جدران حماية تطبيقات الويب - أو WAFs -نوع جديد نسبيا من جدار الحماية. إنها لا تحظر أو تسمح فقط بحركة المرور بناءً على عناوين IP والمنافذ. يخطو خطوة أبعد لتحليل حركة المرور واتخاذ القرارات بناءً على مجموعة من قواعد العمل المحددة مسبقًا. كما يوحي اسمها ، فإن الغرض الرئيسي منها هو تأمين التطبيقات المستندة إلى الويب. يمكن أن يكون اختيار جدار حماية تطبيق الويب مهمة شاقة. توجد إما كخدمة قائمة على الحوسبة السحابية أو كجهاز ، ولكل منها مزاياها وأوجه قصورها. لهذا السبب قمنا بتجميع هذه القائمة من أفضل 10 جدران حماية لتطبيق الويب. سوف يساعدك على تقييم ميزات المنتج من مختلف البائعين.
في هذه المقالة ، سنبدأ بـمناقشة حول تطبيقات الويب جدران الحماية ، ما هي والغرض الذي تخدمها. سنقوم بعد ذلك بمقارنة الأنظمة المستندة إلى مجموعة النظراء والمستندة إلى الأجهزة وسرد إيجابيات وسلبيات كل منها. كما سترى ، إنه أكثر من مجرد خيار فلسفي. بعد الانتهاء من شرح أساسيات WAFs ، سنتعمق في جوهر موضوعنا ولا نقدم قائمة واحدة بل قائمتين. أولاً ، سنراجع أفضل خمس WAFs المستندة إلى مجموعة النظراء وبعد ذلك سنلقي نظرة على أفضل خمسة أجهزة WAF.
WAFs باختصار
كما ذكرنا في مقدمة لدينا على شبكة الإنترنتجدار حماية التطبيق هو نوع خاص من الأجهزة. يمكن استخدامه لتأمين التطبيقات المستندة إلى الويب بشكل أفضل بكثير مما هو ممكن مع جدران الحماية القياسية. ستحمي WAF النموذجية موقع الويب من عدة أنواع من الهجمات مثل البرمجة النصية عبر المواقع ، والتسمم بملفات تعريف الارتباط ، وتجريد الويب ، والعبث بالمعلمات ، وتجاوز سعة المخزن المؤقت ، والعديد من أنواع الثغرات الأمنية الأخرى.
خلافا للجدران النارية التقليدية التي القاعدةقرارهم بالسماح أو حظر حركة المرور على معلمات بسيطة مثل عنوان IP أو رقم المنفذ ، تعتمد WAFs في الغالب على قرارهم على تحليل متعمق لبيانات HTML. يفحصون الطلبات التي تحاول التعرف على أنماط السلوك الضارة. سيقومون أيضًا بفك تشفير حركة مرور HTTPS لضمان عدم إدخال تعليمات برمجية ضارة في الحزم المشفرة. سيتم البحث عن جدران الحماية الخاصة بتطبيقات الويب لتوقيعات البرامج الضارة المعروفة ، ولكنها ستعترض أيضًا أي طلبات تالفة أو غير قياسية للحصول على أفضل حماية ممكنة.
في حد ذاته ، سيقدم جدار حماية تطبيق الويبدرجة جيدة من الحماية ، لكن عندما تحصل على حزم مع أنظمة حماية أخرى مثل جدران الحماية القياسية أو برامج الحماية من الفيروسات ، ستحصل على أفضل تغطية ضد أكبر عدد من التهديدات. أكثر من أي وقت مضى ، يحتاج مسؤولو الشبكة إلى اعتماد نهج كلي لمنع البرامج الضارة.
سحابة المستندة أو الأجهزة؟
هناك أساسا نوعان من الويبجدران الحماية التطبيق. يمكن أن تكون WAFs قائمة على السحابة أو تعمل كجهاز. يستضيف البائع WAFs المستندة إلى مجموعة النظراء. تتم إعادة توجيه جميع الطلبات إلى موقع الويب الخاص بك - من خلال سحر DNS - إلى مثيل WAF الخاص بك حيث يتم التحقق منها قبل إعادة توجيهها إلى موقعك الفعلي.
الأجهزة WAFs هي الأجهزة. إنها أجهزة كمبيوتر متخصصة ، عادةً لا توجد بها واجهة مستخدم مثل الشاشة ولوحة المفاتيح التي تعمل بنظام تشغيل مخصص وبرنامج Web Application Firewall. عادةً ما يتم تثبيتها داخل مركز البيانات الخاص بك وتقع بين جدار الحماية التقليدي وخوادم الويب الخاصة بك حيث يقومون باعتراض الطلبات الموجهة إليهم.
سحابة القائم على الايجابيات والسلبيات
على الجانب الإيجابي ، يتطلب الحل المستند إلى مجموعة النظراءلا صيانة حيث يتم التعامل معها من قبل البائع. تحتوي هذه الحلول عادةً على ميزات مدمجة أو ميزات توفر عالية. عادةً ما يتعامل البائع مع النسخ الاحتياطية للنظام. ميزة أخرى هي أن خدمة WAF يمكن إقرانها مع خدمات أخرى من نفس البائع. يمكنك ، على سبيل المثال ، الجمع بين توزيع المحتوى وميزات WAF لمزود واحد لحل متكامل بسلاسة.
لكن WAFs المستندة إلى مجموعة النظراء لديها أيضًا عيوب قليلة. أحد أهم هذه الأمور هو أنه يمكنهم قفل مزود خدمة واحد لكثير من الخدمات. نظرًا لأن كل حركة المرور إلى موقع الويب الخاص بك يجب إعادة توجيهها إلى موفر السحابة ، فليس لديك أي خيار آخر سوى استخدام خدمات الأمان الأخرى مثل جدار الحماية التقليدي.
WAF إيجابيات وسلبيات
الميزة الرئيسية لأجهزة WAF هي أنكالحفاظ على كل شيء في المنزل. يمنحك السيطرة الكاملة على كل تفاصيل البنية التحتية الخاصة بك هذا يعني أيضًا أنك حر في اختيار مكونات مختلفة من موردين مختلفين.
على الجانب السلبي ، استخدام جهاز يعني ذلكلديك للحفاظ عليه. وعليك ترقيته مع زيادة حركة المرور الخاصة بك. يعني استخدام حل الأجهزة أيضًا تكلفة أعلى بكثير حيث يجب شراء جميع المعدات من البداية. في النهاية ، الخيار متروك لك ولكن يجب أن تدع احتياجاتك المحددة ترشدك بدلاً من اختيار نوع التثبيت أولاً.
أفضل 5 WAFs المستندة إلى مجموعة النظراء
قمنا بتجميع قائمة من أفضل خمسةيمكن أن يستند إلى جدران حماية تطبيق الويب. إنهم جميعًا من موردين مرموقين ويقدمون قيمة كبيرة مقابل نقودك. لا يمكننا حقًا التوصية بواحد على الآخرين لأنها جميعها منتجات ممتازة.
1. Cloudflare WAF
Cloudflare قد اكتسب سمعة ممتازة لحماية خوادم الويب من هجمات DDoS. يعرض تقديم الخدمة أيضًا جدار حماية تطبيق ويب. الخدمة لديها بالفعل قاعدة عملاء ضخمة وخوادمها تتعامل حاليا مع ما يقرب من ثلاثة ملايين طلب في الثانية الواحدة. وإذا قمت بزيارة موقع Cloudflare على الويب ، فسترى أنه تم تشغيل أكثر من 400 مليون من قواعد WAF في اليوم الأخير.
واحدة من الفوائد الأساسية لاستخدام السحابةالخدمة مع قاعدة عملاء واسعة كهذه هي أنه يمكنك الاستفادة من المعلومات الاستخباراتية المكتسبة من عملاء آخرين. على سبيل المثال ، إذا تم اكتشاف محاولة هجوم على عميل آخر ، فسيتم إنشاء توقيع جديد وتطبيقه على جميع العملاء. ومن المزايا الأخرى لحل Cloudflare أنها توفر أيضًا تسليم المحتوى وحماية DDoS.
2. أكامي كونا موقع المدافع
Akamai هي الشركة الرائدة عالمياً في تقديم المحتوىالأنظمة. على مر السنين ، أضافت الشركة المزيد من الوظائف إلى عروضها. يعتبر Kona Site Defender ، كما يطلق عليه WAF ، أحدهم. يدمج جدار حماية تطبيق الويب حماية DDoS الكاملة. وبالطبع ، يمكن أيضًا دمج خدمة WAF مع خدمات Akamai الأخرى مثل شبكة توصيل المحتوى. بمجرد إعادة توجيه حركة المرور الخاصة بك إلى Akamai ، يمكنك الاستفادة منها واستخدام العديد من الخدمات التي تحتاج إليها.
بسبب حجمها وقاعدة العميل ، أكاماي في كثير من الأحيانيكتشف مآثر جديدة في وقت أقرب من البائعين الآخرين. باعتبارك مستخدمًا لـ Kona Site Defender ، يمكنك الاستفادة من هذه الميزة التنافسية والحصول بشكل فعال على حماية أقوى مع إمكانية حظر أفضل للمآثر التي تتم في يوم صفر.
3. F5 سيلفرلاين
F5 غالبًا ما تشتهر بـ BIG-IPالأجهزة من خدماتها السحابية. باختصار ، يعد F5 Silverline هو الإصدار عبر الإنترنت لجهاز BIG-IP ASM الممتاز الذي تمت مراجعته أدناه. وهي متوفرة كخدمة مدارة أو كما يشير F5 كخدمة ذاتية صريحة لحماية تطبيقات الويب والبيانات من التهديدات المتطورة باستمرار. يمكن أن يكون الاشتراكات لمدة سنة واحدة أو ثلاث سنوات. يتم تضمين الدعم المباشر على مدار 24 ساعة مع الخدمة.
ميزة واحدة رئيسية لهذه الخدمة المستندة إلى مجموعة النظراءهو أنه يمكن أن يحمي البنية التحتية الموزعة أو المستضافة على السحابة. وتشمل الحماية طبقة 7 DDoS التدريع وسوف تحظر أيضا عناوين مجهولة المصدر مثل تلك التي هي جزء من شبكة Tor. يستخدم النظام أيضًا قائمة سوداء حية لممارسي الخداع المعروفين وكاشطات الويب. ونظرًا لأن جميع العملاء يشاركون هذه القائمة السوداء ، فإنك تستفيد من أي معلومات استخبارية اكتسبتها مع عميل آخر.
4. خدمات أمازون ويب
خدمات الويب من Amazon - أو AWS - هيخدمة الاستضافة السحابية المعروفة عالمياً على الإنترنت. إنه يستفيد من البنية التحتية الضخمة الموزعة من Amazon لتقديم خدمات الاستضافة. إذا كنت أحد عملاء Amazon Web Services ، فقد يكون AWS WAF مناسبًا لك. توفر خدمة Amazon Web Service أيضًا خدمة موازنة التحميل وتقديم المحتوى.
نموذج التسعير من Amazon Web Services WAFيختلف عن البائعين الآخرين. بدلاً من دفع مبلغ محدد مسبقًا كل شهر ، يتم إصدار فاتورة لكل قاعدة أمان تضيفها إلى خدمتك وعن عدد طلبات الويب التي يتم تلقيها كل شهر. أفضل شيء في هذا هو أنه لا يتعين عليك الدفع على الفور مقابل بعض النمو في المستقبل. كما أنها مثيرة للاهتمام للغاية للمنظمات ذات الذروة الموسمية.
5. Imperva Incapsula
Imperva هو اسم شائع آخر في أمان تكنولوجيا المعلوماتحقل. الخدمة المدارة المستندة إلى Incapsula Web Application Firewall Imperva للحماية من هجمات طبقة التطبيق ، بما في ذلك جميع هجمات Open Web Application Security Project ، وهي أعلى 10 هجمات وتهديدات باليوم صفر. الخدمة معتمدة من PCI وقابلة للتخصيص بدرجة عالية. كما أنها فعالة للغاية وسوف تمنع معظم التهديدات بأقل قدر من الإيجابيات الخاطئة.
Incapsula هي واحدة من أرخص WAF المستندة إلى مجموعة النظراءالحلول التي يمكنك العثور عليها. تبدأ الخطط حتى 300 دولار شهريًا. تتمثل إحدى الميزات الرائعة لبرنامج Incapsula في أنه بالإضافة إلى WAF "التقليدي" ، يقوم النظام أيضًا باستطلاع الخوادم الخاصة بك وسيقوم بإرسال تصحيحات لمعالجة المشكلات الموجودة وتوفير حماية أفضل لتطبيقات الويب الخاصة بك. يمكنك بالطبع جدولة تصحيحات ليتم تطبيقها في أي وقت تختاره لتقليل آثار التشغيل.
لدينا أفضل 5 أفضل الأجهزة WAF
تمامًا مثل أفضل حلول WAF المستندة إلى السحابةجميعهم من بائعين معروفين ، وكذلك الحال مع أجهزتنا WAF. هم من بعض بائعي المعدات الأمنية الأكثر شهرة. ومثل قائمتنا السابقة ، هذه القائمة ليس لديها سوى الأفضل. لاحظ أن معظم بائعي أجهزة WAF يقدمون أيضًا خدمة سحابية.
1. Imperva SecureSphere
Imperva هو واحد من البائعين اللذين قاما بذلكفي كل من قائمتنا. يستهدف SecureSphere WAF المنشآت الأصغر. تختلف الوحدات المختلفة التي يقترحونها في الإنتاجية من 100 ميجابت في الثانية إلى 10 جيجابت في الثانية مع أصغر قدرة على معالجة 440 معاملة SSL في الثانية والأكبر حجمًا حوالي 9000. وحدة متوسطة ، X2020 بها سرعة إنتاجية 500 ميجابت في الثانية ، ستقوم بمعالجة 2000 SSL المعاملات في الثانية الواحدة ، وسوف يعيد لك حوالي 4200 دولار.
إذا اخترت أحد النماذج العليا ، فستكون كذلكيسعدنا أن نتعلم أنها قابلة للترقية إلى النموذج الأكبر التالي. على سبيل المثال ، يمكن ترقية X821 إلى X 10K ، مما يضاعف قدرته بشكل فعال. ولا تتطلب الترقية سوى شراء برنامج وترخيص البرنامج المناسب. لا توجد ترقيات الأجهزة مكلفة.
2. باراكودا جدار حماية تطبيق الويب
باراكودا هو اسم محترم آخر فيمجال أمن تكنولوجيا المعلومات. يقترح حلاً ممتازًا WAF وهو مناسب تمامًا للمؤسسات الصغيرة والمتوسطة الحجم. تعد أجهزة Barracuda أغلى إلى حد ما من الأجهزة المنافسة لها ولكنها تأتي مع تحديثات مجانية لمدة عام. وحول التحديثات ، تحدث بشكل متكرر ، كلما تم تحديد تهديد جديد.
يحتوي جهاز Barracuda WAF أيضًا على عدد قليل إضافيالميزات. على سبيل المثال ، يوفر التخزين المؤقت لتسليم المحتوى بشكل أسرع. تحميل موازنة بين خوادم متعددة هو ميزة أخرى متاحة. يمكنك حتى إضافة حماية DDoS كاملة. مثل معظم أجهزة WAF الأخرى ، يتوفر Barracuda WAAF بعدة أحجام. سوف يكلفك جهاز متوسط ، مثل موديل 360 ، حوالي 6350 دولارًا ويمنحك 25 ميغابت في الثانية من الإنتاجية و 2000 معاملات SSL في الثانية.
3. سيتريكس Netscaler تطبيق جدار الحماية
Citrix Netscaler هو حمل شائع للغايةموازنة الأجهزة. إذا كنت تستخدمها بالفعل ، فسيسعدك أن تعرف أنه يمكنك أيضًا استخدام بعضها كجدار حماية تطبيق ويب. تتوفر الوظيفة فقط في أفضل أجهزة NetSclaer MPX أو NetScaler Cloud Service. علاوة على ذلك ، ستحتاج إلى شراء ترخيص Platinum من الدرجة الأولى للحصول عليه مجانًا رغم أنه متاح أيضًا كخيار مع ترخيص Enterprise.
أكبر ميزة من NetScaler WAF هوأن تحصل على أحدث موازنة التحميل والأمن في مربع واحد. هذا نظام ممتاز ويأتي بسعر ممتاز. يمكنك أن تتوقع أن تدفع حوالي 4000 دولار لأصغر طراز ، MPX 5550 بسعة 500 ميجابت في الثانية وما يصل إلى 1500 معاملة SSL في الثانية.
4. Fortinet FortiWeb
جهاز FortiWeb من Fortinet أفضلمناسبة لمنظمات أصغر إلى متوسطة الحجم. يدمج الجهاز WAF ، وموازنة التحميل ، ووظيفة إلغاء تحميل طبقة المقابس الآمنة. واحدة من أفضل وأحدث ميزات جهاز FortiWeb هو التعلم الآلي القائم على خطوتين والذي يحسن دقة اكتشاف الهجوم. يقوم بإنشاء جدار حماية تطبيق ويب "تعيين وتنسى" تقريبًا
يحمي جهاز FortiWeb جهازكبنية أساسية من أحدث ثغرات التطبيقات ، والروبوتات ، وعناوين URL المشبوهة. كما تحافظ محركات الكشف عن تعلم الآلة المزدوجة على التطبيقات الخاصة بك في مأمن من جميع أنواع التهديدات مثل حقن SQL والبرمجة عبر المواقع وتجاوزات المخزن المؤقت وتسمم ملفات تعريف الارتباط والمصادر الضارة وهجمات DDoS. هناك ثمانية طرازات مختلفة من FortiWeb للاختيار من بينها ، مع زيادة السعة لكل منها. وهي تتراوح من مستوى الإدخال 100D بسرعة 25 ميجابت في الثانية إلى الطراز 4000E الأعلى مع 20 جيجابت في الثانية من الإنتاجية.
5. مدير أمان تطبيق F5 BIG-IP (ASM)
أخيرًا وليس آخرًا جهاز F5 BIG-IP ASM. قد تعرف F5 كأحد المنافسين الرئيسيين لسيتريكس. إنهم معروفون بموازنات التحميل الأرفع الخاصة بهم. هذا هو الجهاز الذي يستهدف الشركات الكبرى.
تستخدم حماية تهديدات ASM F5 BIG-IP بعمقتحليل التهديد والتعلم الديناميكي ، بالكاد لديك أي تكوين للقيام به ، ومع ذلك يمكنك التأكد من أن البنية التحتية الخاصة بك محمية بشكل كاف. ميزة أخرى مثيرة للاهتمام من F5 BIG-IP ASM هي تفريغ SSL. سيتعامل الجهاز مع تشفير SSL وفك التشفير أثناء الطيران ، مما يسمح لخوادم الويب الخاصة بك بالتركيز على ما يقومون به على أفضل وجه ، وتقديم صفحات الويب.
فى الختام
مع الكثير من المنتجات والخدمات للاختيارمن ، يمكن أن يكون اختيار حل WAF المناسب بمثابة حفنة. إنها أنظمة باهظة الثمن وغالبًا ما تتطلب جهودًا كبيرة وتدريبًا لإعدادها وتكوينها بشكل صحيح. ربما هذا ليس شيئًا تريد القيام به مرتين فقط لتجربة العديد من المنتجات المختلفة. تأكد من تحديد احتياجاتك بدقة وإسقاطات نموك وفرصك في أن تكون في وضع أفضل لاختيار WAF الذي يناسبك.
تعليقات