جدار الحماية والحماية من الهجمات

موجز موجز

مرشحات WAF/WAAP والتحكم في حركة المرور HTTP (S )/WebSocket على مستوى التطبيق: كتل استغلال نقاط الضعف (OWASP Top 10)، ومحاولات تجاوز المصادقة والمسح الضوئي وحركة مرور الروبوتات الآلية و L7 DDoS. يتم استكمال المكدس الحديث بمحرك مضاد للروبوت، وحماية واجهة برمجة التطبيقات، والحد من الأسعار، والتصحيحات الافتراضية، بالإضافة إلى التكامل الضيق مع CI/CD بحيث يتم طرح القواعد بأمان مثل الكود.

الأدوار والمكان في الهندسة المعمارية

Edge/CDN WAF (سحابة): زمن انتقال منخفض، سمعة عالمية/قواعد مُدارة، L7 DDoS.
WAF المستضاف ذاتيًا (on-prem/K8s): تكامل عميق مع الشبكات الداخلية، ضبط دقيق.
نهج WAAP: وظائف WAF + API-Gateway (التحقق من صحة المخطط، authZ)، مضاد الروبوت، L7 DoS، mTLS.
مخططات الإدماج: العكس قبل الطلب ؛ وحدة تحكم الدخول في K8s ؛ مرشحات شبكة الخدمات ؛ سيارة جانبية.

نموذج الحماية

الأمن السلبي (التوقيعات/CRS): تغطية سريعة للتقنيات المعروفة (SQLi/XSS/SSRF/RCE).
الأمان الإيجابي (السماح بالقائمة): السماح فقط بالطلبات «الصحيحة» (الطرق/المسارات/المخططات/أنواع المحتوى).
التصحيح الافتراضي: حظر الاستغلال عبر الإنترنت لإصلاح الكود.
السياق: سياسات مختلفة للمحتوى الثابت، واجهة برمجة التطبيقات، والمسؤولين، والتنزيلات، وخطابات الويب.

التهديدات والتدابير النموذجية

أعلى 10 OWASP: SQLi و XSS و IDOR/BOLA و SSRF وحقن القالب والتصحر وسوء التشكيل.
L7 DDoS: طلبات/رؤوس بطيئة، انفجار لنقاط النهاية الساخنة → الحماية: حدود المعدل، التحدي، الكتلة التلقائية.
الروبوتات/المكشطات: السلوك، التردد، الأنماط «غير الإنسانية»، بصمات الأجهزة، الرموز الديناميكية.
حشو الاعتماد/ATO: اعتراض/تعداد عمليات تسجيل الدخول → شذوذ بواسطة IP/ASN، قواعد السرعة، عوامل إضافية.
التنزيلات: النوع/الحجم/مكافحة الفيروسات متعددة المعسكرات، «الصورة فقط» في مناطق الوسائط.
API/GraphQL: التحقق من صحة المخطط، و "MaxDepth "/" MaxCost'، وحظر بطاقات البدل غير المعاقب، والتحكم في الأساليب والرؤوس.

السياسات ومصممي القواعد

الهيكل العظمي الأساسي لأي تطبيق:

1. النقل: TLS 1. 2+/1. 3، HSTS، mTLS على خلفيات حساسة.

2. الطرق: قائمة السماح («GET، POST، PUT، DELETE، PATCH، OPTIONS») فريدة من نوعها لكل مورد.

3. المسارات: أقنعة/ريجكبس صارمة ؛ إدارة/فواتير - إلى بادئة/نطاق منفصل.

4. الرؤوس: قوائم بيضاء، حظر خطير («X-Original-URL»، غير قياسي) دون داع.

5. الأجسام: JSON-only/Multipart-only على طول الطريق ؛ 'Content-Length', block of binaries for «login/search».

6. حدود المعدل: لكل IP/ASN/key/organization ؛ قيود منفصلة على الطلبات «باهظة الثمن».

7. Anti-bot: التسجيل السلوكي، التحديات «غير المزعجة»، الهويات اللاصقة (رموز ملفات تعريف الارتباط، FP JA3/TLS).

8. CRS/القواعد المدارة: تم تمكينها وضبطها تحت FP.

9. بقع Wirth: الحجب السريع للمعلمات/أنماط الهجوم المعروفة.

10. Logs/metrics: uniform format, relative with 'trace _ id', FP/TP reports.

ممارسة الضبط: كيفية تقليل الإيجابيات الخاطئة

قم بتشغيل قواعد جديدة في Detect-only/Count-mode (shadow) مع أخذ عينات من حركة المرور.
قم بإنشاء استثناءات حسب السياق («المسار =/البحث»، «param = q» تسمح بالحروف الخاصة).
تقسيم المنطقة: «الصفحات العامة» مقابل «العمليات الحساسة» (عتبة العدوانية مختلفة).
ناقل: قاعدة → → الكناري (1-5٪) → حث ؛ التراجع عن طريق مقاييس FP.
احتفظ بدليل للحمولة «الخاطئة» لاختبارات الانحدار.

الاندماج في DevSecOps

CI: القواعد الثابتة في Git ؛ الاختبارات: إعادة تشغيل الطلبات الحقيقية + المواد التركيبية من دليل الهجوم.
CD: حسابات الكناري، أعلام الميزات ؛ الرصد «السياسي» (تغيير القاعدة = التغيير).
RASP و SAST/DAST: مكملات WAF ولكنها لا تحل محل تصحيح الرمز.

قابلية الملاحظة و SLO

المقاييس:

p95/99 زمن الانتقال عن طريق الاتحاد العالمي للغابات ؛ ونسبة المعوقات/المفقودات ؛ شارك القواعد المدارة مقابل العرف ؛ «معدل الهجوم».
Anti-bot: share of challenges/change, FP/TP.
L7 DDoS: معدل الانفجار، أحداث التخفيف التلقائي.

أمثلة SLO:

"ليس أكثر من 0. 5٪ FP في العمليات/اليوم المأذون بها"
«p95 overhead WAF ≤ 10 мс».
«التصحيح الافتراضي TTR ≤ 30 دقيقة».
التنبيهات: ارتفاع 4xx/5xx بعد إصدار القواعد ؛ ) أ (نمو البرامج ؛ انخفاض في ممر الكابتشا ؛ تدهور التحقق من صحة نظام جوكس/ميتلز.

تشكيلات العينات

ModSecurity + OWASP CRS (Nginx)

nginx
Enabling ModSecurity modsecurity on;
modsecurity_rules_file /etc/nginx/modsec/main. conf;

'/الخ/nginx/modsec/main. conf ':

apache
SecRuleEngine On
Include /usr/local/owasp-modsecurity-crs/crs-setup. conf
Include /usr/local/owasp-modsecurity-crs/rules/.conf

Example of an exception for a search parameter
SecRule REQUEST_URI "@beginsWith /search" "id:900100,phase:1,pass,nolog,ctl:ruleRemoveByTag=attack-xss"
SecRule REQUEST_URI "@beginsWith /search" "id:900101,phase:2,pass,ctl:ruleRemoveTargetById=942100; ARGS:q"

AWS WAF (JSON، حد السعر + كتلة القائمة القطرية)

json
{
"Name": "prod-web-acl",
"Scope": "CLOUDFRONT",
"DefaultAction": { "Allow": {} },
"Rules": [
{
"Name": "BurstLogin",
"Priority": 1,
"Statement": {
"RateBasedStatement": {
"Limit": 100,
"AggregateKeyType": "IP",
"ScopeDownStatement": { "ByteMatchStatement": {
"SearchString": "/login",
"FieldToMatch": { "UriPath": {} },
"TextTransformations": [{ "Priority": 0, "Type": "NONE" }],
"PositionalConstraint": "CONTAINS"
}}
}
},
"Action": { "Block": {} },
"VisibilityConfig": { "MetricName": "BurstLogin", "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true }
}
]
}

Cloudflare (قواعد التعبير)


(http. request. uri. path contains "/admin" and ip. geoip. country ne "UA")
or (http. request. uri. path eq "/login" and cf. threat_score > 10)
or (http. request. uri. path contains "/api" and not http. request. headers["authorization"][0] contains "Bearer ")

NGINX: طريقة بسيطة/قاعدة الجسم

nginx location /api/withdraw {
limit_except POST { deny all; }
if ($request_method = POST) {
set $cl $http_content_length;
if ($ cl = "") {return 411;} # length is required if ($ cl> 1048576) {return 413;} # ≤ 1MB add_header X-Idempotency-Required "true";
}
}

الرسم البياني QL: رجال الشرطة

«maxDepth = 6»، «MaxCost = 1000»، حظر «مخطط __» في البيع، السماح بقائمة العمليات، التحقق من صحة الرؤوس («نوع المحتوى: التطبيق/json»).

فحوصات مضادة للبوت وصديقة للرجل

التحدي غير المرئي (تحديات JS بدون كابتشا)، إثبات العمل على المسارات «باهظة الثمن»، التحليلات السلوكية (الحركات/التوقيت).
TLS/JA3 بصمات الأصابع، وسمعة IP/ASN، وقوائم الوكيل/VPN (ضمن حدود معقولة).
الفخاخ (حقول العسل) على النماذج، الشكل الديناميكي/رموز الجلسة.
حماية الخصوصية: التقليل من التتبع، السياسات الشفافة، خيارات إلغاء الاشتراك.

Focus API

Schema-first: OpenAPI/JSON Schema للمصادقة ؛ حظر الميادين الإضافية.
Auth: إلزامي Bearer JWT أو mTLS ؛ رفض без 'الإذن'.
المعدل/الحصة: لكل مفتاح/لكل مفتاح ؛ إذا تم تجاوزه - «الكتلة اللينة «/التباطؤ.
خطافات الويب: توقيع HMAC، «timestamp + nonce»، نافذة استقبال قصيرة.
الرسم البياني QL: انظر المحددات أعلاه ؛ سجل اسم/بطاقة العملية.

التنزيلات والوسائط

حد الحجم، القوائم البيضاء MIME/الامتدادات، إعادة تسمية الملفات ؛

مسح AV (محركات متعددة)، سياسة ImageMagick (بدون أجهزة فك تشفير خطيرة) ؛

خدمة الإبهام على نطاق منفصل، صور الخدمة فقط.

سلامة المسؤولين والمناطق الحرجة

نطاق/مسار منفصل، mTLS/حظر من ASN/البلدان الشائعة، حدود المعدل الصلب، الوصول إلى JIT، قائمة السماح IP.
الإشارات الإضافية (وضع الجهاز، درجة المخاطرة) → تتطلب فحصًا ثانيًا.

العمليات والحوادث والتصحيحات الافتراضية

Runbook: إصدار سريع لقواعد الكتلة، تقييد TTL، إشعار الأمر.
معايير التراجع: النمو 4xx/5xx> العتبة، FP> العتبة، p95 latency↑.
بعد الوفاة: أضف اختبارًا إلى مجموعة قواعد الانحدار، وألزم SIGMA بالتنبيه إلى SIEM.

الامتثال والخصوصية

سجل الحد الأدنى: مسار/طريقة/رمز/سبب كتلة/معرّفات ؛ لا تخزن أسرار PII/الجسم.
فترات الاحتفاظ بسجل السياسات ؛ والوصول - حسب الأدوار ؛ التشفير على القرص.

ميزات iGaming/fintech

المدفوعات/المدفوعات/المحافظ: حصص لكل org، mTLS لـ PSP، قوائم السماح الصارمة للمسارات، HMAC لخطابات الويب PSP.
ATO/إساءة استخدام المكافأة: قواعد السرعة لرموز تسجيل الدخول/التسجيل/الترويج، والحدود السلوكية ومكافحة الروبوت.
مزودو/استوديوهات المحتوى: مجالات/سياسات فردية، قائمة السماح لـ IP/ASN، مراقبة/تحويل Time-to-Wallet على تأثير WAF.
المتطلبات الإقليمية: السياسات الجغرافية (البلدان/المناطق)، شفافية المعالجة للائحة العامة لحماية البيانات.

خارطة طريق التنفيذ

1. جرد المناطق (عامة، واجهة برمجة التطبيقات، لوحة إدارية، تنزيلات).
2. الملف الأساسي: TLS، طرق/مسارات قائمة السماح، القواعد المدارة/CRS.
3. حدود المعدل + مضادات الروبوت على المسارات الحساسة.
4. التصحيحات الافتراضية وعملية القواعد العاجلة (جيش تحرير السودان ≤ 30 دقيقة).
5. CI/CD للقواعد، staging/canary/shadow-mode.
6. القياس عن بعد، SLO، اختبارات الانحدار للقواعد.
7. استعراض دوري للاستثناءات و «تنظيف» التجاوزات.

أخطاء شائعة

«تشغيل كل CRS إلى أقصى حد» انهيار جليدي → FP وإرهاق الفريق.
قواعد بدون طيور الكناري ووضع الظل.
لا تجزئة: سياسة واحدة لكل شيء.
تجاهل تفاصيل واجهة برمجة التطبيقات/الرسم البياني QL (مخطط/حدود).
الجذوع بدون ارتباط ('trace _ id') وبدون مقاييس الجودة.

الأسئلة الشائعة

WAF يحل محل الرمز الآمن ؟

لا ، ليس كذلك هذه طبقة تخفيف و «تصحيح افتراضي»، ولكن يجب إلغاء الدين الفني في الكود.

كيف تفهم أن الوقت قد حان لتشغيل الكتل الصلبة ؟

عندما يظهر تقرير وضع الظل FP منخفضًا وهناك اختبارات تراجع للقواعد.

هل أحتاج إلى WAF منفصل لواجهة برمجة التطبيقات ؟

أفضل WAAP/التكامل مع بوابة API: مخطط، حدود، مصادقة، توقيعات شبكية.

المجموع

إن كفاءة WAF/WAAP هي مزيج من القواعد الأساسية CRS/المدارة، والنموذج الإيجابي، ومكافحة الروبوت، والحدود والتصحيحات الافتراضية، مدعومة بعمليات DevSecOps، والقياس عن بعد، ومنظمات SLO واضحة. يوفر هذا النهج استجابة سريعة لنقاط الضعف ومقاومة الهجمات الآلية وتأثيرًا يمكن التنبؤ به على UX والأداء.