שיעור 12: הגנה היקפית — Firewall, WAF, DMZ ו-IDS/IPS
בשיעור הקודם מיפינו איך תוקפים פוגעים ישירות באפליקציה — XSS, SQL Injection, Buffer Overflow וגניבת אישורים. השיעור הזה עובר לצד ההגנה: הכלים שיושבים על הגבול שבין האינטרנט הפתוח לרשת הארגון, ועוצרים חלק ניכר מהאיומים האלה עוד לפני שהם מגיעים לאפליקציה. נכיר את חומת האש על שני סוגיה המרכזיים — Packe
בקיצור: Packet Filtering בודק כל חבילה לבד לפי כללים קבועים; Stateful זוכר את השיחה כולה ובודק אם החבילה שייכת אליה — אבל בדיוק בגלל שהוא 'זוכר', תוקף יכול להציף אותו ולמלא לו את הזיכרון (SYN Flood). WAF שומר על האפליקציה מפני התקפות כמו SQL Injection ו-XSS. DMZ שם שרתים חשופים לאינטרנט באזור מבודד, כדי שפריצה אליהם לא תגיע ישר לרשת הפנימית. IDS מתריע; IPS גם חוסם. VPN מצפין תעבורה במנהרה מעל רשת לא מהימנה. NACL מסנן כבר ברמת תת-הרשת, בלי לזכור כלום.
- Packet Filtering Firewall
- מסנן חבילות ברמת הרשת (Layer 3) והתעבורה (Layer 4) לפי כללים סטטיים מוגדרים מראש (ACL) — כתובת IP, פורט, פרוטוקול וכיוון — ללא כל התייחסות למצב החיבור.
- Stateful Firewall ו-State Table
- חומת אש שמנתחת הקשר שיחה ולא כל חבילה בבידוד: כשחבילת SYN מאושרת, נפתחת שורה ב-State Table (יומן בזיכרון ה-RAM) עם ה-IP, הפורטים והמספר הסידורי (SEQ) הצפוי; חבילות עתידיות נבדקות מול השורה הזו בלבד. אותה טבלה שמאפשרת לזהות חיבור מזויף חושפת את הפייחוול להצפת SYN שממלאת את ה-RAM.
- WAF (Web Application Firewall)
- רכיב אבטחה שמסנן תעבורת HTTP/S ברמת האפליקציה, מנתח את תוכן הבקשה המלא (לא רק פרטי פרוטוקול), ומגן באופן ממוקד מפני התקפות כמו SQL Injection, XSS ו-CSRF מתוך OWASP Top 10.
- DMZ (Demilitarized Zone)
- אזור מבודד המאחסן שירותים שחייבים להיות נגישים מהאינטרנט (Web, דואר, DNS), כך שפריצה אליהם מגבילה את התוקף ל-DMZ בלבד. בתצורת Single Firewall מכשיר אחד מנהל את כל התעבורה; בתצורת Dual Firewall שני מכשירים נפרדים — אחד בין האינטרנט ל-DMZ ואחד בין ה-DMZ לרשת הפנימית — מייקרים את מחיר הפריצה.
- IDS מול IPS
- IDS מנטר תעבורה ואירועי מערכת (בשיטת signature-based או anomaly-based) ומתריע בלבד, בלי לחסום. IPS משלב את אותה יכולת זיהוי עם חסימה אקטיבית בזמן אמת.
- VPN (רשת וירטואלית פרטית)
- מאפשר חיבור מוצפן ומאובטח מעל רשת ציבורית לא מהימנה, באמצעות 'מנהרה' (Tunnel) וירטואלית מוצפנת ואימות זהות — כך שגם כשהנתונים עוברים דרך האינטרנט הפתוח, הם נשארים בלתי ניתנים לפענוח.
- Network ACL (NACL)
- שכבת הגנה נוספת חסרת מצב (Stateless) ברמת תת-הרשת (Subnet/VLAN), המסננת תעבורה נכנסת ויוצאת לפי כללי Allow/Deny סטטיים המבוססים על IP ופורטים — עוד לפני שהתעבורה מגיעה ל-Firewall הראשי.