I firewall per applicazioni Web o WAF sono atipo relativamente nuovo di firewall. Non si limitano a bloccare o consentire il traffico in base a indirizzi IP e porte. Fanno un ulteriore passo avanti per analizzare il traffico e prendere decisioni basate su una serie di regole aziendali predefinite. Come suggerisce il nome, il loro scopo principale è proteggere le applicazioni basate sul Web. La scelta di un'applicazione Web Firewall può essere un'attività scoraggiante. Esistono come servizio basato su cloud o come dispositivo, ciascuno con i suoi vantaggi e le sue carenze. Ecco perché abbiamo compilato questo elenco dei 10 migliori firewall per applicazioni Web. Ti aiuterà a valutare le caratteristiche del prodotto di diversi fornitori.
In questo articolo, inizieremo con adiscussione sui firewall delle applicazioni Web, cosa sono e quale scopo servono. Confronteremo quindi i sistemi basati su cloud e basati su dispositivi ed elencheremo i pro ei contro di ciascuno. Come vedrai, è più di una semplice scelta filosofica. Dopo che avremo finito di spiegare le basi dei WAF, ci immergeremo nel nocciolo della nostra materia e presenteremo non uno ma due elenchi. Innanzitutto, esamineremo il i migliori cinque WAF basati su cloud e poi daremo un'occhiata a migliori cinque apparecchi WAF.
WAF in breve
Come abbiamo affermato nella nostra introduzione un WebApplication Firewall è un tipo speciale di dispositivo. Può essere utilizzato per proteggere le applicazioni basate sul Web molto meglio di quanto sia possibile con i firewall standard. Un tipico WAF proteggerà un sito Web da diversi tipi di attacchi come scripting cross-site, avvelenamento da cookie, web scraping, manomissione dei parametri, buffer overflow e molti altri tipi di vulnerabilità.
Contrariamente ai firewall tradizionali su cui si basala loro decisione di consentire o bloccare il traffico su parametri semplici come l'indirizzo IP o il numero di porta, i WAF basano principalmente la loro decisione su un'analisi approfondita dei dati HTML. Esaminano le richieste che provano a riconoscere modelli di comportamento dannoso. Decodificheranno anche il traffico HTTPS per garantire che nessun codice dannoso sia inserito in pacchetti crittografati. I firewall per applicazioni Web saranno alla ricerca di firme malware note ma intercetteranno anche eventuali richieste non conformi o non standard per la migliore protezione possibile.
Di per sé, offrirà un Web Application Firewallun buon livello di protezione, ma è quando lo aggreghi ad altri sistemi di protezione come firewall standard o software di protezione da virus che otterrai la migliore copertura contro il maggior numero di minacce. Oggi più che mai, gli amministratori di rete devono adottare un approccio olistico alla prevenzione del malware.
Basato su cloud o dispositivo?
Esistono essenzialmente due tipi di WebFirewall dell'applicazione. I WAF possono essere basati su cloud o eseguiti come appliance. I WAF basati su cloud sono ospitati dal fornitore. Tutte le richieste al tuo sito Web vengono reindirizzate - attraverso la magia del DNS - all'istanza WAF in cui viene verificata prima di essere inoltrata al tuo sito reale.
I WAF degli apparecchi sono dispositivi hardware. Sono computer specializzati, in genere senza interfaccia utente come uno schermo e una tastiera che eseguono un sistema operativo personalizzato e il software Web Application Firewall. In genere sono installati nel data center e si trovano tra il firewall tradizionale e i server Web in cui intercettano le richieste che li indirizzano.
Pro e contro dei WAF basati su cloud
Tra i lati positivi, richiede una soluzione basata su cloudnessuna manutenzione in quanto è gestita dal venditore. Queste soluzioni in genere hanno ridondanza integrata o funzionalità di alta disponibilità. Il fornitore in genere gestisce anche i backup di sistema. Un altro vantaggio è che il servizio WAF può spesso essere associato ad altri servizi dello stesso fornitore. Ad esempio, è possibile combinare la distribuzione del contenuto e le funzionalità WAF di un singolo provider per una soluzione perfettamente integrata.
Ma i WAF basati su cloud presentano anche alcuni svantaggi. Uno dei più importanti è che potrebbero bloccarti con un unico provider per molti servizi. Poiché tutto il traffico verso il tuo sito Web deve essere reindirizzato al provider cloud, quasi non hai altra scelta che utilizzare i loro altri servizi di sicurezza come un firewall tradizionale.
Pro e contro degli elettrodomestici WAF
Il vantaggio principale degli apparecchi WAF è quello di tetieni tutto in casa. Ti dà il controllo completo su ogni dettaglio della tua infrastruttura. Significa anche che sei libero di scegliere componenti diversi da fornitori diversi.
Sul lato negativo, l'uso di un apparecchio significa questodevi mantenerlo. E dovrai aggiornarlo all'aumentare del traffico. L'uso di una soluzione hardware comporta anche un costo iniziale molto più elevato poiché tutte le apparecchiature devono essere acquisite dall'inizio. In definitiva, la scelta spetta a te, ma dovresti eventualmente lasciarti guidare dalle tue esigenze specifiche piuttosto che scegliere prima un tipo di installazione.
I nostri 5 migliori WAF basati su cloud
Abbiamo compilato un elenco dei cinque miglioriFirewall di applicazioni Web basati su could. Provengono tutti da fornitori affidabili e offrono un ottimo rapporto qualità-prezzo. Non possiamo davvero consigliare uno sopra gli altri in quanto sono tutti prodotti eccellenti.
1. Cloudflare WAF
Cloudflare ha guadagnato un'ottima reputazione perproteggere i server Web dagli attacchi DDoS. La sua offerta di servizi include anche un Web Application Firewall. Il servizio ha già una vasta base di clienti e attualmente i suoi server gestiscono quasi tre milioni di richieste al secondo. E se visiti il sito Web di Cloudflare, vedrai che nell'ultimo giorno sono state attivate oltre 400 milioni di regole WAF.
Uno dei principali vantaggi dell'utilizzo di un cloudil servizio con una base clienti così ampia è che puoi trarre vantaggio dalle informazioni acquisite da altri clienti. Ad esempio, se viene rilevato un tentativo di attacco su un altro client, verrà creata e applicata una nuova firma a tutti i client. Un altro vantaggio della soluzione di Cloudflare è che offrono anche la consegna dei contenuti e la protezione DDoS.
2. Akamai Kona Site Defender
Akamai è il leader mondiale nella consegna di contenutisistemi. Nel corso degli anni, l'azienda ha aggiunto più funzionalità alla sua offerta. Kona Site Defender, come viene chiamato il loro WAF, è uno di questi. Il Web Application Firewall integra la protezione DDoS completa. E, naturalmente, il servizio WAF può anche essere facilmente combinato con altri servizi Akamai come Content Delivery Network. Una volta che il tuo traffico viene reindirizzato ad Akamai, potresti anche approfittarne e utilizzare tutti i servizi di cui hai bisogno.
A causa delle sue dimensioni e della base di clienti, Akamai spessoscopre nuovi exploit prima degli altri fornitori. Come utente di Kona Site Defender, beneficiate di questo vantaggio competitivo e ottenete una protezione più efficace con un blocco potenzialmente migliore degli exploit zero-day.
3. F5 Silverline
F5 è spesso meglio conosciuto per il suo BIG-IPappliance rispetto ai suoi servizi cloud. In breve, F5 Silverline è la versione online dell'eccellente dispositivo ASM BIG-IP della società, rivisto di seguito. È disponibile come servizio gestito o come quello che F5 definisce un self-service espresso per proteggere le applicazioni Web e i dati da minacce in continua evoluzione. Le sottoscrizioni possono avere una durata di un anno o tre anni. Il supporto live 24 ore su 24 è incluso nel servizio.
Un grande vantaggio di questo servizio basato su cloudè che può proteggere un'infrastruttura distribuita o ospitata su cloud. La protezione include la protezione DDoS di livello 7 e bloccherà anche gli indirizzi anonimi come quelli che fanno parte della rete Tor. Il sistema utilizza anche una lista nera in diretta di noti professionisti del phishing e web raschiatori. E poiché questa lista nera è condivisa da tutti i clienti, beneficiate di qualsiasi informazione acquisita con un altro cliente.
4. Amazon Web Services WAF
Amazon Web Services - o AWS - è ilil servizio di hosting basato su cloud del marketplace online universalmente noto. Sfrutta l'enorme infrastruttura distribuita di Amazon per offrire servizi di hosting. Se sei un cliente dei servizi Web di Amazon, AWS WAF potrebbe fare al caso tuo. Amazon Web Service offre anche un servizio di bilanciamento del carico e consegna dei contenuti.
Il modello di determinazione dei prezzi del Amazon Web Services WAFè diverso dagli altri fornitori. Invece di pagare una somma predefinita ogni mese, si viene fatturati per ogni regola di sicurezza che si aggiunge al servizio e per il numero di richieste Web ricevute ogni mese. La cosa migliore di questo è che non devi pagare subito per una crescita futura. È anche molto interessante per le organizzazioni con picchi stagionali.
5. Imperva Incapsula
Imperva è un altro nome comune nella sicurezza ITcampo. Il servizio gestito Imperva di Firewall per applicazioni Web basato su cloud Incapsula per la protezione dagli attacchi a livello di applicazione, inclusi tutti i 10 attacchi e le minacce zero-day del progetto Open Web Application Security. Il servizio è certificato PCI e altamente personalizzabile. È anche molto efficace e bloccherà la maggior parte delle minacce con falsi positivi minimi.
Incapsula è uno dei WAF basati su cloud più economicisoluzioni che puoi trovare. I piani partono da $ 300 al mese. Una grande caratteristica di Incapsula è che oltre a un WAF più "tradizionale", il sistema controlla anche i tuoi server e invierà patch per risolvere i problemi riscontrati fornendo una migliore protezione per le tue applicazioni web. Naturalmente, puoi pianificare le patch da applicare in qualsiasi momento hai scelto di ridurre gli impatti operativi.
I nostri 5 migliori elettrodomestici WAF
Proprio come le nostre 5 migliori soluzioni WAF basate su cloudprovenivano tutti da rinomati venditori, così è il caso delle nostre apparecchiature WAF. Provengono da alcuni dei più rinomati fornitori di apparecchiature di sicurezza. E proprio come il nostro elenco precedente, questo non ha altro che il meglio. Si noti che la maggior parte dei fornitori di apparecchiature WAF offre anche un servizio basato su cloud.
1. Imperva SecureSphere
Imperva è uno dei due venditori che lo hanno realizzatoin entrambi i nostri elenchi. SecureSphere WAF è destinato a installazioni più piccole. Le varie unità che propongono variano in throughput da 100 Mbps a 10 Gbps con il più piccolo in grado di elaborare 440 transazioni SSL al secondo e il più grande circa 9000. Un'unità di livello intermedio, l'X2020 ha un throughput di 500 Mbps, elaborerà 2000 SSL transazioni al secondo e ti farà guadagnare $ 4200.
Se scegli uno dei modelli di livello superiore, lo saraifelice di sapere che sono aggiornabili al prossimo modello più grande. Ad esempio, l'X821 può essere aggiornato a un X 10K, raddoppiando effettivamente la sua capacità. E l'aggiornamento richiede solo l'acquisto di patch e licenze software adeguate. Non sono richiesti costosi aggiornamenti hardware.
2. Firewall per applicazioni Web Barracuda
Barracuda è un altro nome rispettato nelcampo della sicurezza IT. Propone un'eccellente soluzione WAF che si adatta perfettamente alle organizzazioni di piccole e medie dimensioni. Gli apparecchi Barracuda sono un po 'più costosi di quelli dei loro concorrenti, ma vengono forniti con un anno di aggiornamenti gratuiti. E sugli aggiornamenti, avvengono di frequente, ogni volta che viene identificata una nuova minaccia.
L'apparecchio Barracuda WAF ha anche qualche extraCaratteristiche. Ad esempio, offre la memorizzazione nella cache per una consegna più rapida dei contenuti. Il bilanciamento del carico tra più server è un'altra funzionalità disponibile. Puoi persino aggiungere la protezione DDoS completa. Come la maggior parte degli altri elettrodomestici WAF, Barracuda WAAF è disponibile in diverse dimensioni. Un dispositivo medio come il Modello 360 ti costerà circa $ 6350 e ti darà 25 Mbps di throughput e 2000 transazioni SSL al secondo.
3. Firewall dell'applicazione Citrix Netscaler
Citrix Netscaler è un carico immensamente popolareapparecchio di bilanciamento. Se le stai già utilizzando, sarai felice di sapere che puoi anche usarne alcune come firewall per applicazioni Web. La funzionalità è disponibile solo nelle migliori appliance NetSclaer MPX o nel servizio cloud NetScaler. Inoltre, dovrai acquistare la licenza Platinum di livello superiore per ottenerla gratuitamente, sebbene sia disponibile anche come opzione con la licenza Enterprise.
Il più grande vantaggio del WAF NetScaler èdi disporre di un bilanciamento del carico e della sicurezza all'avanguardia in un'unica scatola. Questo è un sistema premium e ha un prezzo premium. Puoi aspettarti di pagare circa $ 4000 per il modello più piccolo, l'MPX 5550 con un throughput di 500 Mbps e fino a 1500 transazioni SSL al secondo.
4. Fortinet FortiWeb
L'appliance FortiWeb di Fortinet è miglioreadatto per organizzazioni di dimensioni medio-piccole. L'appliance integra WAF, bilanciamento del carico e funzionalità di offload SSL. Una delle migliori e più recenti funzionalità dell'appliance FortiWeb è l'apprendimento automatico basato su AI in due passaggi che migliora l'accuratezza del rilevamento degli attacchi. quasi crea un firewall per applicazioni Web "imposta e dimentica"
L'appliance FortiWeb proteggerà il tuoinfrastruttura dalle ultime vulnerabilità delle applicazioni, bot e URL sospetti. E i suoi motori di rilevamento a doppio machine learning proteggono le tue applicazioni da ogni tipo di minaccia come iniezione SQL, scripting cross-site, overflow del buffer, avvelenamento da cookie, fonti dannose e attacchi DDoS. Esistono otto diversi modelli FortiWeb tra cui scegliere, ciascuno con capacità crescente. Si va dal 100D entry-level a 25 Mbps al modello superiore 4000E con 20 Gbps di throughput.
5. F5 BIG-IP Application Security Manager (ASM)
Ultimo ma non meno importante è l'appliance AS5 BIG-IP F5. Potresti conoscere F5 come uno dei principali concorrenti di Citrix. Sono famosi per i loro bilanciatori di carico di prim'ordine. Questo è un apparecchio che si rivolge alle grandi aziende.
La protezione dalle minacce ASM BIG-IP F5 utilizza deepanalisi delle minacce e apprendimento dinamico, hai a malapena qualche configurazione da fare e tuttavia puoi essere certo che la tua infrastruttura è adeguatamente protetta. Un'altra caratteristica interessante dell'ASM F5 BIG-IP è l'offloading SSL. Il dispositivo gestirà la crittografia SSL e la decrittografia al volo, consentendo ai server Web di concentrarsi su ciò che fanno meglio, servire pagine Web.
In conclusione
Con così tanti prodotti e servizi tra cui scegliereda, scegliere la giusta soluzione WAF può rivelarsi una manciata. Sono sistemi costosi e spesso richiedono sforzi considerevoli e formazione per installare e configurare correttamente. Questo probabilmente non è qualcosa che vorrai fare due volte solo per provare molti prodotti diversi. Assicurati di identificare con precisione le tue esigenze, la tua proiezione di crescita e le possibilità che tu sia in una posizione migliore per scegliere il WAF più adatto a te.
Commenti