Webbapplikationsbrandväggar - eller WAF: er - är enrelativt ny typ av brandvägg. De blockerar eller tillåter inte bara trafik baserat på IP-adresser och portar. De går ett steg längre för att analysera trafiken och fatta beslut baserade på en uppsättning fördefinierade affärsregler. Som deras namn antyder är deras huvudsyfte att säkra webbaserade applikationer. Att välja en webbapplikationsfirewall kan vara en skrämmande uppgift. De finns antingen som en molnbaserad tjänst eller som en apparat, var och en med sina fördelar och brister. Det är därför vi har sammanställt den här listan med de 10 bästa brandväggarna för webbapplikationer. Det hjälper dig att utvärdera produktfunktioner från olika leverantörer.
I den här artikeln börjar vi med endiskussion om webbapplikationer brandväggar, vad de är och vilket syfte de tjänar. Vi jämför sedan molnbaserade och apparaturbaserade system och listar fördelar och nackdelar med var och en. Som ni ser är det mer än bara ett filosofiskt val. När vi har gjort förklaringen av grunderna för WAF: er kommer vi att dyka in i kärnan i vårt ämne och inte presentera en utan två listor. Först granskar vi bästa fem molnbaserade WAF: er och nästa gång ska vi titta på bästa fem WAF-apparater.
WAFs i ett nötskal
Som vi sade i vår introduktion en webbApplication Firewall är en speciell typ av enhet. Det kan användas för att säkra webbaserade applikationer som är mycket bättre än vad som är möjligt med vanliga brandväggar. En typisk WAF kommer att skydda en webbplats mot flera typer av attacker, till exempel skript på flera webbplatser, kakeförgiftning, webbskrapning, parameterstabling, buffertöverskridning och många fler typer av sårbarheter.
Till skillnad från traditionella brandväggar som baserar sigderas beslut att tillåta eller blockera trafik på enkla parametrar som IP-adress eller portnummer, WAF baserar oftast sitt beslut på en djupgående analys av HTML-data. De granskar förfrågningar som försöker känna igen skadliga beteendemönster. De kommer också att dekryptera HTTPS-trafik för att se till att det inte finns någon skadlig kod i krypterade paket. Webbapplikationsbrandväggar letar efter kända signaturer för skadlig programvara, men de kommer också att fånga upp eventuella missbildade eller icke-standardförfrågningar för bästa möjliga skydd.
I sig själv kommer en webbapplikationsfirewall att erbjudaen bra grad av skydd, men det är när du buntar det med andra skyddssystem som vanliga brandväggar eller virusskyddsprogramvara som du får den bästa täckningen mot det största antalet hot. Mer än någonsin måste nätverksadministratörer anta en helhetssyn på förebyggande av skadlig programvara.
Molnbaserad eller apparat?
Det finns i huvudsak två typer av webbApplications Firewalls. WAF: er kan vara antingen molnbaserade eller köras som en apparat. Molnbaserade WAF: er värd av leverantören. Alla förfrågningar till din webbplats omdirigeras - genom magin med DNS - till din WAF-instans där den verifieras innan den vidarebefordras till din faktiska webbplats.
Apparaten WAF är hårdvara. Det är specialiserade datorer, vanligtvis utan användargränssnitt som en skärm och tangentbord som kör ett anpassat operativsystem och Web Application Firewall-programvaran. De installeras vanligtvis i ditt datacenter och finns mellan din traditionella brandvägg och dina webbservrar där de avlyssnar förfrågningar som går till dem.
Molnbaserade WAF-för- och nackdelar
På plussidan kräver en molnbaserad lösninginget underhåll eftersom det hanteras av leverantören. Dessa lösningar har vanligtvis inbyggd redundans eller hög tillgänglighet. Leverantören hanterar också vanligtvis säkerhetskopior av system. En annan fördel är att WAF-tjänsten ofta kan kopplas ihop med andra tjänster från samma leverantör. Du kan till exempel kombinera innehållsfördelning och WAF-funktioner hos en enda leverantör för en sömlös integrerad lösning.
Men molnbaserade WAF har också några nackdelar. En av de viktigaste är att de kan låsa dig hos en enda leverantör för många tjänster. Eftersom all trafik till din webbplats måste omdirigeras till molnleverantören har du nästan inget annat alternativ än att använda deras andra säkerhetstjänster, till exempel en traditionell brandvägg.
WAF Appliances För- och nackdelar
Den största fördelen med WAF-apparater är att duhålla allt internt. Det ger dig full kontroll över varje detalj i din infrastruktur. Det betyder också att du är fri att välja olika komponenter från olika leverantörer.
På nackdelen betyder det att använda en apparatdu måste upprätthålla det. Och du måste uppgradera den när din trafik ökar. Att använda en hårdvarulösning innebär också en mycket högre kostnad på förhand eftersom all utrustning måste förvärvas från början. I slutändan är valet upp till dig men du bör möjligen låta dina specifika behov vägleda dig snarare än att först välja en typ av installation.
Våra 5 bästa molnbaserade WAF: er
Vi har sammanställt en lista över de fem bästakunde-baserade webbapplikationsbrandväggar. De kommer alla från välrenommerade leverantörer och erbjuder stort värde för dina pengar. Vi kan inte riktigt rekommendera en över de andra eftersom de alla är utmärkta produkter.
1. Cloudflare WAF
Cloudflare har fått ett utmärkt rykte förskydda webbservrar mot DDoS-attacker. Dess tjänsteerbjudande har också en webbapplikationsbrandvägg. Tjänsten har redan en enorm kundbas och dess servrar hanterar för närvarande nära tre miljoner förfrågningar per sekund. Och om du besöker Cloudflares webbplats ser du att över 400 miljoner WAF-regler utlöste den sista dagen.
En av de främsta fördelarna med att använda ett molntjänsten med en så bred kundbas är att du kan dra nytta av intelligens som förvärvats från andra kunder. Om till exempel ett attackförsök upptäcks hos en annan klient skapas en ny signatur och tillämpas på alla klienter. En annan fördel med Cloudflares lösning är att de också erbjuder leverans av innehåll och DDoS-skydd.
2. Akamai Kona Site Defender
Akamai är världsledande inom innehållsleveranssystem. Genom åren har företaget lagt till fler funktioner i sitt erbjudande. Kona Site Defender, som deras WAF kallas, är en av dem. Web Application Firewall integrerar fullt DDoS-skydd. Och naturligtvis kan WAF-tjänsten också enkelt kombineras med andra Akamai-tjänster, t.ex. Content Delivery Network. När din trafik har omdirigerats till Akamai, kan du lika gärna dra nytta av den och använda så många tjänster du behöver.
På grund av sin storlek och kundbas, Akamai oftaupptäcker nya exploater förr än andra leverantörer. Som Kona Site Defender-användare drar du nytta av denna konkurrensfördel och får effektivt ett starkare skydd med potentiellt bättre blockering av nolldagars exploater.
3. F5 Silverline
F5 är ofta bättre känd för sin BIG-IPapparater än dess molntjänster. Sammanfattningsvis är F5 Silverline onlineversionen av företagets utmärkta BIG-IP ASM-apparat som granskas nedan. Den är tillgänglig som en hanterad tjänst eller som F5 refererar till som en uttrycklig självbetjäning för att skydda webbapplikationer och data från ständigt utvecklande hot. Prenumerationer kan ha en varaktighet på ett år eller tre år. 24-timmars live support ingår i tjänsten.
En stor fördel med denna molnbaserade tjänstär att det kan skydda en distribuerad eller moln-värd infrastruktur. Skyddet inkluderar DDoS-skärmning av lager 7 och kommer också att blockera anonymiserade adresser som de som ingår i Tor-nätverket. Systemet använder också en levande svartlista med kända phishing-utövare och webbskrapare. Och eftersom denna svartlista delas av alla kunder, drar du nytta av all intelligens som erhållits med en annan klient.
4. Amazon Web Services WAF
Amazon Web Services – eller AWS – är denallmänt känd online marknadsplats molnbaserad webbhotell. Det utnyttjar Amazons enorma distribuerade infrastruktur för att erbjuda värdtjänster. Om du är kund hos Amazon Web Services kan AWS WAF vara för dig. Amazon Web Service erbjuder också lastbalansering och leverans av innehållsleveranser.
Prismodellen för Amazon Web Services WAFskiljer sig från andra leverantörer. Istället för att betala ett fördefinierat belopp varje månad faktureras du för varje säkerhetsregel som du lägger till din tjänst och för antalet webbbegäranden som tas emot varje månad. Det bästa med detta är att du inte behöver betala direkt för någon framtida tillväxt. Det är också mycket intressant för organisationer med säsongstoppar.
5. Imperva Incapsula
Imperva är ett annat vanligt namn inom IT-säkerhetenfält. Incapsula-molnbaserade Web Application Firewall Impervas hanterade tjänst för att skydda mot applikationslager, inklusive alla Open 10-applikationssäkerhetsprojektets topp 10 attacker och nolldagars hot. Tjänsten är PCI-certifierad och mycket anpassningsbar. Det är också mycket effektivt och kommer att blockera de flesta hot med minimala falska positiver.
Incapsula är en av de billigaste molnbaserade WAFlösningar du kan hitta. Planerna börjar så lågt som $ 300 per månad. En stor funktion i Incapsula är att förutom en mer "traditionell" WAF, övervakar systemet också dina servrar och skickar korrigeringsfiler för att hantera hittade problem som ger ett bättre skydd för dina webbapplikationer. Du kan naturligtvis schemalägga lappar som ska tillämpas oavsett tidpunkt du valde för att minska dina operativa effekter.
Våra 5 bästa WAF-apparater
Precis som våra topp 5 molnbaserade WAF-lösningarvar alla från kända leverantörer, så är fallet med våra WAF-apparater. De kommer från några av de mest välrenommerade leverantörerna av säkerhetsutrustning. Och precis som vår tidigare lista har den här bara den bästa. Observera att de flesta leverantörer av WAF-apparater också erbjuder en molnbaserad tjänst.
1. Imperva SecureSphere
Imperva är en av de två leverantörerna som gjorde deti båda våra listor. Dess SecureSphere WAF riktar sig mot mindre installationer. De olika enheterna som de föreslår varierar i kapacitet från 100 Mbps till 10 Gbps med den minsta kapabla att bearbeta 440 SSL-transaktioner per sekund och de större cirka 9000. En mellanliggande enhet, X2020 har en kapacitet på 500 Mbps, kommer att behandla 2000 SSL transaktioner per sekund och ger dig tillbaka cirka 4200 dollar.
Om du väljer en av toppmodellerna kommer du att göra detglad att lära sig att de kan uppgraderas till nästa större modell. Till exempel kan X821 uppgraderas till en X 10K, vilket effektivt fördubblar kapaciteten. Och för att uppgradera krävs endast att du köper korrekt programvarupatch och licens. Inga kostsamma hårdvaruuppgraderingar krävs.
2. Barracuda Web Application Firewall
Barracuda är ett annat väl respekterat namn iområdet för IT-säkerhet. Den föreslår en utmärkt WAF-lösning som passar perfekt för små och medelstora organisationer. Barracuda-apparaterna är något dyrare än deras konkurrenters men de kommer med ett års gratis uppdateringar. Och om uppdateringar sker de ofta närhelst ett nytt hot identifieras.
Barracuda WAF-apparaten har också några extrafunktioner. Till exempel erbjuder det cachning för snabbare leverans av innehåll. Lastbalansering mellan flera servrar är en annan tillgänglig funktion. Du kan till och med lägga till fullt DDoS-skydd. Som de flesta andra WAF-apparater finns Barracuda WAAF i flera storlekar. En genomsnittlig enhet som Model 360 kommer att kosta dig cirka $ 6350 och ger dig 25 Mbps genomströmning och 2000 SSL-transaktioner per sekund.
3. Citrix Netscaler Application Firewall
Citrix Netscaler är en oerhört populär belastningbalanseringsapparat. Om du redan använder dem kommer du gärna att veta att du också kan använda några av dem som en webbapplikationsbrandvägg. Funktionaliteten är endast tillgänglig i de bästa NetSclaer MPX-apparaterna eller NetScaler Cloud Service. Och dessutom måste du köpa den översta platina-licensen för att få den gratis även om den också finns som ett alternativ med Enterprise-licensen.
Den största fördelen med NetScaler WAF äratt du får toppmodern lastbalansering och säkerhet i en ruta. Detta är ett premiumsystem och det kommer till ett premiumpris. Du kan förvänta dig att betala cirka $ 4000 för den minsta modellen, MPX 5550 med en kapacitet på 500 Mbps och upp till 1500 SSL-transaktioner per sekund.
4. Fortinet FortiWeb
FortiWeb-apparaten från Fortinet är bättrepassar för mindre till medelstora organisationer. Apparaten integrerar WAF, lastbalansering och en SSL-avlastningsfunktion. En av de bästa – och nyaste funktionerna i FortiWeb-apparaten är den tvåstegs AI-baserade maskininlärningen som förbättrar noggrannheten för attackdetektering. det skapar nästan en "Set and Forget" Web Application Firewall
FortiWeb-apparaten skyddar dininfrastruktur från de senaste applikationssårbarheterna, bots och misstänkta webbadresser. Och dess dubbla maskininlärningsdetekteringsmotorer håller dina applikationer säkra från alla slags hot som SQL-injektion, skript över flera platser, buffertöverskridningar, cookieförgiftning, skadliga källor och DDoS-attacker. Det finns åtta olika FortiWeb-modeller att välja mellan, var och en med ökad kapacitet. De sträcker sig från ingångsnivån 100D vid 25 Mbps till toppmodellen 4000E med 20 Gbps genomström.
5. F5 BIG-IP Application Security Manager (ASM)
Sist men inte minst är F5 BIG-IP ASM-apparat. Du kanske känner till F5 som en av Citrix främsta konkurrenter. De är välkända för sina förstklassiga lastbalanserare. Detta är en apparat som riktar sig mot större företag.
F5 BIG-IP ASM-hotskyddet använder djuphotanalys och dynamiskt lärande, du har knappt någon konfiguration att göra och ändå kan du vara säker på att din infrastruktur är tillräckligt skyddad. En annan intressant funktion hos F5 BIG-IP ASM är SSL-avlastning. Enheten kommer att hantera SSL-kryptering och dekryptering i farten, så att dina webbservrar kan koncentrera sig på vad de gör bäst, servera webbsidor.
Sammanfattningsvis
Med så många produkter och tjänster att väljafrån att välja rätt WAF-lösning kan visa sig vara en handfull. Det är dyra system och de kräver ofta stora ansträngningar - och utbildning - för att konfigurera och konfigurera korrekt. Det här är förmodligen inte något du vill göra två gånger bara för att prova många olika produkter. Se till att du exakt identifierar dina behov och din tillväxtprojektion och chansen är stor att du kommer att vara i bättre position att välja den WAF som passar dig bäst.
kommentarer