Principais conclusões
Uma firewall de rede bloqueia o tráfego amplo com base no IP e nas portas, enquanto uma Firewall de Aplicação Web (WAF) inspecciona o tráfego HTTP para detetar ataques à camada de aplicação.
A configuração manual de firewalls e scanners de malware requer a configuração do UFW, ModSecurity e ClamAV, o que acarreta um risco elevado de falhas e bloqueios do servidor.
O Cloudways automatiza a segurança da camada de aplicativos com um complemento de Proteção contra malware com um clique que monitora, verifica e limpa seus arquivos e bancos de dados automaticamente.
A segurança de um servidor começa e pára frequentemente com uma firewall básica. Uma vez bloqueadas as portas e permitido o tráfego normal da Web, é fácil assumir que a aplicação alojada está completamente a salvo de ameaças externas.
Na verdade, essa configuração padrão deixa um enorme ponto cego. Os filtros tradicionais apenas restringem o acesso ao servidor com base em IPs e portas. Nunca inspeccionam os dados reais que passam pelas tuas ligações web abertas.
Se um hacker esconde um script malicioso dentro de um tráfego HTTP normal, as defesas padrão deixam-no passar. Este ponto cego conduz toda a conversa entre WAF e firewall.
Neste guia, vamos comparar uma firewall de aplicação web com uma firewall de rede para explicar como funciona a segurança em camadas.
Também abordaremos suas diferenças distintas, as dores de cabeça da configuração manual e como automatizar facilmente toda a sua estratégia de defesa usando o Cloudways Malware Protection.
- O que é uma Firewall de Aplicação Web (WAF)?
- Principais diferenças entre um WAF e um firewall de rede
- Porque é que as firewalls externas não são suficientes
- O problema com a configuração manual de WAF e Firewall
- A solução automatizada: Complemento de proteção contra malware da Cloudways
- Como configurar firewalls e scanners de malware manualmente
- Como ativar a proteção contra malware da Cloudways
- Terminar!
O que é uma Firewall de Aplicação Web (WAF)?
Uma Web Application Firewall trata do tráfego que a tua firewall de rede ignora. Monitoriza especificamente os pedidos HTTP e HTTPS que interagem com o seu sítio Web.
Quando uma conexão é estabelecida, o WAF lê a carga de dados real. Não se preocupa com o roteamento de IP. Verifica o que os visitantes estão realmente tentando fazer. O navegador padrão que carrega uma página passa sem problemas. Um script automatizado que despeja comandos SQL num formulário de login é descartado instantaneamente.
Eis o que um WAF gere ativamente no teu servidor:
- Inspeção de carga útil: Verifica o conteúdo dos pedidos Web de entrada em busca de código oculto.
- Bloqueio de exploits: Apanha os ataques da camada 7, como o Cross-Site Scripting, antes de serem executados.
- Atenuação de bots: Impedir que scrapers maliciosos interajam com os elementos do teu site.
A firewall de rede protege a infraestrutura. O WAF protege a lógica da aplicação.
Principais diferenças entre um WAF e um Firewall de rede
Esse enorme ponto cego de que falámos anteriormente torna-se óbvio quando colocas as duas ferramentas lado a lado. Um filtro padrão deixa passar o tráfego HTTP malicioso porque literalmente não o consegue ver.
Estas firewalls funcionam a níveis completamente diferentes da tua infraestrutura. Procura ameaças completamente diferentes. Aqui está uma breve descrição de como elas se comparam.
| Funcionalidade | Firewall de rede | Firewall de aplicação Web (WAF) |
|---|---|---|
| Camada OSI | Camadas 3 e 4 (rede/transporte) | Camada 7 (Aplicação) |
| Objetivo principal | Infraestrutura do servidor | Código do site e da aplicação |
| Tráfego inspeccionado | Endereços IP, portas e protocolos | Cargas de dados HTTP/HTTPS |
| O que bloqueia | IPs não autorizados e acesso a portas fechadas | Injecções de SQL, XSS e bots maliciosos |
| Colocação | Borda do perímetro da rede | Diretamente em frente da aplicação Web |
Essa clara divisão de trabalho é a razão pela qual um filtro de porta básico não pode impedir uma tentativa de login falso. Simplesmente não tem as ferramentas para ler os dados da aplicação.
Porque é que as firewalls externas não são suficientes
As firewalls de rede e os WAFs externos partilham uma grande limitação. Eles são estritamente defesas de perímetro. Sentam-se no limite do seu servidor e filtram o tráfego de entrada.
Esse modelo de perímetro falha completamente quando uma ameaça ultrapassa a camada exterior. Um hacker pode comprar uma senha de administrador roubada para o teu site. Navega até à sua página de início de sessão e introduz as credenciais corretas.
A firewall de rede apenas vê o tráfego HTTPS padrão. O WAF vê um pedido de início de sessão válido. Ambos os sistemas aprovam a sessão e o atacante obtém acesso total.
Uma vez dentro do teu painel de controlo, podem carregar um plugin comprometido ou um script PHP malicioso. Nenhuma das firewalls assinalará esta atividade. O utilizador está totalmente autenticado e o malware está a ser carregado através de funcionalidades legítimas da aplicação. As defesas de perímetro simplesmente não conseguem impedir modificações internas de ficheiros ou acções realizadas por utilizadores com sessão iniciada.
O problema com a configuração manual de WAF e Firewall
Gerir uma firewall de rede e um WAF num servidor não gerido é exaustivo. Ter o controlo total da raiz parece ótimo até seres forçado a passar horas a ajustar as regras de segurança só para manteres o teu site online.
Configurar defesas de rede significa escrever comandos de roteamento complexos. Um único erro de digitação na configuração do iptables pode bloquear instantaneamente o acesso ao teu próprio servidor.
A configuração do WAF é normalmente pior. Instala o software e, de repente, os compradores legítimos são bloqueados no checkout. Depois, tens de ajustar constantemente regras regex complicadas para impedir que a firewall assinale o comportamento normal do utilizador como um ataque.
Quando o malware passa inevitavelmente por estas duas defesas de perímetro, o trabalho manual multiplica-se. Fica a ler milhares de linhas de registos brutos do servidor para procurar ficheiros comprometidos. Construir e manter esta segurança em camadas transforma-se rapidamente num trabalho a tempo inteiro.
A solução automatizada: Complemento de proteção contra malware da Cloudways
Em comparação com a abordagem manual de escrever regras de roteamento complexas e ajustar constantemente as configurações do WAF, proteger um servidor com o Cloudways é completamente prático. O firewall de rede básico e o WAF já estão ativos por padrão.
Para proteger contra ameaças internas que escapam ao perímetro, basta ativar o suplemento Proteção contra Malware.
Isto substitui completamente a necessidade de trabalhar na linha de comandos. O sistema utiliza a Auto-Proteção de Aplicações em Tempo de Execução (RASP) para monitorizar o teu ambiente a partir do interior.
Em vez de se basear em regras estáticas que tens de atualizar, o RASP avalia os scripts PHP em tempo real à medida que são executados. Se um script tentar executar um comando malicioso, o sistema bloqueia-o instantaneamente.
Também assume o processo de limpeza real. Nunca terás de vasculhar as tabelas da base de dados ou ler os registos brutos do servidor para encontrar ficheiros infectados.
O add-on inclui Deep Database Protection para descobrir ameaças ocultas e remove automaticamente o código comprometido. Obtém uma aplicação totalmente segura sem as dores de cabeça da configuração.
Protege o teu servidor sem a linha de comando
Ignora a configuração manual arriscada. Obtém um WAF integrado, defesa RASP proativa e limpeza automatizada de malware em um clique com o complemento Cloudways Malware Protection.
Como configurar firewalls e scanners de malware manualmente
Para entender exatamente quanto trabalho a rota automatizada economiza, vamos ver a alternativa manual. Para este tutorial, vamos configurar um firewall de rede, um WAF e um scanner de malware do zero em um droplet da DigitalOcean.
Passo 1: Configuração da firewall de rede
Primeiro, liga-te ao teu servidor através de SSH. Tens de utilizar uma ferramenta como o UFW para permitir explicitamente o tráfego Web e bloquear tudo o resto.
Antes de fazeres qualquer coisa, tens de permitir ligações SSH. Se não o fizeres, a firewall irá bloquear-te permanentemente do teu próprio servidor assim que o ligares.
Executa este comando e prime Enter: sudo ufw allow ssh
Quando disser “Rules updated”, executa este comando e prime Enter: sudo ufw allow 80/tcp
Em seguida, executa este comando e prime Enter: sudo ufw allow 443/tcp
Agora que as tuas portas estão abertas, liga a firewall executando: sudo ufw enable (Carrega em‘y‘ e Enter quando te pedir para interromperes as ligações)
Para verificar se as tuas regras estão realmente activas, executa uma verificação de estado: sudo ufw status
Etapa 2: Instalação e ajuste do WAF
Agora precisas de uma Web Application Firewall para monitorizar os pedidos HTTP. Instala o ModSecurity para o Apache.
Executa este comando e prime Enter para transferir o pacote: sudo apt-get install libapache2-mod-security2
Quando a instalação estiver concluída, ativa o módulo executando: sudo a2enmod security2
Em seguida, reinicia o servidor Web para que as alterações tenham efeito: sudo systemctl restart apache2
É aqui que o trabalho manual se torna aborrecido. Este comando apenas instala um motor em branco a funcionar em modo passivo. Tens de copiar o ficheiro de configuração predefinido para o tornar ativo.
Executa este comando e prime Enter: sudo cp /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf
Agora, abre esse ficheiro num editor de texto, executando: sudo nano /etc/modsecurity/modsecurity.conf
Dentro desse ficheiro, desce até encontrar a linha que diz SecRuleEngine DetectionOnly. Altera esse texto exato para SecRuleEngine On. Guarda o ficheiro premindo Ctrl+O e depois Enter, e sai premindo Ctrl+X.
Mesmo com o mecanismo ativado, o WAF não sabe como é a carga útil de um hacker. Tens de transferir e extrair manualmente o OWASP Core Rule Set.
Executa este comando e prime Enter para transferir os ficheiros: wget https://github.com/coreruleset/coreruleset/archive/v3.3.2.tar.gz
Quando a transferência terminar, extrai os ficheiros executando: tar -xvf v3.3.2.tar.gz
Passo 3: Verificação manual de malware
Finalmente, precisas de uma ferramenta para analisar os teus ficheiros locais à procura de qualquer coisa que tenha ultrapassado as duas primeiras camadas.
Instala o motor ClamAV executando este comando: sudo apt-get install clamav
Uma vez instalada, actualiza a base de dados de assinaturas de vírus executando: sudo freshclam
Agora, aciona manualmente uma verificação recursiva no seu diretório web público. O sinalizador -i garante que o terminal só mostra os ficheiros infectados. Executa este comando: clamscan -r -i /var/www/html
Quando a verificação termina, o terminal apresenta uma lista de ficheiros infectados. Não os limpa por ti. Tens de abrir cada ficheiro sinalizado, procurar manualmente o bloco de código malicioso e eliminá-lo cuidadosamente sem danificar acidentalmente o teu site.
O verdadeiro problema com toda esta configuração manual é a manutenção contínua. Se instalares um plugin WordPress complexo na próxima semana, as tuas regras rigorosas do WAF podem acidentalmente impedir os teus clientes reais de o utilizarem.
Depois tens de voltar a entrar no terminal, ler centenas de linhas de registos de erros para descobrir porque foram bloqueados e reescrever manualmente as tuas configurações para resolver o conflito.
Como ativar a proteção contra malware da Cloudways
O método manual exigia a configuração de portas UFW, a definição de regras ModSecurity e o download de assinaturas ClamAV. Isto deixa uma enorme margem de erro. Um simples erro de digitação pode bloquear o teu servidor, as instalações do WAF podem causar conflitos de portas e uma verificação de malware pode facilmente travar o teu sistema se ficar sem memória RAM.
Em comparação com isso, o Cloudways elimina comandos de terminal, limites de memória e limpeza manual. O firewall de rede e o WAF estão ativos por padrão. Para proteger a camada de aplicação, basta ativar o complemento de Proteção contra Malware.
Passo 1: Navega até à Segurança da Aplicação
Faz login na sua plataforma Cloudways. Selecione seu Servidor, escolha seu Aplicativo específico e clique em Segurança do aplicativo no menu de gerenciamento à esquerda. Em seguida, seleciona Proteção contra malware.
Passo 2: Ativar a proteção e o Auto-Scan
Clica no botão Ativar proteção. Isto ativa instantaneamente a proteção em tempo real e desencadeia automaticamente a tua primeira verificação abrangente de malware.
Varre os seus ficheiros Web e, se utilizar o WordPress, Magento ou Joomla, efectua uma análise profunda da base de dados. Nem sequer tens de manter a plataforma aberta enquanto corre em segundo plano.
Passo 3: Monitoriza o painel de controlo de segurança
Uma vez ativo, o add-on substitui os registos brutos do terminal por três separadores simples:
- Malicioso: Este separador lista todas as ameaças activas ou em quarentena. Mostra o caminho exato do arquivo ou a tabela do banco de dados onde o malware foi encontrado e a ação automatizada tomada (Limpo, Em quarentena ou Removido). Podes até ver o código injetado ou restaurar ficheiros diretamente a partir deste menu.
- Histórico de verificações: Apresenta um registo completo de todas as verificações anteriores, mostrando o número total de objectos verificados e os resultados. Também podes clicar em “Iniciar verificação” aqui para ativar uma verificação imediata a pedido.
- Defesa proactiva: Este é o teu registo de proteção em tempo de execução. Detalha os eventos proativos em que scripts PHP maliciosos foram bloqueados antes da execução, mostrando o carimbo de data/hora exato e o caminho do script.
Terminar!
A segurança de uma aplicação de produção não deve exigir que monitorizes constantemente as saídas dos terminais ou que te preocupes em fazer crashar o teu próprio sistema com uma verificação básica de malware. A abordagem manual usando UFW, ModSecurity e ClamAV é altamente frágil.
Um toque de tecla errado pode bloquear-te, e uma base de dados de vírus demasiado grande pode facilmente desencadear um erro de falta de memória e colocar o teu servidor offline.
A Cloudways elimina completamente essa sobrecarga operacional. Os firewalls de rede e os firewalls de aplicação web são tratados automaticamente para ti.
Ao ativar simplesmente o suplemento de Proteção contra Malware por apenas $4 por mês por aplicação, os seus ficheiros web e bases de dados são continuamente monitorizados, analisados e limpos. Proporciona uma segurança completa do sítio web sem o risco constante de erros de configuração manual que colocam o seu servidor offline.
Q. Qual é a diferença entre WAF e firewall?
A. Uma firewall tradicional monitora o tráfego de rede amplo com base em endereços IP e portas. Uma Web Application Firewall (WAF) inspecciona especificamente o tráfego HTTP para bloquear ataques a aplicações como a injeção de SQL.
Q. O WAF é uma firewall de camada 7?
A. Sim, um WAF opera na Camada 7, também conhecida como a camada de aplicação do modelo OSI. Isto permite-lhe analisar o conteúdo real do tráfego Web para identificar cargas maliciosas.
Q. Quais são os 4 tipos de firewalls?
A. Os quatro tipos principais são firewalls de filtragem de pacotes, firewalls de inspeção stateful, firewalls de proxy e firewalls da próxima geração (NGFW). Cada um oferece diferentes níveis de inspeção de tráfego e proteção de rede.
Abdul Rehman
O Abdul é um profissional de marketing experiente em tecnologia, movido a café e criativo, que adora manter-se a par das últimas actualizações de software e gadgets tecnológicos. É também um escritor técnico competente que consegue explicar conceitos complexos de forma simples para um público alargado. Abdul gosta de partilhar os seus conhecimentos sobre a indústria da nuvem através de manuais de utilizador, documentação e publicações em blogues.
