Ръководство за купувача за WAF – 11 най-добри защитни стени за уеб приложения за 2022 г
Ако имате онлайн предприятие, трябва да пазите уеб страницата си от унищожаване от хакери. Ако вашият сайт бъде заразен от хакерски кодове, търсачките няма да направят връзка към него. Защитете бизнеса си със защитна стена за уеб приложения.
А Защитна стена за уеб приложения ( WAF ) решение предлага защита за уеб сървъри. Вашият WAF ще наблюдава трафика между интернет и вашето уеб приложение, след което ще филтрира или блокира трафика въз основа на набор от правила/политики.
Защитните стени на уеб приложенията предпазват от атаки, включително SQL инжектиране, междусайтови скриптове (XSS) и отравяне на бисквитки, и са основен компонент на вашата отбранителна стратегия.
Ето нашия списък с най-добрите защитни стени за уеб приложения:
- AppTrana управлявана защитна стена за уеб приложения ИЗБОР НА РЕДАКТОРА Напълно управлявана защитна стена за уеб приложения, предоставена от Indusface с пакетен скенер за приложения, CDN и управлявани персонализирани правила за сигурност с Zero WAF False-positive уверение, подкрепено със SLA и 24×7 поддръжка.
- Защитна стена за уеб приложения StackPath (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ) Облачно базирана защитна стена, която е част от „крайно“ решение.
- Защитна стена на уебсайтове (НАУЧЕТЕ ПОВЕЧЕ) Част от пакет от външни услуги за сигурност на приложения, който включва и DDoS защита.
- Fortinet FortiWeb Пакет от крайни услуги, който предлага защитна стена за уеб приложение, SSL разтоварващо устройство и балансиращо натоварване в облачна услуга, устройство или виртуална машина.
- Imperva Cloud WAF Защитна стена за уеб приложения, базирана на облак, с еквивалентно устройство на място, наречено Imperva WAF Gateway.
- Защитна стена за уеб приложения Barracuda Предлага се като SaaS система, частен облак, устройство или виртуална машина, този WAF включва също сканиране за уязвимости и предотвратяване на загуба на данни.
- Prophaze Защитна стена за уеб приложения Персонализируем, всичко-в-едно Multi/Hybrid/Private/SaaS/Kubernetes базиран WAF със защита от ботове, RASP, DDoS, CDN решение. Бързо включване, неограничени SSL сертификати и поддръжка 24/7.
- Защитна стена за уеб приложения на MS Azure WAF, базиран на облак, който може да защити уеб сървъри навсякъде. Това е услуга с измерване.
- F5 Essential App Protect Базиран на облак WAF, който е насочен към нетехнически клиенти, така че е лесен за настройка и управление.
- Cloudflare WAF Облачно базирано решение, което може да се комбинира с DDoS защита.
- Akamai Kona Site Defender Комбинира външна WAF и DDoS защита.
Най-добрите защитни стени за уеб приложения
Много доставчици на защитни стени за уеб приложения се опитват да завладеят възможно най-голяма част от пазара, като предлагат своите WAF системи във възможно най-много конфигурации колкото е възможно. Така че в много случаи същият WAF може да бъде предоставен като софтуерен пакет, който работи на виртуална машина, като мрежово устройство или като базирана на облак SaaS система. Възможно е също така да получите базиран на облак WAF като напълно управлявана услуга.
Нашата методология за избор на защитна стена за уеб приложение
Прегледахме пазара за WAF и анализирахме опциите въз основа на следните критерии:
- Облачна система
- Интегрирана DDoS защита
- Прикриване на истинския IP адрес на бизнеса
- Сигурен канал за пренасочване на трафик
- Бърза обработка на данни, която не забавя редовния трафик
- Безплатен пробен период или демо опция, която позволява оценка без плащане
- Съотношение цена-качество от многофункционална защитна система на разумна цена
Използвайки този набор от критерии, ние потърсихме крайни платформи, които предоставят функции на защитна стена на уеб приложения наред с други услуги и предлагат цени за абонамент без разходи за настройка.
1. AppTrana управлявана защитна стена за уеб приложения (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)
AppTrana от Indusface предоставя напълно управлявана защитна стена за уеб приложения, свързана с ускоряване на съдържанието и CDN в облака. Всичко, което трябва да направите, е да насочите трафика си чрез услугата AppTrana, хоствана в множество региони в центрове за данни на AWS от Indusface.
Основни функции:
- Управлявана услуга
- Мрежа за доставка на съдържание
- Ускоряване на доставката
- Защита при срив
- Оценки на сигурността
AppTrana идва веднага с оптимизирани основни управлявани набори от правила, които могат незабавно да бъдат поставени в блокиран режим въз основа на оптимизирания основен набор от правила, разработен от Induface чрез извършване на оценки на сигурността на хиляди други уебсайтове. След като се включат, клиентите могат да направят автоматизирана оценка на сигурността при поискване на уебсайта и да получат незабавна видимост дали вече са защитени от WAF или изискват персонализирани правила за сигурност.
Тези, които изискват персонализирани правила, могат да бъдат поискани от централизирания портал и екипът на 24×7 MSS от Indusface ще създаде персонализирано правило с Zero WAF фалшиво положително уверение и ще ги защити. Ефективността на уебсайта е подобрена чрез пакет CDN, включен в услугата.
Професионалисти:
- Без разходи за настаняване
- Техници и анализатори по сигурността, включени в пакета
- Разпределена система за доставка
- DDoS защита
- Хоствано на AWS
Минуси:
- Вие предоставяте контрола върху вашето уеб присъствие на външен бизнес
Планът AppTrana се предлага като абонаментна услуга заедно с 14-дневен безплатен пробен период . Регистрациите за безплатен пробен период се записват автоматично в безплатен завинаги основен план, който включва автоматизирано сканиране за сигурност два пъти месечно за вашия уебсайт.
ИЗБОР НА РЕДАКТОРИТЕ
AppTrana управлявана защитна стена за уеб приложения е нашият най-добър избор в този обзор. Тя включва услугите на екип от експерти, които се отличават в областта на мрежовата защита. Услугата включва много други услуги за сигурност в допълнение към обичайните функции на защитната стена на уеб приложенията. Техническият екип на Induface, който работи по тази услуга, филтрира бърборенето на отчитането на устройства за сигурност, като поема голямо натоварване от техническите мениджъри на компаниите клиенти.
Местоположението на тази услуга в облака също премахва необходимостта да купувате и управлявате специализиран хардуер на място, за да защитите мрежата си. Indusface е кръстен наИзборът на клиентите на Gartner Peer Insightвъв всичките седем раздела наГласът на клиента WAAP 2022отчет.
Стартирайте 14-дневен безплатен пробен период:industry.com/products/application-security/web-application-firewall/
ВИЕ:Базиран на облак
2. Защитна стена за уеб приложения на StackPath (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)
The Защитна стена за уеб приложения е една от пакета базирани на облак услуги, предлагани от StackPath която е специализирана в „крайни технологии“. Този термин се отнася до техниката за изтласкване на свързани услуги до границата на вашата мрежа, а след това и малко отвъд. StackPath е базирана на абонамент облачна услуга, която улавя целия ви трафик, преди да достигне вашия уеб сървър .
Извънсайтовата конфигурация на StackPath осигурява допълнителна защита за вашия уеб сървър, както всеки друг зловреден код дори не получава шанс да докосне вашите ресурси .
Основни функции:
- Защита от вирус
- Прокси услуга
- DDoS защита
- Оценка на IP адрес
Уеб трафикът, насочен към вашия уебсайт, се отклонява, за да пристигне първо на сървъра на StackPath. Трите основни защити, предлагани от тази услуга, са: Оценка на IP адрес , проверка на браузъра , и използване на базирани на съдържание правила за маршрутизиране . Тази методология се фокусира върху вероятността от входящи заявки, идващи от съмнителни източници. Филтрирането на източника също спира всички опити за DDoS атака.
Само валидираният трафик се препраща към вашия уеб сървър. Цялата тази обработка се извършва толкова бързо, че обикновените потребители не изпитват никакво увреждане на скоростта на връзката.
Професионалисти:
- Предлага набор от оценки за входящи заявки
- Браузър пръстови отпечатъци и валидиране
- Незадължително маршрутизиране за обслужване на заявки
- Бързи оценки
Минуси:
- Трябва да имате технически умения, за да извлечете най-доброто от тази услуга
StackPath предлага Защитна стена за уеб приложения безплатно за първия месец на услугата.
Защитна стена за уеб приложения StackPath Първи месец безплатно
3. Защитна стена на уебсайта на Juices (НАУЧЕТЕ ПОВЕЧЕ)
The Защитна стена за уеб приложения Sucuri е част от пакет от мерки за защита на уебсайта. Облачно базираната система за защита Sucuri е онлайн услуга. Адресът на вашия уебсайт се хоства на сървъра на Sucuri, също така целият ви уеб трафик отива първо там.
Основни функции:
- Прокси услуга
- DDoS защита
- Бързо сканиране
Услугата Sucuri филтрира злонамерен трафик чрез набор от техники. Компанията поддържа база данни със сигнатури за атаки, която се актуализира постоянно, т.н вашият уебсайт се възползва от стратегиите за защита, научени от Sucuri, когато защитава други сайтове .
Пакетът услуги включва оптимизиране на производителността и DDoS защита. Сървърът Sucuri блокира злонамерен трафик и препраща всички добросъвестни заявки към вашия уеб сървър. Този процес се случва толкова бързо, че посетителите няма да забележат никакво забавяне в доставката на вашите уеб страници.
Ефективността на доставката се подобрява чрез кеширане, което означава дори ако вашият сайт не работи за поддръжка, посетителите все още ще имат достъп до вашите уеб страници .
Професионалисти:
- Интервенция на трафика на уебсайта
- Ускоряване на доставката
- Разузнаване на заплахите
Минуси:
- Трябва сами да настроите връзката
Защитната стена за уеб приложения Sucuri се предлага като абонаментна услуга и цените започват от $9,99/месец за техния основен пакет. Вижте подробности за плана на техния уебсайт.
Sucuri Web Application Firewall Вижте подробности за плана
4. Fortinet FortiWeb
The FortiWeb WAF от Fortinet се предлага като SaaS система, като VM базиран софтуерен пакет или като устройство. Софтуерът за WAF също е достъпен за частен облачен хостинг и може да бъде внедрен като система, базирана на контейнери.
Основни функции:
- Уважавана марка
- DDoS защита
- Разузнаване на заплахите
Системата FortiWeb работи услуга за защита от DDoS когато се осъществява достъп като облачна услуга или като устройство. Защитната стена на уеб приложението проверява целия трафик, пътуващ към мрежата, и внедрява базирано на AI машинно обучение, за да открие подозрителна дейност. FortiWeb също използва емисия за разузнаване на заплахи да бъде в крак с най-новите стратегии за хакерски атаки и търси модели на поведение, които се отклоняват от изчислената норма и изглежда водят към типична атака.
WAF може да се комбинира с SSL разтоварващо устройство и балансьор на натоварването .
Професионалисти:
- Вземете го като виртуално устройство, физическо устройство или SaaS пакет
- Самоуправляващ се
- Опции за интегриране на други системи за сигурност на Fortinet
Минуси:
- Работи най-добре с пълен набор от системи Fortinet
Облачната услуга се таксува чрез абонамент и нейното табло за управление може да бъде достъпно през всеки стандартен браузър от всяко място. Версията за мрежово устройство се предлага в осем модела, които варират по капацитет от 25 Mbps до 20 Gbps.
5. Imperva Cloud WAF
Имперва е основен играч в индустрията за киберсигурност и неговите WAF услуги са всеобхватни. Онлайн версията на защитната стена на уеб приложението на Imperva действа като прокси сървър , като улавя целия входящ трафик и го почиства, преди да го предаде на защитения уеб сървър.
Основни функции:
- Прокси услуга
- Непрекъснатост на наличността на сайта
- Пач за сигурност
Услугата Imperva Cloud WAF е партньор на други услуги за подобряване на мрежата, като напр мрежа за доставка на съдържание (CDN) , което ускорява доставката на уеб страници и също така осигурява постоянна наличност, ако главният сървър спре за поддръжка или бъде повреден по някакъв начин. WAF включва a виртуално корекции услуга, която прилага всички корекции, необходими на защитената система и осигурява достъпност на сайта, докато уеб сървърът е отхвърлен.
Професионалисти:
- Услуга за укрепване на системата за уеб сървъри
- Защита от атаки от злонамерен трафик
- Ускоряване на доставката
Минуси:
- Версията на място изисква закупуване на уред
Имперва предлага опция за управлявана услуга за неговия Cloud WAF, който включва специалисти и техници, които да управляват софтуера за сигурност. Версия на място на услугата за сигурност Imperva е налична на набор от мрежови устройства, наречени Imperva WAF Gateway.
6. Защитна стена за уеб приложения Barracuda
The Защитна стена за уеб приложения Barracuda се предлага като SaaS система, устройство, като виртуално устройство или за инсталиране в частен облачен акаунт. Тази гъвкавост на внедряване означава, че WAF може да бъде подходящ за фирми от всякакъв размер.
Основни функции:
- Опции за внедряване
- Блокира зловреден софтуер и заразени страници
- Защита на трафика
WAF канализира целия трафик за уеб сървър – както входящи, така и изходящи . Той е в състояние да забележи и блокира атаки, базирани на трафика, злонамерен софтуер и опити за атаки на страницата. Услугата използва както черни списъци, за блокиране на хакери, така и бели списъци, за да позволи достъп на валидни потребители само от определени устройства.
Системата за наблюдение на трафика на Barracuda WAF също осигурява предотвратяване на загуба на данни . Това позволява на предприятията да спазват стандартите за защита на данните, като PCI DSS. Входящият трафик се блокира, ако бъдат открити неправилно формирани заявки за връзка, което означава DDoS атака . При тези обстоятелства WAF сървърът абсорбира и отхвърля обемни атаки, позволявайки истински заявки за връзка.
Професионалисти:
- SaaS платформа, физическо устройство или виртуално устройство
- Обратна защитна стена и за защита на данните
- DDoS защита
Минуси:
- Уредите могат да бъдат скъпи
Мрежовите устройства, предлагани от Barracuda, варират по капацитет от 25 Mbps до 10 Gbps.
7. Защитна стена на уеб приложение Prophaze
Prophaze WAF-като-услуга е базиран в облак прокси сървър, който действа като защитна стена на уеб приложение. Услугата Prophaze включва AI рутинни процедури които прецизират правилата за откриване чрез коригиране на базовата линия на стандартното поведение. Тази функция помага да се намали броят на фалшивите аларми и помага да се даде неограничен достъп на истински посетители на сайта.
Основни функции:
- Персонализиран мулти/хибриден/частен/SaaS/базиран на Kubernetes WAF
- Включва защита от ботове + RASP + DDOS + CDN решение с неограничени правила
- Качване на борда само за 15 минути
- Неограничен безплатен SSL сертификат
- 24 x 7 поддръжка на Teams/Zoom/Google със запазване на данни от 30 дни
- Услугата Prophaze се таксува чрез абонамент с три налични плана. Най-високият план, наречен SaaS, има възможности за много клиенти, което го прави подходящ за използване от MSP. Можете да получите a безплатен пробен период на Prophaze WAF-as-a-Service.
Самата система Prophase работи с Контейнери Kubernetes и също така е в състояние да наблюдава производителността и сигурността на дейностите на Kubernetes на вашата собствена система, както и да извършва традиционно откриване на хакерска дейност.
Не е необходимо да сте експерт, за да използвате Prophaze WAF. Компанията насочва своя продукт към малкия бизнес, така че е проектиран с мисъл за нетехнически потребители. Екраните в таблото са достъпни през всеки стандартен браузър и са ясни и добре оформени.
Професионалисти:
- Блокира вируси и инфектирани сайтове
- Отстранява хакерския трафик
- Втвърдяване на системата
Минуси:
- Няма версия на сайта
Характеристиките включват DDoS защита и виртуално корекции . Той укрепва защитената система и предотвратява загубата на данни, подпомагайки съответствието с GDPR, HIPAA, CCPA, PCI-DSS и SOC2.
8. Защитна стена на уеб приложения на MS Azure
Microsoft Azure е добре позната система за хипервизор, която е една от най-успешните налични облачни платформи. Подобно на AWS, подразделението Azure на Microsoft не само предлага платформената система за облачни услуги, но също така произвежда набор от софтуер, който предоставя помощни програми на други системи. Защитната стена за уеб приложения е един от тези продукти.
Основни функции:
- Силна марка
- Филтриране на трафика
- Защита на данни
Както при всеки WAF, тази услуга действа като пълномощник . Целият ви входящ трафик преминава първо през сървъра на Azure, той се проверява и подозрителният трафик се блокира, като целият останал трафик се предава на вашия уеб сървър. Този модел на периферна услуга също така прави Azure WAF отлично средство за DDoS защита и балансиране на натоварването. Целият изходящ трафик от вашия уеб сървър също се насочва през WAF, който проверява трафика за събития за загуба на данни . И така, това е цялостна двупосочна услуга за сигурност на уеб трафика.
Системата автоматично проследява десетте най-големи уязвимости, регистрирани от Отворете проекта за защита на уеб приложения (OWASP). Той има стандартни правила, вградени в него, но вашият администратор на сървъра може да ги коригира и да добави персонализирани правила.
Това, което прави Azure различен от другите периферни услуги в този списък, е, че не се таксува чрез абонамент. Вместо това има измерена скорост на зареждане . Този факт и липсата на такси за настройка правят това отлична услуга за стартиращи и малки фирми, както и за най-големите корпорации в света.
Професионалисти:
- Предлага предотвратяване на загуба на данни чрез обратна защитна стена
- Блокира DDoS атаки
- Сканиране на уязвимости
Минуси:
- Ретроспективното таксуване може да осигури големи фактури
Ценовата тарифа на Azure WAF се изчислява на база комбинация от почасова ставка и скорост на пропускане на данни и се начислява ежемесечно просрочие. Това е много по-ниска предварителна цена от други базирани на облак абонаментни WAF, които очакват абонаментната такса да бъде платена предварително. Още по-добре е това първите 10 TB данни на месец са безплатни за всички, освен за най-ниските нива на трафик, а фирмите с много трафик получават до 40 TB пропускателна способност на месец безплатно. Защитната стена на уеб приложения Azure може да бъде разгледана като част от a 12-месечен безплатен пробен период на Azure .
9. F5 Essential App Protect
F5 е дългогодишен доставчик на услуги за киберсигурност и притежава NGINX, Inc , производител на широко използваната уеб сървърна система Nginx. Експертният опит на F5 и NGINX допринесе за съвместното производство на F5 Essential App Protect облачно базиран сървър за уеб приложения.
Основни функции:
- Свързан с NGINX
- Лесен за настройка
- Опции за внедряване
Технологията зад F5 Essential App Protect идва от адаптация на F5 Мениджър за сигурност на приложения – съществуващ WAF, който е доставен на мрежово устройство. Версията на устройството за защитна стена все още съществува и сега се нарича BIG-IP Advanced WAF . Версията NGINX е добавка за Nginx Plus система за уеб сървър и се доставя като софтуер за изтегляне.
F5 Essential App Protect е проектиран с мисъл за нетехнически потребители, така е лесен за настройка и управлявайте чрез табло за управление, което е достъпно през всеки браузър.
Професионалисти:
- Опции за внедряване на място върху уред
- Може да се предостави като добавка за уеб сървъра NGINX
- Разузнаване на заплахите
Минуси:
- Сервизът е в процес на преустройство
Характеристиките на Essential App Protect WAF включват емисия за разузнаване на заплахи от F5 Labs и пълна защита за API, страници и уеб услуги. F5 предлага 15-дневен безплатен пробен период на Essential App Protect, на който са поставени ограничения за обем на обработка.
10. Cloudflare WAF
Cloudflare стана много успешна в защитата на уеб хостовете от DDoS атаки и те разширяват защитата си със защитна стена на уеб приложения. Това е онлайн услуга, която се използва много широко. Техните сървъри управляват 2,9 милиона заявки всяка секунда от името на тяхната голяма клиентска база.
Основни функции:
- Безплатна опция
- Мрежа за доставка на съдържание
- Защита при срив
Ползата от абонирането за широко използван облачен WAF като Cloudflare е, че компанията може да приложи икономии от мащаба към своите изследвания на заплахи. Опит за атака срещу един клиент мигновено преминава към запис в черен списък за всички уеб сървъри, защитени от Cloudflare . Ако имате базиран на облак сървър централен за вашето предприятие или като система за доставка на съдържание, включена във вашата уеб презентация, тогава Cloudflare може да покрие и това. Интегрирането на пълна Cloudflare DDoS защита заедно с вашия WAF абонамент е много проста задача.
Професионалисти:
- Много голям набор от клиенти със споделена информация за заплахи
- DDoS защита
- Ускоряване на доставката
Минуси:
- Объркващ списък с опции
11. Smart Kona Site Defender
Akamai е световен лидер в смекчаването на DDoS и интегрира пълна DDoS защита със своята защитна стена за уеб приложения в облачна услуга, наречена Site Defender. Голяма полза от комбинирането на двете услуги в един продукт за сигурност е, че вие няма да е необходимо трафикът ви да се насочва през две различни компании за да получите истински заявки, пристигащи на вашия уеб сървър.
Основни функции:
- DDoS защита
- Разузнаване на заплахите
- Комбинирани услуги
Като един от лидерите в продуктите за онлайн сигурност, Akamai често е първият, който открива нови подвизи. Като клиент на Site Defender вие се възползвате незабавно от тази информация „напред в кривата“ с по-строги и по-интелигентни блокове на хакерския трафик.
Професионалисти:
- Комбинира филтриране на зловреден софтуер с DDoS защита
- Анализ на атаката
- Хоствана система
Минуси:
- Няма опция за самостоятелно хостване
От какви атаки защитават WAF?
Защитната стена на уеб приложение или WAF трябва да защити вашия уеб сървър и неговото съдържание от следните категории атаки:
- Скриптове между сайтове (XSS) – злонамерен HTML код, вмъкнат в поле за въвеждане на уеб страница от хакер
- Скрито поле манипулация – хакерите пренаписват изходния код на уеб страница, за да променят стойностите, съхранявани в скрити полета, и след това публикуват променения код обратно на сървъра
- Отравяне с бисквитки – промяна на стойностите на параметрите, съхранявани в бисквитките, за повреда на данните, предавани между уеб страниците
- Уеб скрапинг – автоматизирано извличане на данни от уеб страници
- Слой 7 DoS атаки – претоварване на уеб сървър чрез рекурсивна активност на приложението
- Подправяне на параметри – промяна на стойностите в параметрите на извикване на уеб страница
- Препълване на буфера – потребителско въвеждане, което презаписва кода в паметта
- Задна врата или опции за отстраняване на грешки – отчети за обратна връзка от разработчици за тестване на уеб страници, които могат да се използват от хакери за достъп до процесора
- Стелт командване – атака срещу операционната система на уеб сървър
- Принудително сърфиране – хакерът получава достъп до архивни или временни папки на уеб сървъра
- Неправилни конфигурации на трети страни – манипулиране на вложки на съдържание, предоставени от други компании
- сайт уязвимости / SQL инжекции – заявки, въведени в полетата за удостоверяване на потребителя
Въпреки че WAF работи като преден край на уебсайт, редица основни функции за контрол на достъпа, от които вашият уеб хост се нуждае, не се предоставят от тази технология. WAF се фокусират върху HTTP кода и процедурите за заявка за други интернет приложения, като FTP. В тези случаи защитените версии на тези протоколи за приложения, HTTPS и SFTP също са обхванати .
Ето как работят WAF
WAF търсят нередности, съдържащи се във входящите заявки, и блокират неправилно формирани или измамни конструкции. WAF не носи отговорност за балансиране на натоварването между клъстер от сървъри. Въпреки че някои видове DDoS атаки използват HTTP, повечето използват методи от по-ниско ниво. Така че WAF ще ви предпази от HTTP и FTP DDoS атаки на ниво/слой 7 на приложение, но не и от тези, извършвани от други стратегии.
WAF конфигурации
WAF трябва да бъде част от вашата стратегия за защита на уеб хостинг. Може да се реализира като хардуерно решение или като софтуер.
Поддръжниците на софтуерните WAF твърдят, че вече имате достатъчно наличен хардуер, просто трябва да разширите възможностите на съществуващото си оборудване, за да получите защитна стена за уеб приложения. Идеалното място за WAF обаче е пред вашите сървъри и повечето софтуерни решения се инсталират директно на уеб сървъра.
Поставяне на WAF
Най-доброто място за поставяне на вашия WAF е на рутера, който действа като шлюз между вашата мрежа (и следователно вашия сървър) и интернет. Тази стратегия предполага, че най-добрият вариант би бил рутер, който има интегриран WAF. Това ще бъде самостоятелна част от оборудването и ще предотврати вреден трафик или хакерско проучване, достигащо до вашия ценен сървър.
Софтуер срещу хардуер WAF съображения
И така, кое да изберете, за да контролирате разходите? Софтуерните WAF са по-евтини от хардуерните решения. Въпреки това, не мислете, че няма хардуерни разходи за инсталиране на WAF софтуер на вашите сървъри. Вероятно сте планирали хардуерния капацитет на вашия сървър и така добавянето на допълнителна функция ще заеме дисково пространство, ще използва памет и ще обвърже процесорите на процесора. Може да се наложи да разширите капацитета на вашия сървър, за да хоствате WAF, така че има включени хардуерни разходи.
Комплектите умения на място също са съображение. Вероятно вашият персонал от системната администрация е запознат с операционната система на вашия сървър, но ще бъде непохватен около фърмуера на новото устройство. Потребителите на хардуерни WAF са склонни да ги третират като черни кутии и се намесват в операциите им много по-малко, отколкото със софтуерните WAF - което може да е нещо добро.
Както хардуерът, така и софтуерът WAFS идват с пачове и поддръжка за актуализация. Актуализирането на софтуерните версии обаче обикновено изисква вашето съгласие и управление за всяка инсталация, докато хардуерните WAF обикновено се актуализират директно от доставчика, оставяйки ви без времеемки проблеми с управлението на корекциите.
Най-общо казано, както хардуерните WAF, така и софтуерните WAF изпълняват едни и същи задачи. Хардуерните WAF поддържат допълнителното натоварване на сървърите ви и могат да продължат да работят дори когато искате да спрете някой от сървърите си. Хардуерният WAF е по-надежден и може да бъде оставен сам да си върши работата. Въпреки че хардуерните WAF вероятно са по-добри опции от софтуерните WAF, администраторите са склонни да предпочитат достъпността и възможността за персонализиране на софтуерните WAF.
Функции на защитната стена на уеб приложенията
Не само трябва да сканирате цялата потребителска активност, когато дадена уеб страница е активна, но трябва да проверите кода на вашите уеб страници, включително готовите добавки, предоставени от външни компании. Грешките в кодирането и валидиращите сайтове са известни като уязвимости от нулевия ден. Това са нестандартни пътища, които могат да позволят на хакер да получи достъп до вашия уеб сървър. Ако хакерите открият тези пропуски в сигурността, преди вие или доставчикът на вмъкнатия код да видите проблема, ще бъдете подложени на атака от нулев ден, която може да не бъде покрита от вашия WAF.
Стойността на WAF се крие в правилата, които прилага към отговорите на потребителите. Тези настройки на правилата изпълняват процедури за валидиране, които защитават вашия уеб сървър от злонамерена дейност, като определят дейности за забелязване и диктуват действия, които да се предприемат, когато бъде открит експлойт. Ще бъдат написани правила за конкретно блокиране на добре познати стратегии за атака. Въпреки това, допълнителни, по-гъвкави правила в рутинните процедури на WAF са полезни за идентифициране на заплахи от нулевия ден.
Вижте също: Най-добрите безплатни скенери за портове
Свързани: Най-добрите инструменти за защита при откриване на проникване
WAF срещу NextGen Firewalls срещу системи за предотвратяване на проникване (IPS)
Хакерите стават все по-сложни и, за щастие, системите за киберзащита също. Възможно е обаче да сте объркани относно различните категории мрежова защита, които сега са налични.
Разликата между ан система за предотвратяване на проникване (IPS) и всеки тип защитна стена е много лесен за забелязване. Защитната стена защитава границата на системата, докато IPS следи трафика в мрежата. IPS е усъвършенствана форма на Система за откриване на проникване (IDS) . Докато IDS открива подозрителна дейност, IPS включва процедури за изключване.
Защитни стени от следващо поколение обикновено включват много от техниките, използвани от IPS. Това означава, че те записват цялата дейност, вместо просто да изследват всеки пакет, докато преминава през шлюза. Въпреки това, NGFW се намират на шлюза между мрежата и външния свят, докато IPS се фокусират върху трафика в мрежата. WAF специално изследва уеб трафика, пренесен през HTTPS и SSL протоколите. Накратко, NGFW разглежда трафика, влизащ в мрежата, докато WAF пази уеб сървъра.
Хардуерно базирани срещу базирани на облак WAF: плюсове и минуси
Изборът на вашето собствено оборудване или решение за облачна инфраструктура често може да се сведе до вашите собствени предпочитания за всяка конфигурация. Например, някои хора се чувстват неудобно да изнасят елементи от своята мрежа на външни изпълнители, а функциите за сигурност на уеб хост са особено чувствителни теми.
Облачно базирани WAFs Минуси
WAF стои пред всичките ви други устройства и затова трябва да бъде целта на вашия URL адрес. Това означава, че вече нямате пряк контрол върху трафика си, тъй като всички DNS записи ще насочват посетителите на уебсайта първо към облачната инфраструктура.
Когато облачните WAF се предлагат от компании, които включват други предни услуги за сигурност, комбинирането им в един пакет има смисъл. Например, ако избраният от вас доставчик на WAF няма услуга за защита от DDoS, ще трябва да препратите трафика си към втора облачна услуга, за да бъдете напълно покрити от всички заплахи . Вземането на облачна услуга WAF може да ви заключи в една онлайн компания за сигурност за цялата ви онлайн защита и да ограничи вашите възможности.
WAF проверяват съдържанието на пакетите, така че първо трябва да премахнат цялата защита за криптиране, преди да могат да изпълнят основната си задача. Това означава, че трябва да предадете вашия SSL сертификат на доставчика на облачен WAF, като ефективно се отказвате от всички функции за сигурност на данните, които защитават вашия уеб хост, вашето съдържание и безопасността на вашите клиенти.
Трябва да имате голяма вяра във вашия облачен WAF доставчик, за да сте готови да позволите на тази трета страна да застане между вас и вашите клиенти.
Професионалисти на базирани в облак WAF
От друга страна, репутацията и експертизата на най-добрите облачни WAF доставчици означава, че не е нужно да се притеснявате, че ще бъдете разочаровани. Компаниите в нашия списък са специализирани в мрежови услуги и услуги за сигурност. Техният натрупан експертен опит е много по-голям от този, който бихте могли да получите за вашата собствена компания. Вероятно има по-голям риск за наличността и сигурността на уебсайта ви, ако се опитате да покриете всички сложни задачи, свързани с тези проблеми.
Базираните в облак решения могат да се плащат на месечна база , разпределяне на разходите за сигурност на вашето уеб приложение. В някои случаи получавате такса само за вашата уеб пропускателна способност, така че можете да отложите плащането за вашата защита до края на месеца, когато нивото на услугата е изчислено и фактурирано.
Ако вече възлагате части от вашата операция на външни изпълнители, вие вече сте се примирили с базирания в облака метод на работа и затова не би било твърде трудно да възложите и своя WAF. Може да се наложи да преминете от съществуващи доставчици, ако комбинирането на други услуги, като защита срещу DDoS и балансиране на натоварването, с вашия нов WAF има по-добър логистичен и икономически смисъл.
Хардуерно базирани WAFs Минуси
Когато обмисляте цената на хардуерен WAF, трябва да добавите разходите за инсталиране, настаняване, защита и поддръжка. Онлайн WAF се актуализират автоматично, така че винаги са актуални и готови да се справят с най-новата нововъзникваща заплаха. Постигането на това ниво на готовност на вашето собствено WAF устройство може да бъде скъпо.
Повечето доставчици на хардуер WAF предлагат услуга за актуализиране. Поправките за нови заплахи се изпращат на вашето WAF устройство по интернет автоматично и то ще поднови фърмуера си без ваша намеса . В случай на някои нови заплахи, друго оборудване и софтуер във вашата мрежа може да се нуждаят от актуализация и услугата за поддръжка на вашия доставчик на WAF ще ви предостави и тях.
Този процес се нарича „виртуално коригиране“ и е WAF версията на класическите актуализации на базата данни на защитната стена. Въпреки това, въпреки че всички доставчици на хардуер в нашия списък предоставят виртуални корекции, не всички от тях включват тази услуга безплатно. Когато услугата за актуализиране е включена, тя обикновено е безплатна само за първата година. След това трябва да платите допълнително за поддръжка на вашия вътрешен WAF.
Предварителните разходи за закупуване на хардуерен WAF могат да бъдат неудобни разходи, когато се борите да накарате новата си уеб компания да функционира. Ако първоначално се откажете от това решение за сигурност на приложението, може да се увлечете в убеждението, че това е ненужна екстра, дори когато стигнете до момента, в който имате свободни пари . Това е опасен сценарий, защото ще осъзнаете, че имате нужда от WAF защита едва след като бъдете засегнати от атака. Дотогава уебсайтът ви ще бъде блокиран от търсачките, тъй като съдържа злонамерен код и ще бъдете изгонени от работа.
Хардуерно базирани WAF професионалисти
Ако използвате собствен уеб сървър, вероятно вече знаете много за мрежите и интернет системите. Може да се нуждаете от балансиращо натоварване, след като поставите допълнителни сървъри, за да се справите с търсенето. Ако случаят е такъв, можете да закупите комбиниран уеб кеш, балансьор на натоварването и WAF комбинирани и всичките ви предни изисквания да бъдат обработени от едно устройство.
Наличието на собствен WAF означава, че не е нужно да предавате своя уеб адрес на трета страна. Ако в даден момент се нуждаете от обширна DDoS защита, тогава вашият URL ще трябва да отиде при доставчика на смекчаване на DDoS. В този случай обаче няма да е необходимо да ограничавате избора си на DDoS защита до тази, предоставена от вашата облачна WAF компания. Няма да се ангажирате да насочвате URL адреса си, за да предоставите вашия WAF.
Избор на решение за защитна стена на уеб приложение
Независимо дали предпочитате да имате свой собствен WAF във вашата мрежа или смятате, че би било по-добре да изберете базирано на облак WAF решение, този преглед ви даде пет опции, които да разгледате. Изборът на ново оборудване, софтуер и услуги за вашата компания може да отнеме много време. В това ръководство ние сме се погрижили за тази първа фаза вместо вас.
Следващата ви задача е да стесните възможностите си. Добавените екстри, които всеки от тези доставчици на WAF предлага, ще ви насочат към този избор. Капацитетът на всяка услуга също е важно съображение и трябва да вземете предвид мащабируемостта, така че бъдещите ви планове за разширяване да бъдат отчетени.
Вземете решение дали да изберете специален хардуер или базиран на облак WAF и след това разгледайте всеки от петте, изброени в тази категория. Пренебрегването на защитата, която специална защитна стена на уеб приложение предлага на вашата организация, би било грешка. Не чакайте да стане твърде късно и вашият сайт вече е бил атакуван. Вземете WAF сега, за да поддържате уебсайта си онлайн.
Често задавани въпроси за защитната стена на уеб приложенията
Каква е разликата между нормална защитна стена и WAF?
Мрежовите и крайните защитни стени работят на по-ниско ниво на стека от защитните стени за уеб приложения. Както подсказва името, WAF проверяват атрибутите на слоя на приложението (слой 7), докато типичните защитни стени работят на мрежовия слой (слой 3). И така, всеки разглежда различни характеристики на входящия трафик. Друга основна разлика между тези две услуги е, че типичната защитна стена се интегрира в архитектурата на мрежов шлюз (или компютърен мрежов интерфейс), но WAF имат обратна прокси конфигурация.
Какви са правилата на WAF?
WAF правилата са списък с неща, за които защитната стена трябва да следи. Те са специфични характеристики в уеб трафика и конкретните места, където да ги търсите в потока от данни. Правилата се наричат още „политики“. Те включват действието, което трябва да се предприеме при откриване на опит за атака, което обикновено включва просто да не се предава този трафик към сървъра, който е защитен.
Какви са 3-те вида защитни стени?
Трите вида защитни стени сапакетни филтри,инспекция на пакети със състояние, изащитни стени на прокси сървър.
- Пакетните филтри разглеждат техническите характеристики на всички пакети, влизащи и излизащи от мрежата, и премахват тези, които не съответстват на даден модел или отговарят на списък с характеристики в черен списък.
- Инспекцията на пакети с пълно наблюдение (SPI), известна още като динамично филтриране на пакети, също работи на мрежовия слой, но записва индивидуалните характеристики на пакета, така че да може да забележи атаки, които са разделени на няколко пакета.
- WAF е защитна стена на прокси сървър, тъй като целият трафик се насочва през WAF по пътя към сървъра. Той работи на приложния слой и замества IP адреса на защитения сървър със свой собствен.