חומת אש של יישומי אינטרנט - או WAF - הם אסוג חדש של חומת אש. הם לא רק חוסמים או מאפשרים תנועה על בסיס כתובות IP ויציאות. הם הולכים צעד נוסף לניתוח התנועה ולקבל החלטות על בסיס מערכת כללים עסקיים מוגדרים מראש. כפי שמשתמע משמם, מטרתם העיקרית היא לאבטח יישומים מבוססי אינטרנט. בחירת חומת אש ליישומי אינטרנט יכולה להיות משימה מפחידה. הם קיימים כשירות מבוסס ענן או כמכשיר, לכל אחד היתרונות והחסרונות שלו. לכן ריכזנו רשימה זו של עשרת חומות האש של היישומים הטובים ביותר. זה יעזור לך להעריך מאפייני מוצר מספקים שונים.
במאמר זה נתחיל עם אדיון על חומות אש של יישומי רשת, מה הם ואיזו מטרה הם משרתים. לאחר מכן נשווה בין מערכות מבוססות ענן ומכשירים מבוססי מכשיר ונמנה את היתרונות והחסרונות של כל אחת מהן. כפי שתראו, זו יותר מסתם בחירה פילוסופית. לאחר שנסיים להסביר את היסודות של WAFs, נצלול את ליבת הנושא ונציג לא אחת אלא שתי רשימות. ראשית, נסקור את ה- חמשת מכשירי WAF מבוססי ענן הטובים ביותר ולמקום הבא נראה את ה חמשת מכשירי WAF הטובים ביותר.
WAFs על קצה המזלג
כפי שאמרנו בהקדמה שלנו רשתחומת אש של יישומים היא מכשיר מסוג מיוחד. ניתן להשתמש בו כדי לאבטח יישומים מבוססי אינטרנט טובים בהרבה ממה שאפשר עם חומות אש רגילות. WAF טיפוסי יגן על אתר מפני כמה סוגים של התקפות כגון סקריפט בין אתרים, הרעלת עוגיות, גרידת אתרים, חבלה בפרמטרים, הצפת מאגר ועוד סוגים רבים של פגיעויות.
בניגוד לחומות אש המסורתיות שבסיסןההחלטה שלהם לאפשר או לחסום תנועה בפרמטרים פשוטים כמו כתובת IP או מספר יציאה, WAFs בדרך כלל מבססים את החלטתם על ניתוח מעמיק של נתוני HTML. הם בוחנים בקשות המנסות לזהות דפוסי התנהגות זדוניים. הם גם יפענחו את התעבורה של HTTPS כדי להבטיח שלא יוחדר קוד זדוני במנות מוצפנות. חומות אש של יישומי אינטרנט יהיו מחפשות אחר חתימות ידועות על תוכנות זדוניות, אך הן גם יירטו כל בקשה שגויה או לא סטנדרטית להגנה הטובה ביותר האפשרית.
כשלעצמו, חומת אש ליישומי אינטרנט תציעמידה טובה של הגנה, אך כאשר אתה מקבץ אותה למערכות הגנה אחרות כגון חומות אש רגילות או תוכנת הגנה מפני וירוסים, תקבל את הכיסוי הטוב ביותר כנגד המספר הגדול ביותר של איומים. יותר מתמיד, מנהלי רשת צריכים לאמץ גישה הוליסטית למניעת תוכנות זדוניות.
מבוסס ענן או מכשיר?
ישנם למעשה שני סוגים של רשתחומות אש ליישומים. מכשירי WAF יכולים להיות מבוססי ענן או לרוץ כמכשיר. ספקי WAF מבוססי ענן מתארחים על ידי הספק. כל הבקשות לאתר שלך מופנות מחדש - באמצעות קסם ה- DNS - למופע WAF שלך, שם הוא מאומת לפני שהוא מועבר לאתרך בפועל.
מכשירי WAF הם התקני חומרה. מדובר במחשבים מיוחדים, לרוב ללא ממשק משתמש כגון מסך ומקלדת שמריצים מערכת הפעלה מותאמת אישית ותוכנת חומת האש של האינטרנט. בדרך כלל הם מותקנים במרכז הנתונים שלך ונמצאים בין חומת האש המסורתית שלך לשרתי האינטרנט שלך, שם הם מיירטים בקשות שיגיעו אליהם.
יתרונות וחסרונות של WAF מבוססי ענן
בצד הפלוס, פתרון מבוסס ענן דורשאין תחזוקה מכיוון שהיא מטופלת על ידי הספק. פתרונות אלה כוללים בדרך כלל יתירות מובנית או תכונות זמינות גבוהה. בדרך כלל הספק מטפל בגיבוי מערכת. יתרון נוסף הוא שלעתים קרובות ניתן לשייך את שירות WAF לשירותים אחרים מאותו ספק. אתה יכול למשל לשלב את הפצת התוכן ותכונות WAF של ספק יחיד לפתרון משולב בצורה חלקה.
אך ל- WAFs מבוססי ענן יש גם כמה חסרונות. אחד החשובים שבהם הוא שהם יכולים לנעול אותך עם ספק יחיד עבור שירותים רבים. מכיוון שיש להפנות את כל התעבורה לאתר האינטרנט שלך לספק הענן, אין לך כמעט אפשרות אחרת אלא להשתמש בשירותי האבטחה האחרים שלהם, כגון חומת אש מסורתית.
מכשירי WAF יתרונות וחסרונות
היתרון העיקרי של מכשירי WAF הוא שאתהשמור הכל בבית. זה נותן לך שליטה מלאה על כל פרט בתשתית שלך. זה גם אומר שאתה חופשי לבחור רכיבים שונים מספקים שונים.
מבחינת החיסרון, השימוש במכשיר אומר זאתאתה צריך לתחזק את זה. ותצטרך לשדרג אותה ככל שהתנועה שלך תגדל. השימוש בפתרון חומרה פירושו גם עלות גבוהה בהרבה מראש שכן יש לרכוש את כל הציוד מההתחלה. בסופו של דבר, הבחירה תלויה בך, אך ייתכן שתניח לצרכים הספציפיים שלך להדריך אותך במקום לבחור תחילה התקנה מסוג אחד.
חמשת ה- WAF המובילים שלנו בענן
ריכזנו רשימה של חמשת הטובות ביותרחומת אש ליישומי אינטרנט מבוססי יכולת. כולם מספקים מכובדים ומציעים תמורה נהדרת לכסף שלך. אנחנו לא באמת יכולים להמליץ אחד על השני כיוון שהם כולם מוצרים מצוינים.
1. Cloudflare WAF
Cloudflare צברה מוניטין מצוין עבורהגנה על שרתי אינטרנט מפני התקפות DDoS. מציע השירותים שלה כולל גם חומת אש ליישומי אינטרנט. לשירות כבר יש בסיס לקוחות עצום והשרתים שלו מטפלים כיום קרוב לשלושה מיליון בקשות בשנייה. ואם תבקר באתר של Cloudflare, תראה שמעל 400 מיליון כללי WAF הופעלו ביום האחרון.
אחד היתרונות העיקריים של שימוש בענןשירות עם בסיס לקוחות כה רחב הוא שאתה יכול להפיק תועלת מהמודיעין שנרכש מלקוחות אחרים. לדוגמה, אם יתגלה ניסיון התקפה אצל לקוח אחר, תיווצר חתימה חדשה ויושמה על כל הלקוחות. יתרון נוסף של הפיתרון של Cloudflare הוא שהם מציעים גם אספקת תוכן והגנת DDoS.
2. מגן האתר של אקמאי קונה
אקמאי היא המובילה בעולם בתחום אספקת התוכןמערכות. לאורך כל השנים החברה הוסיפה פונקציות רבות יותר למציעה. Kona Site Defender, כפי שמכונה WAF שלהם, הוא אחד מהם. חומת האש של יישום האינטרנט משלבת הגנת DDoS מלאה. וכמובן, ניתן לשלב בקלות את שירות WAF עם שירותי אקמאי אחרים כמו רשת משלוח התוכן. ברגע שתעבורה שלך תנותב מחדש לאקמאי, תוכל באותה מידה לנצל אותה ולהשתמש בשירותים רבים ככל שתצטרך.
עקב גודלו ובסיס הלקוחות, אקמאי לעיתים קרובותמגלה עלילות חדשות מוקדם יותר מאשר ספקים אחרים. כמשתמש ב- Kona Site Defender, אתה נהנה מהיתרון התחרותי הזה ומקבל באופן יעיל הגנה חזקה יותר עם חסימת פוטנציאל טובה יותר של ניצולי אפס יום.
3. F5 סילברליין
לעתים קרובות F5 ידועה יותר בזכות ה- BIG-IP שלהמכשירי חשמל מאשר שירותי הענן שלה. על קצה המזלג, F5 סילברליין היא הגירסה המקוונת למכשיר ה- BIG-IP ASM המצוין של החברה שנבדק להלן. זה זמין כשירות מנוהל או כפי ש- F5 מתייחס אליו כשירות עצמי אקספרס כדי להגן על יישומי אינטרנט ונתונים מפני איומים המתפתחים כל העת. המנויים יכולים להימשך משך שנה או שלוש. תמיכה בשידור חי 24 שעות ביממה כלולה בשירות.
יתרון מרכזי אחד של שירות מבוסס ענן זההוא שהוא יכול להגן על תשתית מבוזרת או מתארחת בענן. ההגנה כוללת מיגון שכבה 7 של DDoS ותחסום גם כתובות אנונימיות כמו אלה הנכללות ברשת Tor. המערכת משתמשת גם ברשימה שחורה חיה של מתרגלי דיוג ומגרדי רשת ידועים. ומכיוון שהרשימה השחורה הזו משותפת לכל הלקוחות, אתם נהנים מכל אינטליגנציה שנצברה עם לקוח אחר.
4. שירותי האינטרנט של אמזון WAF
שירותי האינטרנט של אמזון - או AWS - הםשירות אירוח מבוסס ענן בשוק המקוון המקוון. זה מנצל את התשתית העצומה המופצת של אמזון כדי להציע שירותי אירוח. אם אתה לקוח של שירותי האינטרנט של אמזון, AWS WAF עשוי להיות עבורך. שירות האינטרנט של אמזון מציע גם שירות איזון עומסים ומסירת תוכן.
מודל התמחור של שירותי האינטרנט של אמזון WAFשונה מספקים אחרים. במקום לשלם סכום מוגדר מראש בכל חודש, אתה מחויב בחיוב עבור כל כלל אבטחה שאתה מוסיף לשירות שלך ועל מספר בקשות האינטרנט שמתקבלות מדי חודש. הדבר הטוב ביותר בזה הוא שלא תצטרכו לשלם מייד עבור צמיחה עתידית כלשהי. זה מאוד מעניין גם לארגונים עם פסגות עונתיות.
5. אינקברסולה אימפרבה
אימפרבה הוא שם נפוץ נוסף בתחום אבטחת ה- ITשדה. שירות מנוהל חומת אש של יישום האינטרנט מבוסס Incapsula, שירות מנוהל של Imperva, להגנה מפני התקפות שכבת יישומים, כולל כל 10 הפגיעות המובילות בפרויקט אבטחת יישומי אינטרנט ואיומי יום אפסיים. השירות מאושר על ידי PCI וניתן להתאמה אישית רבה. זה גם יעיל ביותר ויחסום את רוב האיומים עם מינימום חיוביות שגויות.
Incapsula הוא אחד ה WAF הזולים ביותר מבוססי ענןפתרונות שתוכלו למצוא. התוכניות מתחילות עד 300 דולר לחודש. תכונה נהדרת אחת של Incapsula היא שבנוסף ל- WAF "מסורתי" יותר, המערכת גם סוקרת את השרתים שלך ותשלח טלאים לטפל בבעיות שנמצאו ומספקות הגנה טובה יותר על יישומי האינטרנט שלך. אתה יכול, כמובן, לתזמן טלאים שיוחלו בכל שעה שתבחר להפחית את ההשפעות התפעוליות שלך.
חמשת מוצרי ה- WAF הטובים ביותר שלנו
ממש כמו חמשת פתרונות ה- WAF המובילים בענן שלנוכולם היו מספקים ידועים, כך גם מכשירי WAF שלנו. הם מכמה מספקי ציוד האבטחה הנחשבים הידועים ביותר. ובדיוק כמו הרשימה הקודמת שלנו, אין לרשימה הזו רק את הטוב ביותר. שימו לב שרוב הספקים של מכשירי WAF מציעים גם שירות מבוסס ענן.
1. Imperva SecureSphere
אימפרבה היא אחת משני הספקים שעשו את זהלשתי הרשימות שלנו. ה- SecureSphere WAF שלה מיועד להתקנות קטנות יותר. היחידות השונות שהן מציעות משתנות בתפוקה מ -100 מגה-ביט לשנייה לסיבוב של 10 ג'יגה-סיביות, כאשר הקטנות ביותר מסוגלות לעבד 440 עסקאות SSL בשנייה והגדולות יותר כ -9000. יחידה בינונית שכבה, ה- X2020 בעל תפוקה של 500 מגהביט לשנייה, תעבד 2000 SSL עסקאות בשנייה ותחזיר לך כ- 4200 $.
אם תבחר באחד הדגמים העליונים, תעשה זאתשמח ללמוד שהם ניתנים לשדרוג לדגם הגדול יותר הבא. לדוגמה, ניתן לשדרג את ה- X821 ל- X 10K, ובכך למעשה להכפיל את הקיבולת שלו. ושדרוג רק דורש רכישת תיקון ורישיון תוכנה ראויים. לא נדרשים שדרוגי חומרה יקרים.
2. חומת אש ליישומי אינטרנט של ברקודה
ברקודה הוא עוד שם מכובד באזורתחום אבטחת IT. הוא מציע פתרון WAF מצוין שמתאים באופן מושלם לארגונים קטנים ובינוניים. מכשירי Barracuda יקרים מעט יותר ממתחרים שלהם, אך הם מגיעים עם שנה של עדכונים בחינם. ולגבי עדכונים, הם מתרחשים לעתים קרובות, בכל פעם שמזהים איום חדש.
מכשיר WAF לברקודה כולל גם כמה תוספותמאפיינים. לדוגמה, הוא מציע זיכרון מטמון למסירת תוכן מהירה יותר. איזון עומסים בין שרתים מרובים הוא תכונה זמינה נוספת. אתה יכול אפילו להוסיף הגנת DDoS מלאה. כמו רוב מכשירי WAF האחרים, ה- WAAF של Barracuda זמין בכמה גדלים. מכשיר ממוצע כמו דגם 360 יעלה לך כ 6350 $ וייתן לך 25 Mbps תפוקה ו 2000 עסקאות SSL בשנייה.
3. חומת האש של Citrix Netscaler
Citrix Netscaler הוא עומס פופולרי ביותרמכשיר איזון. אם אתה כבר משתמש בהן, תשמח לדעת שאתה יכול להשתמש בחלקן גם כחומת אש של יישומי אינטרנט. הפונקציונליות זמינה רק במכשירי NetSclaer MPX המובילים או בשירות ענן NetScaler. יתר על כן, תצטרך לרכוש את הרישיון העליון פלטינה כדי להשיג אותו בחינם, למרות שהוא זמין גם כאופציה ברישיון Enterprise.
היתרון הגדול ביותר של ה- NetScaler WAF הואשתשיג איזון עומסים ואבטחה עדכניים בתיבה אחת. זו מערכת פרימיום והיא מגיעה במחיר פרימיום. ניתן לצפות לשלם כ 4000 $ עבור הדגם הקטן ביותר, ה- MPX 5550 עם תפוקה של 500 מגהביט לשנייה ועד 1500 עסקאות SSL בשנייה.
4. Fortinet FortiWeb
מכשיר FortiWeb מבית פורטינט טוב יותרמתאים לארגונים קטנים עד בינוניים. המכשיר משלב WAF, איזון עומסים ופונקציונליות של פריקת SSL. אחד התכונות הטובות והחדשות ביותר של מכשיר FortiWeb הוא למידת מכונה מבוססת AI דו-שלבית המשפרת את דיוק זיהוי התקפות. זה כמעט יוצר חומת אש ליישומי אינטרנט "הגדר ושכח"
מכשיר FortiWeb יגן על שלךתשתיות מפגיעויות, בוטים וכתובות אתרים חשודות אחרונות ביישום. ומנועי איתור הלמידה המכונה הכפולה שלהם שומרים על היישומים שלך בטוחים מכל מיני איומים כמו הזרקת SQL, סקריפטים בין אתרים, הצפת מאגר, הרעלת עוגיות, מקורות זדוניים והתקפות DDoS. ישנם שמונה דגמים שונים של FortiWeb לבחירה, כל אחד עם הגדלת הקיבולת. הם נעים בין רמת הכניסה 100D במהירות 25 Mbps לדגם העליון 4000E עם 20Gbps תפוקה.
5. מנהל אבטחת יישומי F5 BIG-IP (ASM)
אחרון חביב הוא מכשיר ה- F5 BIG-IP ASM. אתה יכול לדעת את F5 כאחת המתחרות העיקריות של סיטריקס. הם ידועים בזכות איזון העומסים הגבוה שלהם. זהו מכשיר שממוקד לעסקים גדולים יותר.
הגנת האיום F5 BIG-IP ASM עושה שימוש עמוקניתוח איומים ולמידה דינמית, בקושי יש לך כל תצורה לעשות ובכל זאת אתה יכול להיות סמוך ובטוח שהתשתית שלך מוגנת כראוי. מאפיין מעניין נוסף של F5 BIG-IP ASM הוא הורדת SSL. המכשיר יטפל בהצפנה ופענוח SSL תוך כדי תנועה, ומאפשר לשרתי האינטרנט שלך להתרכז במה שהם עושים הכי טוב, ולהגיש דפי אינטרנט.
לסיכום
עם כל כך הרבה מוצרים ושירותים לבחירהמתוך, בחירת פיתרון WAF הנכון יכולה להתברר כחופן. מדובר במערכות יקרות ולעיתים קרובות הן דורשות מאמצים ניכרים - והדרכה - כדי להתקין ולהגדיר נכון. זה כנראה לא משהו שתרצו לעשות פעמיים רק כדי לנסות מוצרים רבים ושונים. וודא שאתה מזהה במדויק את הצרכים שלך ואת השלכת הצמיחה שלך והסיכוי שתוכל להיות במצב טוב יותר לבחור את ה- WAF המתאים לך ביותר.
הערות