Брандмауери веб-додатків - або WAF - цевідносно новий вид брандмауера. Вони не просто блокують та не дозволяють трафік на основі IP-адрес та портів. Вони йдуть на крок далі для аналізу трафіку та прийняття рішень на основі набору заздалегідь визначених правил бізнесу. Як випливає з назви, їх основна мета - захист веб-додатків. Вибір брандмауера веб-додатків може бути непростим завданням. Вони існують або як хмарний сервіс, або як прилад, кожен зі своїми перевагами та недоліками. Ось чому ми склали цей список 10 найкращих брандмауерів веб-додатків. Це допоможе оцінити особливості товару від різних постачальників.
У цій статті ми почнемо здискусія про брандмауери веб-додатків, що вони таке і для чого вони служать. Потім ми порівняємо хмарні системи та системи на базі приладів та перерахуємо плюси та мінуси кожної з них. Як бачите, це не просто філософський вибір. Після того, як ми пояснимо основи WAF, ми зануримось у основу нашої теми та подамо не один, а два списки. Спочатку ми розглянемо найкращі п'ять хмарних WAF а далі ми подивимось на найкращі п’ять приладів WAF.
WAF в двох словах
Як ми заявили у своєму вступі, МережаБрандмауер додатків - це особливий тип пристроїв. Його можна використовувати для захисту веб-додатків набагато краще, ніж це можливо зі стандартними брандмауерами. Типовий WAF захищає веб-сайт від декількох типів атак, таких як міжсайтовий сценарій, отруєння файлами cookie, скребкування веб-сторінок, фальсифікація параметрів, переповнення буфера та багато інших типів уразливості.
Всупереч традиційним брандмауерам, які базуютьсяїхнє рішення дозволити або заблокувати трафік на простих параметрах, таких як IP-адреса або номер порту, WAF здебільшого базують своє рішення на поглибленому аналізі даних HTML. Вони вивчають запити, намагаючись розпізнати зловмисні моделі поведінки. Вони також будуть розшифровувати трафік HTTPS, щоб гарантувати, що в зашифровані пакети не вставляється зловмисний код. Брандмауери веб-додатків будуть шукати відомі підписи зловмисного програмного забезпечення, але вони також перехоплюватимуть будь-які неправильні або нестандартні запити для найкращого захисту.
Сам по собі брандмауер веб-додатків запропонуєхороший ступінь захисту, але саме тоді, коли ви поєднуєте його з іншими системами захисту, такими як стандартні брандмауери або програмне забезпечення для захисту від вірусів, ви отримаєте найкраще покриття від найбільшої кількості загроз. Більше, ніж будь-коли, адміністраторам мережі потрібно застосовувати цілісний підхід до запобігання зловмисному програмному забезпеченню.
Хмарний або пристрій?
По суті є два типи WebБрандмауері програми. WAF можуть бути або хмарними, або працювати як пристрій. Хмарні WAF розміщуються у постачальника. Усі запити на ваш веб-сайт переспрямовуються - за допомогою магії DNS – на ваш екземпляр WAF, де він перевіряється перед тим, як переслати його на ваш фактичний сайт.
WAF - це апаратні пристрої. Це спеціалізовані комп'ютери, як правило, без користувальницького інтерфейсу, такого як екран і клавіатура, на яких працює власна операційна система та програмне забезпечення брандмауера веб-додатків. Зазвичай вони встановлюються у вашому центрі обробки даних і розташовуються між вашим традиційним брандмауером та веб-серверами, де вони перехоплюють запити, що надходять до них.
Плюси та мінуси хмарних WAF
З іншого боку, потрібне хмарне рішенняне потребує технічного обслуговування, оскільки цим займається постачальник. Зазвичай ці рішення мають вбудовану функцію надмірності або високу доступність. Постачальник також зазвичай обробляє резервні копії системи. Ще одна перевага полягає в тому, що сервіс WAF часто може бути сполучений з іншими службами того ж постачальника. Наприклад, ви можете поєднувати функції розподілу вмісту та WAF одного постачальника для цілісного інтегрованого рішення.
Але у хмарних WAF також є кілька недоліків. Одне з найважливіших - це те, що вони можуть заблокувати вас одним постачальником для багатьох послуг. Оскільки весь трафік вашого веб-сайту повинен бути перенаправлений на хмарного постачальника, у вас майже немає іншого вибору, крім використання інших їх служб безпеки, таких як традиційний брандмауер.
Плюси і мінуси техніки WAF
Основна перевага приладів WAF полягає в тому, що витримати все вдома. Це дає вам повний контроль над кожною деталлю вашої інфраструктури. Це також означає, що ви можете обирати різні компоненти у різних постачальників.
З іншого боку, використання приладу означає, щови повинні її підтримувати. І вам доведеться оновити її по мірі збільшення трафіку. Використання апаратного рішення також означає набагато більшу вартість заздалегідь, оскільки все обладнання потрібно придбати з самого початку. Зрештою, вибір залежить від вас, але, можливо, ви повинні дозволити, щоб ваші конкретні потреби керували вами, а не спочатку вибирали один тип установки.
Наші топ-5 кращих хмарних WAF
Ми склали список із п’яти найкращихна базі брандмауерів веб-додатків. Всі вони є від надійних постачальників і пропонують велику ціну за ваші гроші. Ми не можемо рекомендувати одного над іншими, оскільки вони - чудові продукти.
1. Cloudflare WAF
Cloudflare завоював відмінну репутаціюзахист веб-серверів від DDoS-атак. У його сервісі також є брандмауер веб-додатків. У сервісу вже є величезна база клієнтів, і його сервери в даний час обробляють близько трьох мільйонів запитів в секунду. Якщо ви завітаєте на веб-сайт Cloudflare, ви побачите, що за останній день було запущено понад 400 мільйонів правил WAF.
Одна з головних переваг використання хмариобслуговування з такою широкою базою клієнтів полягає в тому, що ви можете отримати вигоду від інтелекту, придбаного від інших клієнтів. Наприклад, якщо виявлено спробу атаки на іншого клієнта, буде створений новий підпис і застосований до всіх клієнтів. Ще одна перевага рішення Cloudflare полягає в тому, що вони також пропонують доставку вмісту та захист від DDoS.
2. Захисник сайту Akamai Kona
Akamai є світовим лідером з доставки вмістусистем. Протягом багатьох років компанія додала більше функціональних можливостей у свою пропозицію. Захисник сайту Kona, як їх називають WAF, є одним із них. Брандмауер веб-додатків інтегрує повний захист DDoS. І звичайно, сервіс WAF також легко поєднується з іншими послугами Akamai, такими як Мережа доставки вмісту. Як тільки ваш трафік буде переспрямований на Akamai, ви можете також скористатися ним і скористатися якомога більше послуг.
Завдяки своєму розміру та клієнтській базі, Akamai частовиявляє нові подвиги раніше, ніж інші постачальники. Як користувач Kona Site Defender, ви отримуєте перевагу від цього конкурентного переваги та ефективно отримуєте більш міцний захист із потенційно кращим блокуванням експлуатації нульових днів.
3. F5 Silverline
F5 часто більш відомий своїм BIG-IPприладів, ніж його хмарні послуги. Коротше кажучи, F5 Silverline - це онлайн-версія відмінного пристрою BIG-IP ASM, розглянута нижче. Він доступний як керована послуга або як те, що F5 називає експрес-самообслуговуванням для захисту веб-додатків та даних від постійно розвиваються загроз. Підписка може тривати один рік або три роки. До послуг послуг включена цілодобова підтримка в реальному часі.
Одна з головних переваг цього хмарного сервісуполягає в тому, що він може захищати інфраструктуру з розподіленим або розміщеним у хмарі. Захист включає захисний захист DDoS рівня 7 і також блокує анонімізовані адреси, такі як ті, які є частиною мережі Tor. Система також використовує прямий чорний список відомих практикуючих фішинг та веб-скребки. А оскільки цей чорний список ділиться всіма клієнтами, ви отримуєте вигоду від будь-якого інтелекту, отриманого з іншим клієнтом.
4. Веб-сервіс Amazon WAF
Веб-сервіси Amazon – або AWS – цевсесвітньо відома Інтернет-мережа, хмарний сервіс хостингу. Він використовує величезну розподілену інфраструктуру Amazon, щоб пропонувати послуги хостингу. Якщо ви є клієнтом веб-служб Amazon, AWS WAF може бути для вас. Веб-служба Amazon також пропонує балансування завантаження та доставку вмісту.
Модель ціноутворення WAF Amazon Web Services WAFвідрізняється від інших постачальників. Замість сплати заздалегідь визначеної суми щомісяця вам виставляють рахунок за кожне правило безпеки, яке ви додаєте у свою послугу, і за кількість веб-запитів, які надходять щомісяця. Найкраще в цьому - те, що вам не доведеться платити відразу за майбутнє зростання. Це також дуже цікаво організаціям із сезонними піками.
5. Інкапсула Імперва
Імперва - ще одне поширене ім'я в галузі безпеки ІТполе. Служба управління захищеним від атак рівня прикладного програмного забезпечення, включаючи всі 10 найпопулярніших атак відкритих веб-застосунків із захисту веб-додатків та загроз з нульовим днем, що керується хмарною службою Incapsula. Послуга сертифікована за PCI та настроюється на високому рівні. Він також високоефективний і блокує більшість загроз мінімальними помилковими позитивами.
Інкапсула - один з найдешевших хмарних WAFрішення, які ви можете знайти. Плани починаються від $ 300 на місяць. Одна чудова особливість Incapsula полягає в тому, що, крім більш «традиційного» WAF, система також оглядає ваші сервери та надсилатиме патчі для вирішення знайдених проблем, забезпечуючи кращий захист ваших веб-додатків. Звичайно, ви можете запланувати виправлення патчів у будь-який час, коли ви вирішили зменшити свої експлуатаційні наслідки.
Наші 5 найкращих приладів WAF
Як і наші топ-5 хмарних рішень WAFвсі були від відомих постачальників, так це і з нашими приладами WAF. Вони є одними з найвідоміших постачальників обладнання безпеки. І так само, як і в попередньому списку, цей не має нічого кращого. Зауважте, що більшість постачальників приладів WAF також пропонують хмарну послугу.
1. Imperva SecureSphere
Imperva - один з двох продавців, які це зробилив обидва наші списки. Її SecureSphere WAF націлений на менші установки. Запропоновані ними різні одиниці відрізняються пропускною здатністю від 100 Мбіт / с до 10 Гбіт / с, найменший здатний обробляти 440 транзакцій SSL в секунду, а більший - 9000. Блок X2020 середнього рівня має пропускну здатність 500 Мбіт / с, оброблятиме 2000 SSL транзакцій в секунду і поверне вам близько 4200 доларів.
Якщо ви виберете одну з найвищих моделей, ви будетеРада дізнатись, що вони доступні для наступної більшої моделі. Наприклад, X821 можна модернізувати до X 10K, ефективно подвоївши свою потужність. А оновлення вимагає лише придбання належного програмного виправлення та ліцензії. Не потрібні дорогі оновлення обладнання.
2. Брандмауер веб-додатків Barracuda
Барракуда - ще одне шановане ім'я всфера ІТ-безпеки. Він пропонує відмінне рішення WAF, яке ідеально підходить для малих та середніх організацій. Прилади Barracuda дещо дорожчі, ніж у конкурентів, але вони оновлюються на рік безкоштовно. Щодо оновлень, то вони відбуваються часто, коли виявляється нова загроза.
У пристрою Barracuda WAF також є кілька додатковихособливості. Наприклад, він пропонує кешування для швидшої доставки вмісту. Балансування завантаження між декількома серверами - ще одна доступна функція. Ви навіть можете додати повний захист від DDoS. Як і більшість інших приладів WAF, Barracuda WAAF доступний у кількох розмірах. Середній пристрій, як-от Model 360, обійдеться вам приблизно в $ 6350 і забезпечить 25 Мбіт / с пропускної здатності та 2000 транзакцій SSL в секунду.
3. Брандмауер додатків Citrix Netscaler
Cetrix Netscaler - надзвичайно популярне навантаженнябалансуючий прилад. Якщо ви вже використовуєте їх, ви будете раді дізнатись, що також можете використовувати деякі з них як брандмауер веб-додатків. Функціонал доступний лише в топ-пристроях NetSclaer MPX або в хмарній службі NetScaler. Крім того, вам потрібно придбати ліцензію Platinum верхнього рівня, щоб отримати її безкоштовно, хоча вона також доступна як опція з ліцензією Enterprise.
Найбільша перевага NetScaler WAF - цещо ви отримуєте сучасне збалансування навантаження та безпеку в одному полі. Це преміальна система, і вона поставляється за ціною преміум-класу. Ви можете розраховувати заплатити близько 4000 доларів за найменшу модель, MPX 5550 з пропускною здатністю 500 Мбіт / с і до 1500 транзакцій SSL в секунду.
4. Fortinet FortiWeb
Прилад FortiWeb від Fortinet кращепідходить для організацій менших і середніх розмірів. Прилад інтегрує WAF, балансування навантаження та функцію розвантаження SSL. Однією з найкращих та найновіших особливостей пристрою FortiWeb є двоступеневе машинне навчання на основі AI, що покращує точність виявлення атак. це майже створює брандмауер веб-додатків "Установити і забути"
Прилад FortiWeb захистить васінфраструктура від останніх уразливих програм, ботів та підозрілих URL-адрес. А його подвійні механізми виявлення машинного навчання захищають ваші програми від усіляких загроз, таких як інжекція SQL, сценарії між сайтами, переповнення буфера, отруєння файлами cookie, шкідливі джерела та DDoS-атаки. Існує вісім різних моделей FortiWeb на вибір, кожна з яких збільшує місткість. Вони варіюються від початкового рівня 100D при 25 Мбіт / с до топової моделі 4000E з пропускною здатністю 20 Гбіт / с.
5. F5 BIG-IP Менеджер безпеки додатків (ASM)
І останнє, але не менш важливе - прилад F5 BIG-IP ASM. Ви можете знати F5 як одного з основних конкурентів Citrix. Вони добре відомі своїми першокласними балансирами навантаження. Це пристрій, націлений на більші підприємства.
Захист від загрози F5 BIG-IP використовує глибокий захистаналіз загроз та динамічне навчання, у вас ледве є якась конфігурація, але все ж ви можете бути впевнені, що ваша інфраструктура захищена належним чином. Ще одна цікава особливість F5 BIG-IP ASM - це розвантаження SSL. Пристрій керуватиме SSL-шифруванням та розшифровкою на льоту, дозволяючи веб-серверам сконцентруватися на тому, що їм найкраще, обслуговувати веб-сторінки.
У висновку
З такою кількістю продуктів та послуг на вибірВибір правильного рішення WAF може виявитися пригорщем. Вони є дорогими системами, і вони часто потребують значних зусиль - і навчання - для правильної настройки та налаштування. Це, мабуть, не те, що ти хочеш зробити двічі, просто спробувати багато різних продуктів. Переконайтеся, що ви точно визначите свої потреби та прогноз зростання та шанси на те, що ви зможете вибрати кращий WAF, який вам найбільше підходить.
Коментарі