikle daha iyi kaynak yonetimi icin herhangi bir bilesen sayisinin birbirinden bagimsiz olarak eklenmesini cikarilmasini saglar Bu yaklasim ozel genel veya hybrid bulut modelleri gibi buyuk ve dagitilmis sanallastirilmis altyapilar icin idealdir Bulut sistem tabanli web uygulamasi guvenlik duvari Bulut tabanli web uygulamasi guvenlik duvari da web uygulama guvenlik duvari WAF ve web uygulamalari guvenlik ailesinin bir uyesidir Bu teknoloji platform bagimsiz olmasi ve bilgisayar uzerinde herhangi bir donanim veya yazilim degisikligi gerektirmemesi nedeniyle tercih sebebidir Tum saglayicilar sadece biri DNS degisikligi yaparak burada tum web trafigi WAF vasitasiyla yonlendirilir ve tehditler engellenir Bulut tabanli WAF ler genellikle merkezi olarak orkestra gibi calisir yani tehdit tespit edildiginde tehdit bilgilerinin servisin tum kullanicilari arasinda paylasildigi anlamina gelir Bu isbirligi sayesinde tehdit algilama mekanizmasi daha dogru sonuclar verir Soz konusu tehditten herkes haberdar olur Diger bulut tabanli cozumler gibi bu teknoloji de esnek olceklenebilir ve genelde servis agi buyudukce odeme yapmaniz gereken bir hizmet olarak sunulmaktadir Bu yaklasim web uygulamasi guvenligini gerektiren ancak sistemlerinde yazilim veya donanim degisiklikleri yapmak istemeyen bulut tabanli web uygulamalari kucuk veya orta olcekli web siteleri icin idealdir Bekchy CloudFlare SucuriAyrica bakinizAg guvenligi Icerik filtreleme programi Vekil sunucuKaynakcaBu madde onerilmeyen bicimde kaynaklandirilmistir Gosterilen kaynaklar kaynak gosterme sablonlari kullanilarak dipnot belirtme bicemine uygun olarak duzenlenmelidir Bu sablonun nasil ve ne zaman kaldirilmasi gerektigini ogrenin 1 Luis F Medina 2003 The Weakest Security Link Series 1st ed IUniverse p 54 ISBN 978 0 595 26494 0 2 Software Firewalls Made of Straw Part 1 of 2 7 Kasim 2017 tarihinde Wayback Machine sitesinde Symantec com Symantec Connect Community 2010 06 29 Retrieved 2013 09 05 3 Firewall your applications with AppArmor 30 Agustos 2011 tarihinde Wayback Machine sitesinde Retrieved 2010 02 15 4 The TrustedBSD Project The TrustedBSD Project 2008 11 21 23 Ocak 2010 tarihinde Wayback Machine sitesinde from the original on 23 January 2010 Retrieved 2010 02 15 5 Mandatory Access Control MAC Framework 23 Ocak 2010 tarihinde Wayback Machine sitesinde TrustedBSD Retrieved 2013 09 05 6 CERT March 20 1996 CERT Advisory CA 1996 06 Vulnerability in NCSA Apache CGI example code 7 Kasim 2013 tarihinde Wayback Machine sitesinde CERT Coordination Center Retrieved 2010 11 17 7 Ellen Messmer September 7 1999 New tool blocks wily e comm hacker tricks 29 Mayis 2010 tarihinde Wayback Machine sitesinde CNN Retrieved 2010 11 17 8 Jaikumar Vijayan August 4 2004 Q amp A Watchfire CTO sees Sanctum acquisition as a good fit 8 Ekim 2012 tarihinde Wayback Machine sitesinde Computerworld Retrieved 2010 11 17 9 Jeremy Kirk September 25 2006 Breach Security acquires rival firewall ModSecurity 15 Nisan 2014 tarihinde Wayback Machine sitesinde InfoWorld Retrieved 2011 12 06 10 Tim Greene June 1 2004 F5 buys Magnifire for 29 million 4 Temmuz 2013 tarihinde Wayback Machine sitesinde Network World Retrieved 2011 12 06 11 Linda Rosencrance August 19 2005 Protegrity acquires Web apps security vendor Kavado 8 Ekim 2012 tarihinde Wayback Machine sitesinde Computerworld Retrieved 2011 12 06 12 James Rogers November 15 2005 Citrix Picks Up Teros 5 Mart 2012 tarihinde Wayback Machine sitesinde networkcomputing com Retrieved 2011 12 06