Webanwendungs-Firewalls (WAFs) sind arelativ neue Art von Firewall. Sie blockieren oder erlauben nicht nur Datenverkehr basierend auf IP-Adressen und Ports. Sie gehen noch einen Schritt weiter, um den Datenverkehr zu analysieren und Entscheidungen auf der Grundlage vordefinierter Geschäftsregeln zu treffen. Wie der Name schon sagt, besteht ihr Hauptzweck darin, webbasierte Anwendungen zu sichern. Die Auswahl einer Webanwendungs-Firewall kann eine schwierige Aufgabe sein. Sie existieren entweder als Cloud-basierter Dienst oder als Appliance mit ihren jeweiligen Vorteilen und Nachteilen. Aus diesem Grund haben wir diese Liste der 10 besten Webanwendungs-Firewalls zusammengestellt. Es wird Ihnen dabei helfen, Produktfunktionen von verschiedenen Anbietern zu bewerten.
In diesem Artikel beginnen wir mit einemDiskussion über Webanwendungen Firewalls, was sie sind und welchen Zweck sie erfüllen. Anschließend vergleichen wir Cloud- und Appliance-basierte Systeme und listen die Vor- und Nachteile der einzelnen Systeme auf. Wie Sie sehen werden, ist dies mehr als nur eine philosophische Entscheidung. Nachdem wir die Grundlagen der WAFs erklärt haben, werden wir uns mit dem Kern unseres Themas befassen und nicht nur eine, sondern zwei Listen präsentieren. Zuerst überprüfen wir die besten fünf cloudbasierten WAFs und als nächstes schauen wir uns das an besten fünf WAF-Geräte.
WAFs auf den Punkt gebracht
Wie wir in unserer Einführung festgestellt haben, ein WebApplication Firewall ist eine spezielle Art von Gerät. Damit können webbasierte Anwendungen weitaus besser als mit Standard-Firewalls gesichert werden. Eine typische WAF schützt eine Website vor verschiedenen Arten von Angriffen wie Cross-Site-Scripting, Cookie-Poisoning, Web-Scraping, Parameter-Manipulation, Pufferüberlauf und vielen weiteren Arten von Sicherheitslücken.
Im Gegensatz zu herkömmlichen Firewalls, die basierenBei der Entscheidung, Datenverkehr anhand einfacher Parameter wie IP-Adresse oder Portnummer zuzulassen oder zu blockieren, stützen sich WAFs in der Regel auf eine eingehende Analyse der HTML-Daten. Sie untersuchen Anfragen, um böswillige Verhaltensmuster zu erkennen. Sie entschlüsseln auch den HTTPS-Verkehr, um sicherzustellen, dass kein bösartiger Code in verschlüsselte Pakete eingefügt wird. Webanwendungs-Firewalls werden nach bekannten Malware-Signaturen Ausschau halten, aber auch fehlerhafte oder nicht standardmäßige Anforderungen abfangen, um den bestmöglichen Schutz zu gewährleisten.
Eine Webanwendungsfirewall bietet für sich alleinEin hohes Maß an Schutz. Wenn Sie es jedoch mit anderen Schutzsystemen wie Standard-Firewalls oder Virenschutzsoftware bündeln, erhalten Sie die beste Abdeckung gegen die meisten Bedrohungen. Netzwerkadministratoren müssen mehr denn je einen ganzheitlichen Ansatz zur Verhinderung von Malware verfolgen.
Cloud-basiert oder Appliance?
Es gibt im Wesentlichen zwei Arten von WebAnwendungs-Firewalls. WAFs können entweder cloudbasiert oder als Appliance ausgeführt werden. Cloud-basierte WAFs werden vom Anbieter gehostet. Alle Anfragen an Ihre Website werden über DNS an Ihre WAF-Instanz weitergeleitet, wo sie überprüft werden, bevor sie an Ihre eigentliche Website weitergeleitet werden.
Appliance-WAFs sind Hardwaregeräte. Hierbei handelt es sich um spezialisierte Computer, die normalerweise keine Benutzeroberfläche haben, wie z. B. einen Bildschirm und eine Tastatur, auf denen ein benutzerdefiniertes Betriebssystem und die Webanwendungs-Firewall-Software ausgeführt werden. Sie werden normalerweise in Ihrem Rechenzentrum installiert und befinden sich zwischen Ihrer herkömmlichen Firewall und Ihren Webservern, auf denen sie Anforderungen abfangen, die an sie gesendet werden.
Cloud-basierte WAFs Vor- und Nachteile
Auf der positiven Seite ist eine Cloud-basierte Lösung erforderlichKeine Wartung, da diese vom Verkäufer durchgeführt wird. Diese Lösungen verfügen normalerweise über integrierte Redundanz- oder Hochverfügbarkeitsfunktionen. Der Anbieter wickelt normalerweise auch Systemsicherungen ab. Ein weiterer Vorteil ist, dass der WAF-Dienst häufig mit anderen Diensten desselben Anbieters gekoppelt werden kann. Sie können beispielsweise die Content Distribution- und WAF-Funktionen eines einzelnen Anbieters für eine nahtlos integrierte Lösung kombinieren.
Cloud-basierte WAFs haben jedoch auch einige Nachteile. Eines der wichtigsten ist, dass Sie mit einem einzigen Anbieter für viele Dienste gesperrt werden können. Da der gesamte Datenverkehr auf Ihrer Website an den Cloud-Anbieter weitergeleitet werden muss, haben Sie fast keine andere Möglichkeit, als die anderen Sicherheitsdienste wie z. B. eine herkömmliche Firewall zu verwenden.
WAF Appliances Vor- und Nachteile
Der Hauptvorteil von WAF-Geräten ist, dass SieAlles im Haus behalten. Sie haben die vollständige Kontrolle über jedes Detail Ihrer Infrastruktur. Dies bedeutet auch, dass Sie verschiedene Komponenten von verschiedenen Anbietern auswählen können.
Auf der anderen Seite bedeutet die Verwendung eines Geräts, dassdu musst es aufrechterhalten. Und Sie müssen es aktualisieren, wenn der Datenverkehr zunimmt. Die Verwendung einer Hardwarelösung bedeutet auch viel höhere Anschaffungskosten, da die gesamte Ausrüstung von Anfang an beschafft werden muss. Letztendlich liegt die Wahl bei Ihnen, aber Sie sollten sich möglicherweise von Ihren spezifischen Anforderungen leiten lassen, anstatt sich zuerst für einen Installationstyp zu entscheiden.
Unsere Top 5 der Besten Cloud-basierten WAFs
Wir haben eine Liste der fünf besten zusammengestelltWebanwendungsfirewalls, die auf einer potenziellen Basis basieren. Sie stammen alle von seriösen Lieferanten und bieten ein gutes Preis-Leistungs-Verhältnis. Wir können keines der anderen wirklich empfehlen, da es sich um hervorragende Produkte handelt.
1. Cloudflare WAF
Cloudflare hat sich einen hervorragenden Ruf erarbeitetSchutz von Webservern vor DDoS-Angriffen. Zum Serviceangebot gehört auch eine Web Application Firewall. Der Service hat bereits einen riesigen Kundenstamm und seine Server verarbeiten derzeit fast drei Millionen Anfragen pro Sekunde. Wenn Sie die Website von Cloudflare besuchen, werden Sie feststellen, dass am letzten Tag über 400 Millionen WAF-Regeln ausgelöst wurden.
Einer der Hauptvorteile der Verwendung einer CloudEin Service mit einer derart breiten Kundenbasis besteht darin, dass Sie von den Informationen anderer Kunden profitieren können. Wenn beispielsweise ein Angriffsversuch auf einem anderen Client erkannt wird, wird eine neue Signatur erstellt und auf alle Clients angewendet. Ein weiterer Vorteil der Cloudflare-Lösung besteht darin, dass sie auch Inhaltsbereitstellung und DDoS-Schutz bietet.
2. Akamai Kona Site Defender
Akamai ist der weltweit führende Anbieter von Inhaltensysteme. Im Laufe der Jahre hat das Unternehmen sein Angebot um weitere Funktionalitäten erweitert. Kona Site Defender, wie ihr WAF genannt wird, ist einer von ihnen. Die Web Application Firewall integriert den vollständigen DDoS-Schutz. Natürlich kann der WAF-Dienst auch problemlos mit anderen Akamai-Diensten wie dem Content Delivery Network kombiniert werden. Sobald Ihr Datenverkehr zu Akamai umgeleitet wurde, können Sie ihn genauso gut nutzen und so viele Dienste nutzen, wie Sie benötigen.
Aufgrund seiner Größe und Kundenbasis ist Akamai häufigentdeckt neue Exploits früher als andere Anbieter. Als Benutzer von Kona Site Defender profitieren Sie von diesem Wettbewerbsvorteil und erhalten einen effektiveren Schutz durch eine potenziell bessere Blockierung von Zero-Day-Exploits.
3. F5 Silverline
F5 ist oft besser bekannt für seine BIG-IPAppliances als seine Cloud-Dienste. Kurz gesagt, F5 Silverline ist die Online-Version der im Folgenden beschriebenen ausgezeichneten BIG-IP-ASM-Appliance des Unternehmens. Es ist als verwalteter Dienst oder als Express-Self-Service (F5) verfügbar, um Webanwendungen und Daten vor sich ständig ändernden Bedrohungen zu schützen. Abonnements können eine Laufzeit von einem Jahr oder drei Jahren haben. Ein 24-Stunden-Live-Support ist im Service enthalten.
Ein wesentlicher Vorteil dieses Cloud-basierten Dienstesist, dass es eine verteilte oder in der Cloud gehostete Infrastruktur schützen kann. Der Schutz umfasst eine DDoS-Abschirmung der Schicht 7 und blockiert auch anonymisierte Adressen, wie sie Teil des Tor-Netzwerks sind. Das System verwendet auch eine Live-Blacklist bekannter Phishing-Praktiker und Web-Scraper. Und da diese Blacklist von allen Kunden gemeinsam genutzt wird, profitieren Sie von allen Erkenntnissen, die Sie mit einem anderen Kunden gesammelt haben.
4. Amazon Web Services WAF
Amazon Web Services - oder AWS - ist dasCloud-basierter Hosting-Service des weltweit bekannten Online-Marktplatzes. Es nutzt die riesige verteilte Infrastruktur von Amazon, um Hosting-Services anzubieten. Wenn Sie Kunde der Amazon Web Services sind, ist der AWS WAF möglicherweise das Richtige für Sie. Amazon Web Service bietet auch einen Lastausgleichs- und Inhaltslieferdienst.
Das Preismodell des Amazon Web Services WAFunterscheidet sich von anderen Anbietern. Anstatt jeden Monat einen vordefinierten Betrag zu zahlen, wird Ihnen für jede Sicherheitsregel, die Sie zu Ihrem Service hinzufügen, und für die Anzahl der Webanfragen, die jeden Monat eingehen, eine Rechnung gestellt. Das Beste daran ist, dass Sie für zukünftiges Wachstum nicht sofort bezahlen müssen. Es ist auch sehr interessant für Organisationen mit saisonalen Spitzen.
5. Imperva Incapsula
Imperva ist ein weiterer gebräuchlicher Name in der IT-SicherheitFeld. Der Cloud-basierte Webanwendungsfirewall von Incapsula Der verwaltete Dienst von Imperva zum Schutz vor Angriffen auf Anwendungsebene, einschließlich aller zehn häufigsten Angriffe und Zero-Day-Bedrohungen von Open Web Application Security Project. Der Service ist PCI-zertifiziert und hochgradig anpassbar. Es ist auch sehr effektiv und blockiert die meisten Bedrohungen mit minimalen Fehlalarmen.
Incapsula ist eine der billigsten cloudbasierten WAFsLösungen, die Sie finden können. Pläne beginnen schon bei 300 US-Dollar pro Monat. Ein großartiges Merkmal von Incapsula ist, dass das System neben einer „traditionelleren“ WAF auch Ihre Server überwacht und Patches sendet, um gefundene Probleme zu beheben und Ihren Webanwendungen einen besseren Schutz zu bieten. Natürlich können Sie festlegen, dass Patches zu jedem beliebigen Zeitpunkt angewendet werden, um die betrieblichen Auswirkungen zu verringern.
Unsere Top 5 Best WAF Appliances
Genau wie unsere Top 5 Cloud-basierten WAF-Lösungenstammen alle von namhaften Herstellern, so auch bei unseren WAF-Geräten. Sie stammen von einigen der renommiertesten Anbieter von Sicherheitsausrüstung. Und genau wie unsere vorherige Liste hat diese nur das Beste. Beachten Sie, dass die meisten Anbieter von WAF-Appliances auch einen Cloud-basierten Service anbieten.
1. Imperva SecureSphere
Imperva ist einer der beiden Anbieter, die es geschafft habenin unsere beiden Listen. Der SecureSphere WAF zielt auf kleinere Installationen ab. Die verschiedenen Einheiten, die sie vorschlagen, variieren im Durchsatz von 100 Mbit / s bis 10 Gbit / s, wobei die kleinsten 440 SSL-Transaktionen pro Sekunde verarbeiten können und die größeren 9000. Eine mittlere Einheit, der X2020 mit einem Durchsatz von 500 Mbit / s, verarbeitet 2000 SSL Transaktionen pro Sekunde und Sie werden rund $ 4200 zurücksetzen.
Wenn Sie sich für eines der Top-Modelle entscheiden, werden SieIch bin froh zu erfahren, dass sie auf das nächstgrößere Modell aufrüstbar sind. Beispielsweise kann der X821 auf einen X 10K aufgerüstet werden, wodurch seine Kapazität effektiv verdoppelt wird. Für ein Upgrade müssen Sie nur den richtigen Software-Patch und die entsprechende Lizenz erwerben. Es sind keine kostspieligen Hardware-Upgrades erforderlich.
2. Barracuda Web Application Firewall
Barracuda ist ein weiterer angesehener Name in derBereich der IT-Sicherheit. Es bietet eine hervorragende WAF-Lösung, die sich perfekt für kleine und mittlere Unternehmen eignet. Die Barracuda-Geräte sind etwas teurer als die ihrer Konkurrenten, enthalten jedoch ein Jahr kostenlose Updates. Und Updates finden häufig statt, wenn eine neue Bedrohung erkannt wird.
Das Barracuda WAF-Gerät hat auch ein paar zusätzlicheEigenschaften. Zum Beispiel bietet es Caching für eine schnellere Bereitstellung von Inhalten. Ein weiteres verfügbares Feature ist der Lastenausgleich zwischen mehreren Servern. Sie können sogar einen vollständigen DDoS-Schutz hinzufügen. Wie die meisten anderen WAF-Geräte ist der Barracuda WAAF in verschiedenen Größen erhältlich. Ein durchschnittliches Gerät wie das Modell 360 kostet ungefähr 6350 US-Dollar und bietet 25 Mbit / s Durchsatz und 2000 SSL-Transaktionen pro Sekunde.
3. Citrix Netscaler-Anwendungsfirewall
Der Citrix Netscaler ist eine äußerst beliebte LadungAuswuchtgerät. Wenn Sie sie bereits verwenden, sind Sie froh zu wissen, dass Sie einige davon auch als Webanwendungsfirewall verwenden können. Die Funktionalität ist nur in den Top-NetSclaer MPX-Appliances oder im NetScaler Cloud Service verfügbar. Darüber hinaus müssen Sie die Platinum-Lizenz der höchsten Stufe erwerben, um sie kostenlos zu erhalten. Sie ist jedoch auch als Option mit der Enterprise-Lizenz erhältlich.
Der größte Vorteil des NetScaler WAF istSie erhalten den neuesten Stand der Lastverteilung und Sicherheit in einer Box. Dies ist ein Premium-System und es kommt zu einem Premium-Preis. Für das kleinste Modell, den MPX 5550, mit einem Durchsatz von 500 Mbit / s und bis zu 1500 SSL-Transaktionen pro Sekunde können Sie mit rund 4000 US-Dollar rechnen.
4. Fortinet FortiWeb
Die FortiWeb Appliance von Fortinet ist besserGeeignet für kleinere bis mittlere Unternehmen. Die Appliance integriert WAF, Load Balancing und eine SSL-Offloading-Funktionalität. Eine der besten und neuesten Funktionen der FortiWeb Appliance ist das zweistufige AI-basierte maschinelle Lernen, das die Genauigkeit der Angriffserkennung verbessert. Es wird beinahe eine Webanwendungsfirewall erstellt, die das Festlegen und Vergessen ermöglicht
Die FortiWeb Appliance schützt IhreInfrastruktur aus den neuesten Schwachstellen, Bots und verdächtigen URLs der Anwendung. Die beiden Erkennungsmodule für maschinelles Lernen schützen Ihre Anwendungen vor allen Arten von Bedrohungen wie SQL-Injection, Cross-Site-Scripting, Pufferüberläufen, Cookie-Vergiftungen, böswilligen Quellen und DDoS-Angriffen. Es stehen acht verschiedene FortiWeb-Modelle mit jeweils höherer Kapazität zur Auswahl. Sie reichen vom Einstiegsmodell 100D mit 25 Mbit / s bis zum Spitzenmodell 4000E mit 20 Gbit / s Durchsatz.
5. F5 BIG-IP-Anwendungssicherheitsmanager (ASM)
Last but not least ist die F5 BIG-IP ASM Appliance. Möglicherweise kennen Sie F5 als einen der Hauptkonkurrenten von Citrix. Sie sind bekannt für ihre erstklassigen Load-Balancer. Dies ist eine Appliance, die sich an größere Unternehmen richtet.
Der F5 BIG-IP ASM-Bedrohungsschutz verwendet DeepBedrohungsanalyse und dynamisches Lernen: Sie müssen kaum etwas konfigurieren und können sicher sein, dass Ihre Infrastruktur angemessen geschützt ist. Ein weiteres interessantes Merkmal des F5 BIG-IP ASM ist das SSL-Offloading. Das Gerät übernimmt die schnelle Ver- und Entschlüsselung von SSL, sodass sich Ihre Webserver auf das konzentrieren können, was sie am besten können, und Webseiten bereitstellen.
Abschließend
Mit so vielen Produkten und Dienstleistungen zur AuswahlDie Auswahl der richtigen WAF-Lösung kann sich als eine Handvoll herausstellen. Es handelt sich um teure Systeme, und die Einrichtung und Konfiguration erfordert häufig erhebliche Anstrengungen und Schulungen. Dies ist wahrscheinlich nichts, was Sie zweimal tun möchten, nur um viele verschiedene Produkte auszuprobieren. Stellen Sie sicher, dass Sie Ihre Bedürfnisse genau identifizieren und dass Ihre Wachstumsprognose und Ihre Chancen besser sind, um den WAF zu wählen, der am besten zu Ihnen passt.
Bemerkungen