Žiniatinklio programos ugniasienės arba WAF yra: apalyginti naujos rūšies ugniasienė. Jie ne tik blokuoja ar neleidžia srauto pagal IP adresus ir prievadus. Jie žengia dar vieną žingsnį analizuodami srautą ir priimdami sprendimus remdamiesi iš anksto nustatytų verslo taisyklių rinkiniu. Kaip rodo jų vardas, jų pagrindinis tikslas yra apsaugoti internetines programas. Pasirinkti žiniatinklio programos ugniasienę gali būti bauginanti užduotis. Jie egzistuoja arba kaip debesyje teikiama paslauga, arba kaip prietaisas, kiekvienas su savo pranašumais ir trūkumais. Štai kodėl mes sudarėme šį 10 geriausių žiniatinklio programų ugniasienių sąrašą. Tai padės įvertinti skirtingų pardavėjų produktų savybes.
Šiame straipsnyje mes pradėsime nuo adiskusija apie interneto programų ugniasienes, kas jos yra ir kokiu tikslu jos tarnauja. Tada palyginsime debesų ir prietaisų sistemas ir išvardinsime kiekvienos privalumus ir trūkumus. Kaip matysite, tai yra ne tik filosofinis pasirinkimas. Kai baigsime paaiškinti WAF pagrindus, pasinerkime į savo temos pagrindą ir pateiksime ne vieną, o du sąrašus. Pirmiausia apžvelgsime geriausi penki debesies pagrindu sukurti WAF ir toliau pažiūrėsime į geriausi penki WAF prietaisai.
WAFs Trumpai
Kaip mes savo įžangoje pasakėme apie internetąTaikomosios ugniasienės yra ypatingos rūšies įrenginiai. Jis gali būti naudojamas žiniatinklio programoms apsaugoti kur kas geriau nei tai įmanoma naudojant standartines ugniasienes. Įprastas WAF apsaugos svetainę nuo kelių tipų atakų, tokių kaip scenarijų sukūrimas keliose svetainėse, slapukų apsinuodijimas, interneto įbrėžimas, parametrų klastojimas, buferio perpildymas ir daugybė kitų pažeidžiamumų tipų.
Priešingai nei tradicinės ugniasienės, kurių pagrindasPriimdami sprendimą leisti arba blokuoti srautą pagal paprastus parametrus, tokius kaip IP adresas arba prievado numeris, WAF dažniausiai grindžia savo sprendimą nuodugnia HTML duomenų analize. Jie nagrinėja prašymus, bandydami atpažinti kenkėjišką elgesio modelį. Jie taip pat iššifruos HTTPS srautą, kad užtikrintų, jog į užšifruotus paketus nebūtų įterptas kenksmingas kodas. Žiniatinklio programų užkardos ieškos žinomų kenkėjiškų programų parašų, tačiau jos taip pat sulauks netinkamai suformuotų ar nestandartinių užklausų dėl geriausios įmanomos apsaugos.
Vien tik žiniatinklio programos ugniasienė pasiūlysaukštą apsaugos laipsnį, tačiau būtent tada, kai susiejate jį su kitomis apsaugos sistemomis, tokiomis kaip standartinės ugniasienės ar apsaugos nuo virusų programinė įranga, gausite geriausią apsaugą nuo daugiausiai grėsmių. Tinklo administratoriai labiau nei bet kada turi laikytis holistinio požiūrio į kenkėjiškų programų prevenciją.
Debesis ar prietaisas?
Iš esmės yra dviejų tipų žiniatinklisProgramų užkardos. WAF gali būti pagrįstos debesimis arba naudojamos kaip prietaisas. Debesis paremtus WAF saugo pardavėjas. Visos užklausos į jūsų svetainę yra nukreipiamos - naudojant stebuklingą DNS - į jūsų WAF egzempliorių, kur jos yra patikrintos prieš perduodant į jūsų tikrąją svetainę.
Prietaisų WAF yra aparatinės įrangos įrenginiai. Tai yra specializuoti kompiuteriai, paprastai neturintys vartotojo sąsajos, tokios kaip ekranas ir klaviatūra, valdantys pasirinktinę operacinę sistemą ir žiniatinklio programos ugniasienės programinę įrangą. Paprastai jie yra įdiegiami jūsų duomenų centre ir yra tarp jūsų tradicinės užkardos ir jūsų žiniatinklio serverių, kur jie perima užklausas, nukreipiančias į juos.
Debesis pagrįstų WAF privalumai ir trūkumai
Pliuso pusėje reikalingas sprendimas iš debesiesnereikalauja jokios priežiūros, nes ją tvarko pardavėjas. Šie sprendimai paprastai turi įmontuotą perteklių ar aukšto prieinamumo funkcijas. Paprastai pardavėjas taip pat tvarko sistemos atsargines kopijas. Kitas privalumas yra tas, kad WAF paslaugą dažnai galima suporuoti su kitomis to paties pardavėjo paslaugomis. Pavyzdžiui, galite sujungti vieno tiekėjo turinio paskirstymą ir WAF savybes, kad sklandžiai integruotas sprendimas.
Tačiau debesų pagrindu sukurti WAF taip pat turi keletą trūkumų. Vienas iš svarbiausių yra tai, kad jie galėtų jus užmegzti su vienu paslaugų teikėju dėl daugelio paslaugų. Kadangi visas srautas į jūsų svetainę turi būti nukreiptas į debesų paslaugų teikėją, jūs beveik neturite kitos galimybės, kaip tik naudoti kitas jų saugos paslaugas, pavyzdžiui, tradicinę užkardą.
WAF prietaisų privalumai ir trūkumai
Pagrindinis WAF prietaisų pranašumas yra tas, kad jūslaikyti viską namuose. Tai suteikia galimybę visiškai valdyti kiekvieną jūsų infrastruktūros detalę. Tai taip pat reiškia, kad galite laisvai pasirinkti skirtingus komponentus iš skirtingų pardavėjų.
Kita vertus, prietaiso naudojimas reiškiajūs turite tai išlaikyti. Ir jūs turėsite jį atnaujinti, kai padidės srautas. Aparatinės įrangos sprendimas taip pat reiškia daug didesnes išankstines išlaidas, nes visą įrangą reikia įsigyti nuo pat pradžių. Galų gale jūs galite pasirinkti, bet jūs turėtumėte leisti jums vadovautis konkrečiais poreikiais, o ne pasirinkti vieną įrengimo tipą.
Mūsų 5 geriausi debesų pagrindu sukurti WAF
Mes sudarėme penkių geriausiųjų sąrašągalimas žiniatinklio programos ugniasienes. Visi jie yra iš patikimų tiekėjų ir siūlo didelę jūsų pinigų kainą. Mes tikrai negalime rekomenduoti kitų, nes jie visi yra puikūs produktai.
1. WAF debesų liepsna
„Cloudflare“ įgijo puikią reputacijąapsaugoti interneto serverius nuo DDoS atakų. Jo paslaugų pasiūloje taip pat yra žiniatinklio programų ugniasienė. Ši paslauga jau turi didžiulę klientų bazę, o jos serveriai šiuo metu patenkina beveik tris milijonus užklausų per sekundę. Jei apsilankysite „Cloudflare“ svetainėje, pamatysite, kad paskutinę dieną buvo suaktyvinta daugiau nei 400 milijonų WAF taisyklių.
Vienas iš pagrindinių debesies naudojimo pranašumųPaslaugos su tokia plačia klientų baze yra ta, kad jūs galite gauti naudos iš kitų klientų įgytos informacijos. Pvz., Jei kitame kliente aptinkama ataka, bus sukurtas naujas parašas ir pritaikytas visiems klientams. Kitas „Cloudflare“ sprendimo pranašumas yra tas, kad jie taip pat siūlo turinio tiekimą ir „DDoS“ apsaugą.
2. „Akamai Kona“ svetainės gynėjas
„Akamai“ yra pasaulinė turinio pristatymo lyderėsistemos. Per daugelį metų įmonė savo pasiūlyme papildė daugiau funkcijų. Kaip vienas jų WAF vadinamas „Kona Site Defender“ yra vienas iš jų. Žiniatinklio programos užkardoje integruota visa DDoS apsauga. Be abejo, WAF paslaugą taip pat galima lengvai derinti su kitomis „Akamai“ paslaugomis, tokiomis kaip Turinio pateikimo tinklas. Kai srautas bus nukreiptas į „Akamai“, galėtumėte juo taip pat pasinaudoti ir naudoti tiek paslaugų, kiek jums reikia.
Dėl savo dydžio ir klientų bazės „Akamai“ dažnaiatranda naujų išnaudojimų greičiau nei kiti pardavėjai. Kaip „Kona Site Defender“ vartotojas, jūs turite naudos iš šio konkurencinio pranašumo ir efektyviai gaunate stipresnę apsaugą, galimai blogesnį nulio dienų išnaudojimą.
3. „F5 Silverline“
F5 dažnai geriau žinomas dėl savo BIG-IPprietaisai nei jo debesies paslaugos. Trumpai tariant, „F5 Silverline“ yra puikios bendrovės BIG-IP ASM prietaiso, aprašyto žemiau, internetinė versija. Tai galima gauti kaip valdomą paslaugą arba kaip tai, ką F5 nurodo kaip tiesioginę savitarną, kad apsaugotų interneto programas ir duomenis nuo nuolat kylančių grėsmių. Prenumerata gali trukti vienerius metus ar trejus metus. Į paslaugą įtraukta visą parą teikiama tiesioginė pagalba.
Vienas pagrindinių šios debesies pagrindu teikiamos paslaugos pranašumųyra tai, kad jis gali apsaugoti paskirstytą arba debesų priglobtą infrastruktūrą. Apsauga apima 7 sluoksnio DDoS ekraną ir taip pat blokuos anoniminius adresus, tokius kaip tie, kurie yra „Tor“ tinklo dalis. Sistemoje taip pat naudojamas žinomas sukčiavimo apsimetant specialistais ir žiniatinklio naikintojų juodasis sąrašas. Kadangi šį juodąjį sąrašą dalijasi visi klientai, jums naudinga bet kokia žvalgyba, įgyta su kitu klientu.
4. „Amazon“ žiniatinklio paslaugų WAF
„Amazon Web Services“ arba AWS yravisuotinai žinomos internetinės rinkos debesų pagrindu teikiamos prieglobos paslaugos. Ja pasinaudoja didžiulė didžiulė „Amazon“ paskirstyta infrastruktūra, teikianti prieglobos paslaugas. Jei esate „Amazon Web Services“ klientas, AWS WAF gali būti skirtas jums. „Amazon Web Service“ taip pat siūlo apkrovos balansavimo ir turinio pristatymo paslaugas.
„Amazon Web Services WAF“ kainodaros modelisskiriasi nuo kitų pardavėjų. Užuot mokėję iš anksto nustatytą sumą kiekvieną mėnesį, jums išrašoma sąskaita už kiekvieną saugos taisyklę, kurią pridedate prie savo paslaugos, ir už kiekvieną mėnesį gautų žiniatinklio užklausų skaičių. Geriausia tai, kad nereikia mokėti iš karto už augimą ateityje. Tai taip pat labai įdomu organizacijoms, turinčioms sezoniškumo viršūnes.
5. „Imperva“ inkapsulė
„Imperva“ yra dar vienas įprastas IT saugumo pavadinimaslaukas. „Incapsula“ pagrįstos debesies pagrindu sukurtos žiniatinklio aplikacijos ugniasienės „Imperva“ valdomos paslaugos, skirtos apsaugoti nuo programų lygmens atakų, įskaitant visas „Open Web Application Security Project“ 10 populiariausių atakų ir nulinės dienos grėsmes. Paslauga yra sertifikuota PCI ir lengvai pritaikoma. Jis taip pat yra labai efektyvus ir užblokuos daugumą grėsmių, pateikdamas kuo mažiau klaidingų teiginių.
Incapsula yra viena pigiausių WAF debesų pagrindusprendimus, kuriuos galite rasti. Planai prasideda nuo 300 USD per mėnesį. Vienas nuostabių „Incapsula“ bruožų yra tas, kad be „tradiciškesnio“ WAF, sistema taip pat apžiūri jūsų serverius ir išsiųs pataisas spręsdama problemas, užtikrinančias geresnę jūsų interneto programų apsaugą. Jūs, be abejo, galite suplanuoti pataisas, kurias norite naudoti bet kuriuo metu, kad sumažintumėte savo operacinį poveikį.
Mūsų 5 geriausi WAF prietaisai
Kaip ir mūsų 5 populiariausi debesies pagrindu sukurti WAF sprendimaivisi buvo iš gerai žinomų pardavėjų, taip yra mūsų WAF prietaisų atveju. Jie yra iš geriausių saugumo įrangos pardavėjų. Kaip ir ankstesnis sąrašas, šis neturi nieko, išskyrus geriausią. Atminkite, kad dauguma WAF prietaisų pardavėjų taip pat siūlo „debesų“ paslaugą.
1. „Imperva SecureSphere“
„Imperva“ yra vienas iš dviejų jį gaminančių pardavėjųį abu mūsų sąrašus. Jos „SecureSphere WAF“ yra skirta mažesnėms instaliacijoms. Jų siūlomų įvairių vienetų pralaidumas skiriasi nuo 100 Mbps iki 10 Gbps. Mažiausias gali apdoroti 440 SSL operacijas per sekundę, o didesnis - maždaug 9000. Vidutinio lygio padalinio „X2020“ našumas yra 500 Mbps, jis apdoros 2000 SSL. operacijų per sekundę ir grąžins jums maždaug 4200 USD.
Jei pasirinksite vieną iš aukščiausio lygio modelių, būsite toksmalonu sužinoti, kad jie gali būti atnaujinami prie kito didesnio modelio. Pavyzdžiui, X821 galima patobulinti iki X 10K, faktiškai padvigubinant jo pajėgumą. Norint atnaujinti reikia tik įsigyti tinkamą programinės įrangos pataisą ir licenciją. Nereikia brangaus aparatūros atnaujinimo.
2. „Barracuda“ internetinių programų ugniasienė
Barakudos yra dar vienas gerbiamas vardasIT saugumo sritis. Ji siūlo puikų WAF sprendimą, kuris puikiai tinka mažoms ir vidutinėms organizacijoms. „Barracuda“ prietaisai yra šiek tiek brangesni nei jų konkurentų, tačiau jie tiekiami vienerius metus nemokamai. Kalbant apie naujinius, jie vyksta dažnai, kai nustatoma nauja grėsmė.
„Barracuda WAF“ prietaisas taip pat turi keletą papildomųfunkcijos. Pavyzdžiui, jis siūlo talpyklą, kad būtų greičiau pristatytas turinys. Apkrovos balansavimas tarp kelių serverių yra dar viena galimybė. Jūs netgi galite pridėti visą „DDoS“ apsaugą. Kaip ir dauguma kitų WAF prietaisų, „Barracuda WAAF“ yra kelių dydžių. Vidutinis įrenginys, pavyzdžiui, „Model 360“, jums kainuos apie 6350 USD ir suteiks 25 Mbps pralaidumą bei 2000 SSL operacijų per sekundę.
3. „Citrix Netscaler“ programos ugniasienė
„Citrix Netscaler“ yra nepaprastai populiarus krovinysbalansavimo prietaisas. Jei jau naudojate juos, džiaugsitės žinodami, kad kai kuriuos iš jų taip pat galite naudoti kaip žiniatinklio programos ugniasienę. Funkcija galima tik su geriausiais „NetSclaer MPX“ prietaisais arba „NetScaler Cloud Service“. Be to, jums reikės nusipirkti aukščiausią „Platinum“ licenciją, kad galėtumėte ją gauti nemokamai, nors ją taip pat galima įsigyti su „Enterprise“ licencija.
Didžiausias „NetScaler WAF“ pranašumas yrakad vienoje dėžutėje yra moderniausias apkrovos balansavimas ir saugumas. Tai yra „premium“ sistema ir ji gaunama už papildomą kainą. Galite tikėtis sumokėti maždaug 4000 USD už mažiausią modelį, MPX 5550, kurio pralaidumas yra 500 Mbps ir iki 1500 SSL operacijų per sekundę.
4. Fortinet FortiWeb
„Fortinet“ prietaisas iš „Fortinet“ yra geresnistinka mažesnėms ar vidutinio dydžio organizacijoms. Prietaisas integruoja WAF, apkrovos balansavimo ir SSL iškrovimo funkcijas. Viena geriausių ir naujausių „FortiWeb“ prietaiso savybių yra dviejų žingsnių AI grįstas mašinų mokymasis, kuris pagerina išpuolių aptikimo tikslumą. jis beveik sukuria žiniatinklio programų ugniasienę „Nustatykite ir pamirškite“
„FortiWeb“ prietaisas apsaugos jusinfrastruktūra iš naujausių programų pažeidžiamumų, robotai ir įtartini URL. Dvigubi mašinų mokymosi aptikimo varikliai apsaugo jūsų programas nuo visų rūšių grėsmių, tokių kaip SQL įterpimas, scenarijų sukūrimas skirtingose svetainėse, buferio perpildymas, apsinuodijimas slapikais, kenksmingi šaltiniai ir DDoS išpuoliai. Yra aštuoni skirtingi „FortiWeb“ modeliai, iš kurių kiekvienas turi vis didesnę talpą. Jie svyruoja nuo pradinio lygio 100D su 25 Mbps greičiu iki aukščiausio lygio 4000E modelio su 20 Gbps pralaidumu.
5. „F5 BIG-IP“ programų saugos vadybininkas (ASM)
Paskutinis, bet ne mažiau svarbus dalykas yra „F5 BIG-IP ASM“ prietaisas. Galite žinoti F5 kaip vieną iš pagrindinių „Citrix“ konkurentų. Jie yra gerai žinomi dėl aukščiausių apkrovos balansorių. Tai prietaisas, skirtas didesnėms įmonėms.
„F5 BIG-IP ASM“ apsauga nuo grėsmės naudojama giliaigrėsmių analizė ir dinamiškas mokymasis, jūs beveik neturite ką konfigūruoti, tačiau vis tiek galite būti tikri, kad jūsų infrastruktūra yra tinkamai apsaugota. Kita įdomi „F5 BIG-IP ASM“ savybė yra SSL iškrovimas. Įrenginys atliks SSL šifravimą ir iššifravimą skraidydamas, leisdamas jūsų žiniatinklio serveriams susikoncentruoti ties tuo, ką jie daro geriausiai, aptarnauti tinklalapius.
Apibendrinant
Turite tiek daug produktų ir paslaugųiš, išsirinkus tinkamą WAF sprendimą gali pasirodyti nedaug. Tai brangios sistemos, ir norint tinkamai nustatyti bei konfigūruoti, dažnai reikia didelių pastangų ir mokymų. Tikriausiai tai nėra kažkas, ko norėsite padaryti du kartus, kad išbandytumėte daugybę skirtingų produktų. Įsitikinkite, kad tiksliai nustatėte savo poreikius, prognozuojate augimą ir tikimybę, kad galėsite geriau pasirinkti jums tinkamiausią WAF.
Komentarai