Průvodce kupujícího po WAF – 11 nejlepších firewallů webových aplikací pro rok 2022
Pokud máte online podnik, musíte svou webovou stránku chránit před zničením hackery. Pokud je váš web infikován hackerskými kódy, vyhledávače se na něj nepropojí. Chraňte svou firmu pomocí brány firewall webových aplikací.
A Firewall webových aplikací ( WAF ) řešení nabízí ochranu webových serverů. Váš WAF bude sledovat provoz mezi internetem a vaší webovou aplikací a poté filtruje nebo blokuje provoz na základě sady pravidel/zásad.
Firewally webových aplikací chrání před útoky včetně SQL injection, cross-site-scripting (XSS) a otravy cookies a jsou nezbytnou součástí vaší obranné strategie.
Zde je náš seznam nejlepších firewallů webových aplikací:
- VOLBA REDAKTORU brány firewall pro spravovanou webovou aplikaci AppTrana Plně spravovaný firewall webových aplikací poskytovaný společností Indusface s přibaleným aplikačním skenerem, CDN a spravovanými vlastními bezpečnostními pravidly s nulovým WAF False-positive assurance podpořeným SLA a podporou 24×7.
- StackPath Web Application Firewall (ZKUŠEBNÍ ZKOUŠKA ZDARMA) Firewall založený na cloudu, který je součástí „okrajového“ řešení.
- Website Firewall Juices (DALŠÍ INFORMACE) Součást sady služeb zabezpečení aplikací mimo pracoviště, která také zahrnuje ochranu DDoS.
- Fortinet FortiWeb Balíček okrajových služeb, který nabízí bránu firewall webových aplikací, off-loader SSL a nástroj pro vyrovnávání zatížení v cloudové službě, zařízení nebo virtuálním počítači.
- Imperva Cloud WAF Firewall webových aplikací založený na cloudu s ekvivalentním zařízením na místě s názvem Imperva WAF Gateway.
- Barracuda Web Application Firewall Tento WAF, dostupný jako systém SaaS, privátní cloud, zařízení nebo virtuální počítač, zahrnuje také skenování zranitelností a prevenci ztráty dat.
- Prophaze Web Application Firewall Přizpůsobitelné, vše v jednom Multi/Hybrid/Private/SaaS/Kubernetes založené WAF s ochranou proti botům, RASP, DDoS, CDN řešení. Rychlé zavedení, neomezené SSL certifikáty a nepřetržitá podpora.
- Firewall webových aplikací MS Azure Cloudový WAF, který může chránit webové servery kdekoli. Toto je měřená služba.
- F5 Essential App Protect Cloudový WAF, který je zaměřen na netechnické zákazníky, takže je snadné jej nastavit a spravovat.
- Cloudflare WAF Cloudové řešení, které lze kombinovat s DDoS ochranou.
- Obránce stránek Akamai Kona Kombinuje offsite ochranu WAF a DDoS.
Nejlepší brány firewall webových aplikací
Mnoho poskytovatelů firewallu webových aplikací se snaží zachytit co největší část trhu tím, že nabízí své systémy WAF v co největším počtu konfigurace jak je to možné. Takže v mnoha případech může být stejný WAF poskytnut jako softwarový balíček, který běží na virtuálním počítači, jako síťové zařízení nebo jako cloudový systém SaaS. Je také možné získat cloudový WAF jako plně spravovanou službu.
Naše metodika pro výběr webového aplikačního firewallu
Přezkoumali jsme trh s WAF a analyzovali možnosti na základě následujících kritérií:
- Systém založený na cloudu
- Integrovaná DDoS ochrana
- Maskování skutečné IP adresy firmy
- Zabezpečený kanál pro přesměrování provozu
- Rychlé zpracování dat, které nezpomaluje běžný provoz
- Bezplatná zkušební verze nebo demo možnost, která umožňuje posouzení bez placení
- Hodnota za peníze z víceúčelového ochranného systému za rozumnou cenu
Pomocí této sady kritérií jsme hledali okrajové platformy, které kromě jiných služeb poskytují funkce brány firewall webových aplikací a nabízejí ceny předplatného bez nákladů na nastavení.
1. AppTrana Managed Web Application Firewall (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
AppTrana od Indusface poskytuje plně spravovaný firewall webových aplikací spojený s akcelerací obsahu a CDN přes cloud. Vše, co musíte udělat, je směrovat svůj provoz přes službu AppTrana hostovanou ve více regionech v datových centrech AWS od Indusface.
Klíčové vlastnosti:
- Řízená služba
- Síť pro doručování obsahu
- Zrychlení dodávky
- Ochrana proti selhání
- Bezpečnostní posudky
AppTrana přichází z krabice s optimalizovanými základními spravovanými sadami pravidel, které lze okamžitě uvést do blokovaného režimu na základě optimalizované sady základních pravidel, kterou společnost Indusface vyvinula prováděním bezpečnostních hodnocení tisíců dalších webových stránek. Po připojení mohou zákazníci na vyžádání provést automatické hodnocení zabezpečení webu a získat okamžitý přehled o tom, zda jsou již chráněni WAF nebo vyžadují vlastní bezpečnostní pravidla.
Ty, které vyžadují vlastní pravidla, si lze vyžádat z centralizovaného portálu a tým 24×7 MSS z Indusface vytvoří vlastní pravidlo s falešně pozitivním ujištěním Zero WAF a ochrání je. Výkon webových stránek je vylepšen prostřednictvím CDN, které je součástí služby.
Klady:
- Žádné vstupní náklady
- Součástí balíčku jsou technici a bezpečnostní analytici
- Distribuovaný systém doručení
- DDoS ochrana
- Hostováno na AWS
Nevýhody:
- Předáváte kontrolu nad svou webovou přítomností externí firmě
Plán AppTrana je k dispozici jako předplatitelská služba spolu s 14denní bezplatná zkušební verze . Bezplatná zkušební registrace se automaticky zaregistruje do bezplatného navždy základního plánu, který zahrnuje automatické bezpečnostní skenování vašeho webu dvakrát měsíčně.
VÝBĚR REDAKCE
Firewall spravované webové aplikace AppTrana je naší nejlepší volbou v tomto shrnutí. Zahrnuje služby týmu odborníků, kteří vynikají v oblasti ochrany sítí. Služba obsahuje kromě běžných funkcí firewallu webových aplikací mnoho dalších bezpečnostních služeb. Technický tým Indusface, který na této službě pracuje, filtruje žvatlání hlášení o bezpečnostních zařízeních, čímž značně zatěžuje technické manažery klientských společností.
Umístění této služby v cloudu také odstraňuje nutnost nakupovat a spravovat specializovaný hardware na místě, abyste chránili svou síť. Indusface byl pojmenován podleVýběr zákazníků Gartner Peer Insightve všech sedmi sekcíchHlas zákazníka WAAP 2022zpráva.
Zahájit 14denní bezplatnou zkušební verzi:industry.com/products/application-security/web-application-firewall/
VY:Cloudové
2. StackPath Web Application Firewall (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
The Firewall webových aplikací je jednou ze sady cloudových služeb, které nabízí StackPath která se specializuje na „edge technology“. Tento termín se vztahuje k technice vytlačování připojených služeb na okraj vaší sítě a pak ještě trochu dál. StackPath je cloudová služba založená na předplatném, která zachycuje veškerý váš provoz předtím, než se dostane na váš webový server .
Offsite konfigurace StackPath poskytuje extra ochranu pro váš webový server jako kterýkoli jiný škodlivý kód ani nemá šanci dotknout se vašich zdrojů .
Klíčové vlastnosti:
- Ochrana proti viru
- Proxy služba
- DDoS ochrana
- Posouzení IP adresy
Webový provoz směřující na váš web bude přesměrován tak, aby nejprve dorazil na server StackPath. Tato služba nabízí tři základní obrany: Posouzení IP adresy , ověření prohlížeče a použití pravidel směrování založených na obsahu . Tato metodika se zaměřuje na pravděpodobnost příchozích požadavků pocházejících z pochybných zdrojů. Filtrování zdroje také vypne veškeré pokusy o útok DDoS.
Na váš webový server je přesměrován pouze ověřený provoz. Veškeré toto zpracování probíhá tak rychle, že běžní uživatelé nezaznamenají žádné snížení rychlosti připojení.
Klady:
- Nabízí řadu hodnocení pro příchozí požadavky
- Otisky prstů prohlížeče a ověření
- Volitelné směrování pro obsluhu požadavků
- Rychlé hodnocení
Nevýhody:
- Abyste z této služby dostali to nejlepší, musíte mít technické dovednosti
StackPath nabízí Firewall webových aplikací zdarma na první měsíc provozu.
StackPath Web Application Firewall první měsíc zdarma
3. Firewall webových stránek Juices (DALŠÍ INFORMACE)
The Firewall webových aplikací Sucuri je součástí sady opatření na ochranu webových stránek. Cloudový ochranný systém Sucuri je online služba. Adresa vašeho webu je hostována na serveru Sucuri a také veškerý váš webový provoz směřuje tam jako první.
Klíčové vlastnosti:
- Proxy služba
- DDoS ochrana
- Rychlé skenování
Služba Sucuri filtruje škodlivý provoz prostřednictvím řady technik. Společnost spravuje databázi signatur útoků, která je neustále aktualizována, tzn váš web těží ze strategií ochrany, které se naučila společnost Sucuri, když brání jiné weby .
Balíček služeb zahrnuje optimalizaci výkonu a DDoS ochranu. Server Sucuri blokuje škodlivý provoz a předává všechny bona fide požadavky na váš webový server. Tento proces probíhá tak rychle, že návštěvníci nezaznamenají žádné zpomalení při doručování vašich webových stránek.
Výkon doručování je vylepšen ukládáním do mezipaměti, tzn i když je váš web mimo provoz z důvodu údržby, návštěvníci budou mít stále přístup k vašim webovým stránkám .
Klady:
- Zásah do návštěvnosti webu
- Zrychlení dodávky
- Inteligence hrozeb
Nevýhody:
- Spojení si musíte nastavit sami
Sucuri Web Application Firewall je k dispozici jako předplatitelská služba a její cena začíná od 9,99 $ měsíčně za základní balíček. Podívejte se na podrobnosti plánu na jejich webových stránkách.
Sucuri Web Application Firewall Zobrazit podrobnosti plánu
4. Fortinet FortiWeb
The FortiWeb WAF od společnosti Fortinet je nabízen jako systém SaaS, jako softwarový balíček založený na VM nebo jako zařízení. Software pro WAF je k dispozici také pro soukromý cloud hosting a lze jej implementovat jako kontejnerový systém.
Klíčové vlastnosti:
- Respektovaná značka
- DDoS ochrana
- Inteligence hrozeb
Systém FortiWeb funguje službu ochrany DDoS při přístupu jako ke cloudové službě nebo jako zařízení. Firewall webových aplikací zkoumá veškerý provoz putující do sítě a nasazuje strojové učení založené na umělé inteligenci, aby detekoval podezřelou aktivitu. FortiWeb také používá zdroj informací o hrozbách držet krok s nejnovějšími strategiemi hackerských útoků a hledat vzorce chování, které se odchylují od vypočítané normy a zdá se, že vedou k typickému útoku.
WAF lze kombinovat s offloader SSL a vyvažovač zátěže .
Klady:
- Získejte jej jako virtuální zařízení, fyzické zařízení nebo balíček SaaS
- Samoobslužný
- Možnosti integrace dalších bezpečnostních systémů Fortinet
Nevýhody:
- Funguje nejlépe s kompletní sadou systémů Fortinet
Cloudová služba je zpoplatněna prostřednictvím předplatného a její řídicí panel je přístupný prostřednictvím libovolného standardního prohlížeče odkudkoli. Verze síťového zařízení je k dispozici v osmi modelech, které se liší kapacitou od 25 Mbps do 20 Gbps.
5. Imperva Cloud WAF
Imperva je významným hráčem v oboru kybernetické bezpečnosti a její služby WAF jsou komplexní. Online verze brány firewall webové aplikace Imperva funguje jako proxy server , zachytí veškerý příchozí provoz a vyčistí jej před předáním na chráněný webový server.
Klíčové vlastnosti:
- Proxy služba
- Kontinuita dostupnosti stránek
- Bezpečnostní záplatování
Služba Imperva Cloud WAF je partnerem dalších služeb pro vylepšení webu, jako je např síť pro doručování obsahu (CDN) , který urychluje doručování webových stránek a také zajišťuje stálou dostupnost v případě výpadku hlavního serveru z důvodu údržby nebo nějakého poškození. WAF zahrnuje a virtuální záplatování služba, která aplikuje všechny potřebné záplaty na chráněný systém a poskytuje dostupnost webu, když je webový server bounceed.
Klady:
- Služba zpevnění systému pro webové servery
- Ochrana před útoky škodlivého provozu
- Zrychlení dodávky
Nevýhody:
- Verze na místě vyžaduje zakoupení spotřebiče
Imperva nabízí možnost řízené služby pro svůj Cloud WAF, který zahrnuje specialisty a techniky pro provozování bezpečnostního softwaru. Verze bezpečnostní služby Imperva na místě je k dispozici na řadě síťových zařízení s názvem Imperva WAF Gateway.
6. Barracuda Web Application Firewall
The Barracuda Web Application Firewall je k dispozici jako systém SaaS, zařízení, jako virtuální zařízení nebo pro instalaci na účet privátního cloudu. Tato flexibilita implementace znamená, že WAF by mohl být vhodný pro podniky jakékoli velikosti.
Klíčové vlastnosti:
- Možnosti nasazení
- Blokuje malware a infikované stránky
- Ochrana provozu
WAF směruje veškerý provoz pro webový server – jak příchozí, tak odchozí . Je schopen odhalit a blokovat útoky založené na provozu, malware a pokusy o útok na stránce. Služba využívá jak blacklisting, k blokování hackerů, tak whitelisting, aby umožnila přístup platným uživatelům pouze z konkrétních zařízení.
Systém sledování provozu Barracuda WAF také poskytuje prevence ztráty dat . To umožňuje podnikům dodržovat standardy ochrany dat, jako je PCI DSS. Příchozí provoz je zablokován, pokud jsou detekovány chybné požadavky na připojení, což znamená DDoS útok . Za těchto okolností server WAF absorbuje a zahazuje objemové útoky, což umožňuje průchod skutečných požadavků na připojení.
Klady:
- Platforma SaaS, fyzické zařízení nebo virtuální zařízení
- Reverzní firewall také pro ochranu dat
- DDoS ochrana
Nevýhody:
- Spotřebiče mohou být drahé
Síťová zařízení nabízená společností Barracuda se liší v kapacitě od 25 Mbps do 10 Gbps.
7. Prophaze Web Application Firewall
Prophase WAF-as-a-Service je cloudový proxy server, který funguje jako firewall webové aplikace. Služba Prophaze zahrnuje AI rutiny které zpřesňují pravidla detekce úpravou základní linie standardního chování. Tato funkce pomáhá snižovat počet falešných poplachů a pomáhá poskytnout skutečným návštěvníkům stránek neomezený přístup.
Klíčové vlastnosti:
- Přizpůsobitelné all-in-one Multi/Hybrid/Private/SaaS/založené WAF na Kubernetes
- Zahrnuje ochranu bot + RASP + DDOS + řešení CDN s neomezenými pravidly
- Nalodění za pouhých 15 minut
- Neomezený bezplatný certifikát SSL
- Nepřetržitá podpora ve službě Teams/Zoom/Google s uchováváním dat po dobu 30 dnů
- Služba Prophaze je zpoplatněna prostřednictvím předplatného se třemi dostupnými plány. Nejvyšší plán, nazývaný SaaS, má možnosti pro více nájemců, takže je vhodný pro použití MSP. Můžete získat a zkušební verze zdarma Prophaze WAF-as-a-Service.
Samotný systém Prophase pracuje s kontejnery Kubernetes a je také schopen monitorovat výkon a zabezpečení aktivit Kubernetes vašeho vlastního systému a také provádět tradiční detekci aktivity hackerů.
Abyste mohli používat Prophaze WAF, nemusíte být odborníkem. Společnost cílí svůj produkt na malé podniky, takže je navržen s ohledem na netechnické uživatele. Obrazovky na palubní desce jsou přístupné přes jakýkoli standardní prohlížeč a jsou jasné a dobře rozvržené.
Klady:
- Blokuje viry a napadené stránky
- Odstraňuje provoz hackerů
- Vytvrzování systému
Nevýhody:
- Žádná verze na místě
Mezi funkce patří DDoS ochrana a virtuální záplatování . Posiluje chráněný systém a zabraňuje ztrátě dat, čímž napomáhá souladu s GDPR, HIPAA, CCPA, PCI-DSS a SOC2.
8. MS Azure Web Application Firewall
Microsoft Azure je známý hypervizorový systém, který je jednou z nejúspěšnějších dostupných cloudových platforem. Stejně jako AWS, i divize Azure společnosti Microsoft nenabízí pouze platformový systém pro cloudové služby, ale také produkuje řadu softwaru, který poskytuje nástroje pro další systémy. Web Application Firewall je jedním z těchto produktů.
Klíčové vlastnosti:
- Silná značka
- Filtrování provozu
- Ochrana dat
Stejně jako u každého WAF, tato služba vystupuje jako zmocněnec . Veškerý váš příchozí provoz nejprve prochází serverem Azure, ten je zkontrolován a podezřelý provoz se zablokuje a veškerý další provoz se předá vašemu webovému serveru. Tento model okrajových služeb také dělá z Azure WAF vynikající zařízení pro ochranu DDoS a vyrovnávání zátěže. Veškerý odchozí provoz z vašeho webového serveru je také směrován přes WAF, který prověřuje provoz události ztráty dat . Jedná se tedy o kompletní obousměrnou službu zabezpečení webového provozu.
Systém automaticky sleduje deset hlavních zranitelností zaznamenaných serverem Otevřete projekt zabezpečení webových aplikací (OWASP). Má v sobě zabudovaná standardní pravidla, ale správce serveru je může upravit a přidat také vlastní pravidla.
To, čím se Azure od ostatních okrajových služeb v tomto seznamu liší, je to, že není zpoplatněno předplatným. Místo toho má měřená sazba nabíjení . Tato skutečnost a absence poplatků za nastavení z něj činí vynikající službu pro začínající podniky a malé podniky, stejně jako pro největší korporace na světě.
Klady:
- Nabízí ochranu před ztrátou dat prostřednictvím reverzního firewallu
- Blokuje DDoS útoky
- Skenování zranitelnosti
Nevýhody:
- Zpětné účtování může poskytnout velké faktury
Cenový tarif Azure WAF se vypočítává na základě kombinace hodinovou sazbu a rychlost datové propustnosti a účtuje se měsíčně zpětně. To je mnohem nižší počáteční cena než u jiných cloudových předplatných WAF, které očekávají, že poplatek za předplatné bude zaplacen předem. Co je ještě lepší, je to prvních 10 TB dat měsíčně je zdarma pro všechny kromě nejnižších úrovní provozu a podniky s velkým provozem získávají až 40 TB propustnosti měsíčně zdarma. Azure Web Application Firewall lze prozkoumat jako součást a 12měsíční bezplatná zkušební verze Azure .
9. F5 Essential App Protect
F5 je dlouholetým poskytovatelem služeb kybernetické bezpečnosti a vlastní Společnost NGINX, Inc , výrobce široce používaného systému webových serverů Nginx. Odbornost F5 a NGINX přispěla ke společné výrobě F5 Essential App Protect cloudový webový aplikační server.
Klíčové vlastnosti:
- Propojeno s NGINX
- Snadné nastavení
- Možnosti nasazení
Technologie F5 Essential App Protect pochází z adaptace F5 Správce zabezpečení aplikací – již existující soubor WAF, který byl dodán na síťovém zařízení. Verze zařízení firewallu stále existuje a nyní se nazývá BIG-IP Advanced WAF . Verze NGINX je doplňkem pro Nginx Plus systém webového serveru, a tak je dodáván jako software ke stažení.
F5 Essential App Protect byl navržen s ohledem na netechnické uživatele, takže tomu tak je snadné nastavení a spravovat prostřednictvím řídicího panelu, který je přístupný z libovolného prohlížeče.
Klady:
- Možnosti nasazení na místě na zařízení
- Může být poskytnut jako zásuvný modul pro webový server NGINX
- Inteligence hrozeb
Nevýhody:
- Služba prochází rekonstrukcí
Mezi funkce Essential App Protect WAF patří informační kanál o hrozbách od F5 Labs a plná ochrana pro API, stránky a webové služby. F5 nabízí 15denní bezplatná zkušební verze z Essential App Protect, která má limity objemu zpracování.
10. Cloudflare WAF
mračna se stala velmi úspěšnou v ochraně webových hostitelů před DDoS útoky a rozšiřují svou ochranu o firewall webových aplikací. Jedná se o online službu, která je velmi hojně využívaná. Jejich servery spravují každou sekundu 2,9 milionu požadavků jménem jejich velké zákaznické základny.
Klíčové vlastnosti:
- Volná varianta
- Síť pro doručování obsahu
- Ochrana proti selhání
Výhodou předplatného široce používaného cloudového WAF, jako je Cloudflare, je to, že společnost může při svém výzkumu hrozeb uplatnit úspory z rozsahu. Pokus o útok na jednoho zákazníka se okamžitě přenese na černou listinu pro všechny webové servery chráněné Cloudflare . Pokud máte ve svém podniku centrální server založený na cloudu nebo jako systém pro doručování obsahu zahrnutý ve vaší webové prezentaci, Cloudflare to může pokrýt také. Integrace plné ochrany Cloudflare DDoS vedle vašeho předplatného WAF je velmi jednoduchý úkol.
Klady:
- Velmi velká skupina zákazníků se sdíleným zpravodajstvím o hrozbách
- DDoS ochrana
- Zrychlení dodávky
Nevýhody:
- Matoucí seznam možností
11. Smart Kona Site Defender
Akamai je světovým lídrem v oblasti zmírňování DDoS a integruje plnou DDoS ochranu se svým firewallem webových aplikací v cloudové službě nazvané Site Defender. Velkou výhodou spojení obou těchto služeb do jednoho bezpečnostního produktu je to, že vy nebudete muset svůj provoz směrovat přes dvě různé společnosti aby se na váš webový server dostávaly skutečné požadavky.
Klíčové vlastnosti:
- DDoS ochrana
- Inteligence hrozeb
- Kombinované služby
Jako jeden z lídrů v oblasti online bezpečnostních produktů je Akamai často první, kdo objeví nové exploity. Jako zákazník Site Defender můžete okamžitě těžit z těchto „předběžných“ informací s přísnějšími a chytřejšími bloky hackerského provozu.
Klady:
- Kombinuje filtrování malwaru s ochranou DDoS
- Analýza útoku
- Hostovaný systém
Nevýhody:
- Žádná možnost vlastního hostování
Před jakými útoky WAF chrání?
Firewall webových aplikací neboli WAF potřebuje chránit váš webový server a jeho obsah před následujícími kategoriemi útoků:
- Cross-Site Scripting (XSS) – škodlivý kód HTML vložený do vstupního pole webové stránky hackerem
- Skryté pole manipulace – hackeři přepíší zdrojový kód webové stránky, aby změnili hodnoty uložené ve skrytých polích, a poté upravený kód odešlou zpět na server
- Otrava sušenkami – změna hodnot parametrů uložených v souborech cookie za účelem poškození dat předávaných mezi webovými stránkami
- Seškrabování webu – automatizovaná extrakce dat z webových stránek
- Útoky DoS na 7. vrstvě – zahlcení webového serveru rekurzivní aktivitou aplikací
- Manipulace s parametry – změna hodnot v parametrech pro volání webové stránky
- Přetečení zásobníku – uživatelský vstup, který přepíše kód v paměti
- Zadní dveře nebo Možnosti ladění – zprávy o zpětné vazbě vývojářů pro testování webových stránek, které mohou hackeři použít pro přístup k procesoru
- Stealth velení – útok na operační systém webového serveru
- Nucené procházení – hacker získá přístup k záložním nebo dočasným složkám na webovém serveru
- Chybné konfigurace třetích stran – manipulace s obsahovými přílohami poskytovanými jinými společnostmi
- místo zranitelnosti / SQL injekce – dotazy zadané do polí ověřování uživatele
Ačkoli WAF funguje jako frontend pro webovou stránku, řada základních funkcí řízení přístupu, které váš webový hostitel potřebuje, tato technologie neposkytuje. WAF se zaměřují na kód HTTP a procedury požadavků pro další internetové aplikace, jako je FTP. V těchto případech budou zabezpečené verze těchto aplikačních protokolů, HTTPS a SFTP jsou také zahrnuty .
Zde je návod, jak WAF fungují
WAF vyhledávají nesrovnalosti obsažené v příchozích požadavcích a blokují chybně tvarované nebo nevyzpytatelné konstrukce. WAF nezodpovídá za vyvažování zátěže mezi clusterem serverů. Ačkoli některé typy DDoS útoků používají HTTP, většina používá metody nižší úrovně. WAF vás tedy ochrání před útoky DDoS na aplikační úrovni/vrstvě 7 HTTP a FTP, ale ne před těmi, které provádějí jiné strategie.
Konfigurace WAF
WAF musí být součástí vaší strategie ochrany webhostingu. Může být implementován jako hardwarové řešení nebo jako software.
Zastánci softwarových WAF argumentují, že již máte k dispozici dostatečný hardware, stačí rozšířit možnosti vašeho stávajícího zařízení, abyste získali firewall webových aplikací. Ideální umístění pro WAF je však před vašimi servery a většina softwarových řešení se instaluje přímo na webový server.
Umístění WAF
Nejlepší místo pro umístění WAF je na routeru, který funguje jako brána mezi vaší sítí (a tím i serverem) a internetem. Tato strategie znamená, že nejlepší možností by byl router, který má integrovaný WAF. Jednalo by se o samostatné zařízení, které by zabránilo škodlivému provozu nebo hackerskému průzkumu, který by se dostal na váš drahocenný server.
Software vs hardware WAF úvahy
Které byste si tedy měli vybrat, abyste měli pod kontrolou náklady? Softwarové WAF jsou levnější než hardwarová řešení. Nemyslete si však, že instalace softwaru WAF na vaše servery nevyžaduje žádné hardwarové náklady. Pravděpodobně jste plánovali kapacitu hardwaru vašeho serveru, takže přidání další funkce zabere místo na disku, spotřebuje paměť a zaváže procesory CPU. Možná budete muset rozšířit kapacitu svého serveru, abyste mohli hostovat WAF, takže jsou s tím spojeny náklady na hardware.
V úvahu připadají také sady dovedností na místě. Je pravděpodobné, že všichni vaši zaměstnanci správy systému jsou obeznámeni s operačním systémem vašeho serveru, ale byli by nešikovní ohledně firmwaru nového zařízení. Uživatelé hardwarových WAF mají tendenci s nimi zacházet jako s černými skříňkami a zasahovat do jejich operací mnohem méně než se softwarovými WAF – což by mohlo být dobré.
Hardwarové i softwarové WAFS jsou dodávány s opravami a podporou aktualizací. Aktualizace verzí softwaru však obvykle vyžaduje váš souhlas a správu pro každou instalaci, zatímco hardwarové soubory WAF mají tendenci být aktualizovány přímo poskytovatelem, takže nebudete mít časově náročné problémy se správou oprav.
Obecně řečeno, hardwarové i softwarové WAF provádějí stejné úkoly. Hardwarové WAF udržují extra zatížení vašich serverů a mohou pokračovat v práci, i když chcete jeden ze svých serverů vyřadit. Hardwarový WAF je spolehlivější a může být ponechán sám, aby dělal svou práci. Přestože hardwarové WAF jsou pravděpodobně lepší možnosti než softwarové WAF, správci mají tendenci preferovat dostupnost a přizpůsobitelnost softwarových WAF.
Funkce brány firewall webových aplikací
Nejen, že byste měli skenovat veškerou aktivitu uživatele, když je webová stránka aktivní, ale musíte zkontrolovat kód svých webových stránek, včetně standardních zásuvných modulů poskytovaných externími společnostmi. Chyby kódování a oversites oversites jsou známé jako zero-day zranitelnosti. Jsou to nestandardní cesty, které by mohly umožnit hackerovi přístup k vašemu webovému serveru. Pokud hackeři objeví tyto bezpečnostní chyby dříve, než vy nebo poskytovatel vloženého kódu uvidíte problém, budete vystaveni zero-day útoku, který nemusí být pokryt vaším WAF.
Hodnota WAF spočívá v pravidlech, která platí pro reakce uživatelů. Tato nastavení pravidel provádějí ověřovací procedury, které chrání váš webový server před škodlivými aktivitami tím, že určují aktivity, které je třeba zjistit, a diktují akce, které mají být provedeny, když je odhaleno zneužití. Pravidla budou napsána tak, aby specificky blokovala známé útočné strategie. Další, flexibilnější pravidla v rutinách WAF jsou však užitečná pro identifikaci hrozeb zero-day.
Viz také: Nejlepší bezplatné skenery portů
Příbuzný: Nejlepší bezpečnostní nástroje pro detekci narušení
WAF vs NextGen Firewalls vs Intrusion Prevention Systems (IPS)
Hackeři jsou stále sofistikovanější a naštěstí také systémy kybernetické obrany. Můžete však být zmateni různými kategoriemi ochrany sítě, které jsou nyní k dispozici.
Rozdíl mezi an systém prevence narušení (IPS) a jakýkoli typ firewallu je velmi snadné rozpoznat. Firewall chrání hranice systému, zatímco IPS monitoruje provoz v síti. IPS je pokročilá forma Systém detekce narušení (IDS) . Zatímco IDS zaznamená podezřelou aktivitu, IPS obsahuje procedury pro jeho vypnutí.
Firewally nové generace obvykle zahrnují mnoho technik používaných IPS. To znamená, že zaznamenávají veškerou aktivitu, spíše než jen zkoumají každý paket při průchodu bránou. NGFW však stojí na bráně mezi sítí a vnějším světem, zatímco IPS se zaměřují na provoz v rámci sítě. WAF konkrétně zkoumá webový provoz přenášený prostřednictvím protokolů HTTPS a SSL. Stručně řečeno, NGFW se dívá na provoz vstupující do sítě, zatímco WAF hlídá webový server.
Hardwarové vs cloudové WAF: Klady a zápory
Výběr vlastního zařízení nebo řešení cloudové infrastruktury může často záviset na vašich vlastních preferencích pro každou konfiguraci. Některým lidem je například nepříjemné outsourcovat prvky své sítě a bezpečnostní funkce webhostingu jsou obzvláště citlivá témata.
Cloudové WAF Zápory
WAF stojí před všemi vašimi ostatními zařízeními, a proto musí být cílem vaší adresy URL. To znamená, že již nemáte přímou kontrolu nad svým provozem, protože všechny záznamy DNS nasměrují návštěvníky webu nejprve do cloudové infrastruktury.
Tam, kde cloudové WAF nabízejí společnosti, které zahrnují další front-endové bezpečnostní služby, dává jejich spojení do jednoho balíčku smysl. Například, pokud váš vybraný poskytovatel WAF nemá službu ochrany DDoS, budete muset svůj provoz přesměrovat do druhé cloudové služby, abyste byli plně chráněni před všemi hrozbami . Vyjmutí cloudové služby WAF vás může uzamknout v jedné online bezpečnostní společnosti pro veškerou vaši online ochranu a omezit vaše možnosti.
WAF zkoumají obsah paketů, takže musí nejprve odstranit veškerou šifrovací ochranu, než budou moci vykonávat svůj hlavní úkol. To znamená, že musíte předat svůj certifikát SSL poskytovateli cloudového WAF, čímž se účinně vzdáte všech funkcí zabezpečení dat, které chrání vašeho webového hostitele, váš obsah a bezpečnost vašich zákazníků.
Musíte hodně důvěřovat svému poskytovateli cloudových WAF, abyste byli připraveni nechat tuto třetí stranu stát mezi vámi a vašimi zákazníky.
Cloudové WAF Pros
Na druhou stranu pověst a odbornost předních poskytovatelů cloudových WAF znamená, že se nemusíte bát, že vás zklamou. Společnosti na našem seznamu se specializují na síťové a bezpečnostní služby. Jejich nashromážděné odborné znalosti jsou mnohem větší, než byste mohli získat pro svou vlastní společnost. Pokud se pokusíte pokrýt všechny komplikované úkoly, které tyto problémy zahrnují, pravděpodobně existuje větší riziko pro dostupnost a zabezpečení vašeho webu.
Cloudová řešení lze platit měsíčně , čímž se rozloží náklady na zabezpečení vaší webové aplikace. V některých případech vám budou účtovány poplatky pouze za propustnost webu, takže platbu za ochranu můžete odložit až do konce měsíce, kdy bude úroveň služby vypočtena a fakturována.
Pokud již outsourcujete části svého provozu, s cloudovým způsobem provozu jste se již smířili, a tak by nebylo příliš obtížné outsourcovat i váš WAF. Možná budete muset přejít od stávajících poskytovatelů, pokud kombinace jiných služeb, jako je DDoS ochrana a vyrovnávání zátěže, s vaším novým WAF dává lepší logistický a ekonomický smysl.
Hardwarové WAF Zápory
Při zvažování nákladů na hardwarový WAF musíte přidat náklady na jeho instalaci, umístění, ochranu a údržbu. Online WAF se aktualizují automaticky, takže jsou vždy aktuální a připravené čelit nejnovější vznikající hrozbě. Získání této úrovně připravenosti na vlastním zařízení WAF může být drahé.
Většina výrobců hardwaru WAF nabízí službu aktualizace. Opravy nových hrozeb jsou automaticky odesílány do vašeho zařízení WAF přes internet a zařízení obnoví svůj firmware bez vašeho zásahu . V případě některých nových hrozeb může být nutné aktualizovat další zařízení a software ve vaší síti a služba podpory vašeho poskytovatele WAF vám je poskytne také.
Tento proces se nazývá „virtuální záplatování“ a jedná se o WAF verzi klasických aktualizací databáze firewallu. Přestože však všichni dodavatelé hardwaru v našem seznamu poskytují virtuální opravy, ne všichni tuto službu zahrnují zdarma. Tam, kde je aktualizační služba zahrnuta, je obvykle zdarma pouze první rok. Poté si musíte připlatit za podporu vašeho interního WAF.
Počáteční náklady na nákup hardwarového WAF mohou být nepohodlné, když se snažíte zprovoznit vaši novou webovou společnost. Pokud se tohoto aplikačního bezpečnostního řešení zpočátku zřeknete, můžete se nechat ukolébat vírou, že je to zbytečný doplněk, i když se dostanete do bodu, kdy máte hotovost nazbyt. . Toto je nebezpečný scénář, protože si uvědomíte, že potřebujete ochranu WAF, až když vás zasáhne útok. Do té doby budou vaše webové stránky zablokovány vyhledávači kvůli obsahu škodlivého kódu a budete vyřazeni z provozu.
Hardwarové WAFy Pros
Pokud provozujete svůj vlastní webový server, pravděpodobně již víte hodně o sítích a internetových systémech. Možná budete potřebovat nástroj pro vyrovnávání zatížení, jakmile nasadíte další servery, abyste se vypořádali s poptávkou. Pokud je tomu tak, můžete si koupit kombinovanou webovou mezipaměť, nástroj pro vyrovnávání zatížení a WAF dohromady a všechny vaše požadavky na front-end vyřídit jedno zařízení.
Mít vlastní WAF znamená, že svou webovou adresu nemusíte předávat třetí straně. Pokud v určitém okamžiku potřebujete rozsáhlou ochranu DDoS, vaše adresa URL bude muset přejít k poskytovateli zmírnění DDoS. V tomto případě však nebudete muset omezovat svůj výběr ochrany DDoS na ochranu poskytovanou vaší cloudovou společností WAF. Nebudete se zavazovat směrovat svou adresu URL tak, aby poskytovala vaše WAF.
Výběr řešení firewallu webové aplikace
Ať už dáváte přednost vlastnímu WAF ve vaší síti, nebo si myslíte, že by bylo lepší zvolit cloudové řešení WAF, tato recenze vám dala pět možností, které je třeba zvážit. Výběr nového vybavení, softwaru a služeb pro vaši společnost může být časově velmi náročný. V tomto průvodci jsme se o tuto první fázi postarali za vás.
Vaším dalším úkolem je zúžit možnosti. Přidané doplňky, které každý z těchto prodejců WAF nabízí, vás nasměrují k této volbě. Kapacita každé služby je také důležitým faktorem a měli byste zohlednit škálovatelnost, aby byly zohledněny vaše budoucí plány rozšíření.
Rozhodněte se, zda si vyberete vyhrazený hardware nebo cloudový WAF, a poté se podívejte na každý z pěti uvedených v této kategorii. Přehlížet ochranu, kterou vaší organizaci nabízí specializovaný firewall webových aplikací, by byla chyba. Nečekejte, až bude příliš pozdě a váš web již byl napaden. Pořiďte si nyní WAF, abyste udrželi své webové stránky online.
Časté dotazy ohledně brány firewall webových aplikací
Jaký je rozdíl mezi běžným firewallem a WAF?
Síťové a koncové firewally fungují na nižší úrovni zásobníku než firewally webových aplikací. Jak název napovídá, WAF zkoumají atributy na aplikační vrstvě (vrstva 7), zatímco typické firewally pracují na síťové vrstvě (vrstva 3). Každý se tedy dívá na různé charakteristiky příchozího provozu. Dalším hlavním rozdílem mezi těmito dvěma službami je, že typický firewall se integruje do architektury síťové brány (nebo rozhraní počítačové sítě), ale WAF mají konfiguraci reverzního proxy.
Jaká jsou pravidla WAF?
Pravidla WAF jsou seznamem věcí, na které si firewall musí dávat pozor. Jsou to specifické vlastnosti webového provozu a konkrétní místa, kde je v datovém toku hledat. Pravidla se také nazývají „zásady“. Zahrnují akci při detekci pokusu o útok, která obvykle zahrnuje pouze nepřenesení tohoto provozu na chráněný server.
Jaké jsou 3 typy firewallů?
Existují tři typy firewallůpaketové filtry,stavová kontrola paketů, afirewally proxy serverů.
- Paketové filtry sledují technické vlastnosti všech paketů putujících do a ze sítě a vyřazují ty, které neodpovídají danému vzoru nebo odpovídají seznamu charakteristik na černé listině.
- Stavová inspekce paketů (SPI), také známá jako dynamické filtrování paketů, také funguje na síťové vrstvě, ale zaznamenává charakteristiky jednotlivých paketů, takže dokáže odhalit útoky, které jsou rozděleny do několika paketů.
- WAF je firewall proxy serveru, protože veškerý provoz je směrován přes WAF na jeho cestě k serveru. Funguje na aplikační vrstvě a nahrazuje IP adresu chráněného serveru svou vlastní.