Web Application Firewalls – oder WAFs – sind eine relativ neue Art von Firewall. Sie blockieren oder erlauben nicht nur Datenverkehr basierend auf IP-Adressen und Ports, sondern gehen noch einen Schritt weiter, um den Datenverkehr zu analysieren und Entscheidungen basierend auf einer Reihe vordefinierter Geschäftsregeln zu treffen.
Wie der Name schon sagt, ist ihr Hauptzweck die Sicherung webbasierter Anwendungen. Die Wahl einer Web Application Firewall kann eine entmutigende Aufgabe sein. Es gibt sie entweder als Cloud-basierter Service oder als Appliance, jede mit ihren Vor- und Nachteilen. Aus diesem Grund haben wir diese Liste der 10 besten Web Application Firewalls zusammengestellt. Es hilft Ihnen, Produktfunktionen von verschiedenen Anbietern zu bewerten.
In diesem Artikel beginnen wir mit einer Diskussion über Firewalls für Webanwendungen, was sie sind und welchen Zweck sie erfüllen. Anschließend vergleichen wir Cloud-basierte und Appliance-basierte Systeme und listen die Vor- und Nachteile der einzelnen Systeme auf. Wie Sie sehen werden, ist es mehr als nur eine philosophische Entscheidung. Nachdem wir die Grundlagen von WAFs erklärt haben, tauchen wir in den Kern unseres Themas ein und präsentieren nicht eine, sondern zwei Listen. Zuerst sehen wir uns die fünf besten Cloud-basierten WAFs an und als nächstes werfen wir einen Blick auf die fünf besten WAF-Appliances .
Wie wir in unserer Einführung erwähnt haben, ist eine Web Application Firewall eine besondere Art von Gerät. Damit lassen sich webbasierte Anwendungen weitaus besser absichern, als dies mit Standard-Firewalls möglich ist. Eine typische WAF schützt eine Website vor verschiedenen Arten von Angriffen wie Cross-Site-Scripting, Cookie-Poisoning, Web-Scraping, Parameter-Manipulation, Pufferüberlauf und vielen weiteren Arten von Schwachstellen.
Im Gegensatz zu herkömmlichen Firewalls, die ihre Entscheidung, Datenverkehr zuzulassen oder zu blockieren, auf einfachen Parametern wie IP-Adresse oder Portnummer stützen, stützen WAFs ihre Entscheidung meist auf eine eingehende Analyse der HTML-Daten. Sie untersuchen Anfragen und versuchen, bösartige Verhaltensmuster zu erkennen. Sie entschlüsseln auch den HTTPS-Datenverkehr, um sicherzustellen, dass kein bösartiger Code in verschlüsselte Pakete eingefügt wird. Web Application Firewalls werden nach bekannten Malware-Signaturen Ausschau halten, aber auch alle fehlerhaften oder nicht standardmäßigen Anforderungen abfangen, um den bestmöglichen Schutz zu gewährleisten.
An sich bietet eine Web Application Firewall ein gutes Maß an Schutz, aber wenn Sie sie mit anderen Schutzsystemen wie Standard-Firewalls oder Virenschutzsoftware kombinieren, erhalten Sie den besten Schutz gegen die meisten Bedrohungen. Netzwerkadministratoren müssen mehr denn je einen ganzheitlichen Ansatz zur Malware-Prävention verfolgen.
Es gibt im Wesentlichen zwei Arten von Web Application Firewalls. WAFs können entweder Cloud-basiert oder als Appliance ausgeführt werden. Cloud-basierte WAFs werden vom Anbieter gehostet. Alle Anfragen an Ihre Website werden – durch die Magie von DNS – an Ihre WAF-Instanz umgeleitet, wo sie verifiziert werden, bevor sie an Ihre eigentliche Site weitergeleitet werden.
Appliance-WAFs sind Hardwaregeräte. Dabei handelt es sich um spezialisierte Computer, die normalerweise keine Benutzeroberfläche wie Bildschirm und Tastatur haben, auf denen ein benutzerdefiniertes Betriebssystem und die Web Application Firewall-Software ausgeführt werden. Sie werden normalerweise in Ihrem Rechenzentrum installiert und befinden sich zwischen Ihrer herkömmlichen Firewall und Ihren Webservern, wo sie an sie gerichtete Anfragen abfangen.
Auf der anderen Seite ist eine Cloud-basierte Lösung wartungsfrei, da sie vom Anbieter übernommen wird. Diese Lösungen verfügen in der Regel über integrierte Redundanz- oder Hochverfügbarkeitsfunktionen. Der Anbieter übernimmt in der Regel auch Systemsicherungen. Ein weiterer Vorteil besteht darin, dass der WAF-Dienst oft mit anderen Diensten desselben Anbieters kombiniert werden kann. Sie können beispielsweise die Content-Distribution- und WAF-Funktionen eines einzigen Anbieters zu einer nahtlos integrierten Lösung kombinieren.
Cloud-basierte WAFs haben jedoch auch einige Nachteile. Einer der wichtigsten ist, dass sie Sie für viele Dienste an einen einzigen Anbieter binden könnten. Da der gesamte Verkehr auf Ihre Website an den Cloud-Anbieter umgeleitet werden muss, haben Sie fast keine andere Möglichkeit, als deren andere Sicherheitsdienste wie eine herkömmliche Firewall zu nutzen.
Der Hauptvorteil von WAF-Appliances besteht darin, dass Sie alles im Haus behalten. Es gibt Ihnen die vollständige Kontrolle über jedes Detail Ihrer Infrastruktur. Es bedeutet auch, dass Sie verschiedene Komponenten von verschiedenen Anbietern frei wählen können.
Auf der anderen Seite bedeutet die Verwendung eines Geräts, dass Sie es warten müssen. Und Sie müssen es aktualisieren, wenn Ihr Datenverkehr zunimmt. Die Verwendung einer Hardwarelösung bedeutet auch viel höhere Vorlaufkosten, da die gesamte Ausrüstung von Anfang an angeschafft werden muss. Letztendlich liegt die Wahl bei Ihnen, aber Sie sollten sich möglicherweise von Ihren spezifischen Bedürfnissen leiten lassen, anstatt sich zunächst für eine Installationsart zu entscheiden.
Wir haben eine Liste der fünf besten Web Application Firewalls zusammengestellt. Sie stammen alle von seriösen Anbietern und bieten ein hervorragendes Preis-Leistungs-Verhältnis. Wir können das eine nicht wirklich empfehlen, da es sich alle um ausgezeichnete Produkte handelt.
Cloudflare hat sich einen ausgezeichneten Ruf für den Schutz von Webservern vor DDoS-Angriffen erworben. Zum Leistungsangebot gehört auch eine Web Application Firewall. Der Dienst hat bereits einen riesigen Kundenstamm und seine Server verarbeiten derzeit fast drei Millionen Anfragen pro Sekunde. Und wenn Sie die Website von Cloudflare besuchen , werden Sie sehen, dass am letzten Tag über 400 Millionen WAF-Regeln ausgelöst wurden.
Einer der Hauptvorteile der Nutzung eines Cloud-Dienstes mit einem so breiten Kundenstamm besteht darin, dass Sie von den Informationen anderer Kunden profitieren können. Wird beispielsweise ein Angriffsversuch bei einem anderen Client erkannt, wird eine neue Signatur erstellt und auf alle Clients angewendet. Ein weiterer Vorteil der Cloudflare-Lösung besteht darin, dass sie auch die Bereitstellung von Inhalten und DDoS-Schutz bietet.
Akamai ist der weltweit führende Anbieter von Content-Delivery-Systemen. Im Laufe der Jahre hat das Unternehmen sein Angebot um weitere Funktionalitäten erweitert. Kona Site Defender , wie ihre WAF genannt wird, ist einer von ihnen. Die Web Application Firewall integriert vollständigen DDoS-Schutz. Und natürlich lässt sich der WAF-Dienst auch problemlos mit anderen Akamai-Diensten wie dem Content Delivery Network kombinieren. Sobald Ihr Datenverkehr an Akamai umgeleitet wurde, können Sie ihn genauso gut nutzen und so viele Dienste nutzen, wie Sie benötigen.
Aufgrund seiner Größe und seines Kundenstamms entdeckt Akamai neue Exploits oft früher als andere Anbieter. Als Benutzer von Kona Site Defender profitieren Sie von diesem Wettbewerbsvorteil und erhalten effektiv einen stärkeren Schutz mit potenziell besserer Blockierung von Zero-Day-Exploits.
F5 ist oft besser bekannt für seine BIG-IP-Appliances als für seine Cloud-Dienste. Kurz gesagt, F5 Silverline ist die Online-Version der hervorragenden BIG-IP ASM-Appliance des Unternehmens, die im Folgenden beschrieben wird. Es ist als Managed Service oder als Express-Self-Service, den F5 bezeichnet, verfügbar, um Webanwendungen und Daten vor sich ständig weiterentwickelnden Bedrohungen zu schützen. Abonnements können eine Laufzeit von einem Jahr oder drei Jahren haben. Der 24-Stunden-Live-Support ist im Service inbegriffen.
Ein großer Vorteil dieses Cloud-basierten Dienstes besteht darin, dass er eine verteilte oder in der Cloud gehostete Infrastruktur schützen kann. Der Schutz umfasst Layer-7-DDoS-Shielding und blockiert auch anonymisierte Adressen, wie sie zum Tor-Netzwerk gehören. Das System verwendet auch eine Live-Blacklist bekannter Phishing-Praktiker und Web-Scraper. Und da diese Blacklist von allen Kunden geteilt wird, profitieren Sie von allen Erkenntnissen, die Sie mit einem anderen Kunden gewinnen.
Amazon Web Services – oder AWS – ist der Cloud-basierte Hosting-Service des allseits bekannten Online-Marktplatzes. Es nutzt die riesige verteilte Infrastruktur von Amazon, um Hosting-Dienste anzubieten. Wenn Sie ein Kunde der Amazon Web Services sind, ist die AWS WAF möglicherweise das Richtige für Sie. Amazon Web Service bietet auch einen Load-Balancing- und Content-Delivery-Service.
Das Preismodell der Amazon Web Services WAF unterscheidet sich von anderen Anbietern. Anstatt jeden Monat einen vordefinierten Betrag zu zahlen, wird Ihnen jede Sicherheitsregel, die Sie zu Ihrem Dienst hinzufügen, und die Anzahl der Webanfragen, die jeden Monat eingehen, in Rechnung gestellt. Das Beste daran ist, dass Sie für zukünftiges Wachstum nicht sofort bezahlen müssen. Es ist auch sehr interessant für Organisationen mit saisonalen Spitzen.
Imperva ist ein weiterer gebräuchlicher Name im Bereich der IT-Sicherheit. Die Incapsula Cloud-basierte Web Application Firewall Imperva Managed - Service zum Schutz vor Angriffen Anwendungsschicht, einschließlich aller Open Web Application Security Projekt Top - 10 - Angriffe und Zero-Day - Bedrohungen. Der Service ist PCI-zertifiziert und hochgradig anpassbar. Es ist auch sehr effektiv und blockiert die meisten Bedrohungen mit minimalen Fehlalarmen.
Incapsula ist eine der günstigsten Cloud-basierten WAF-Lösungen, die Sie finden können. Die Pläne beginnen bei nur 300 US-Dollar pro Monat. Eine großartige Funktion von Incapsula ist, dass das System zusätzlich zu einer „herkömmlicheren“ WAF auch Ihre Server überwacht und Patches sendet, um gefundene Probleme zu beheben, um einen besseren Schutz für Ihre Webanwendungen zu bieten. Sie können selbstverständlich planen, dass Patches zu einem beliebigen Zeitpunkt angewendet werden, um Ihre betrieblichen Auswirkungen zu reduzieren.
So wie unsere Top-5-Cloud-basierten WAF-Lösungen alle von namhaften Anbietern stammen, ist dies auch bei unseren WAF-Appliances der Fall. Sie stammen von einigen der renommiertesten Anbieter von Sicherheitsausrüstung. Und genau wie unsere vorherige Liste enthält diese nur das Beste. Beachten Sie, dass die meisten Anbieter von WAF-Appliances auch einen Cloud-basierten Dienst anbieten.
Imperva ist einer der beiden Anbieter, die es in unsere beiden Listen geschafft haben. Seine SecureSphere WAF zielt auf kleinere Installationen ab. Die verschiedenen von ihnen vorgeschlagenen Einheiten variieren im Durchsatz von 100 Mbit/s bis 10 Gbit/s, wobei die kleinste 440 SSL-Transaktionen pro Sekunde und die größere etwa 9000 verarbeiten kann. Eine Mid-Tier-Einheit, die X2020 hat einen Durchsatz von 500 Mbit/s, verarbeitet 2000 SSL Transaktionen pro Sekunde und kostet Sie etwa $4200.
Wenn Sie sich für eines der Top-Tier-Modelle entscheiden, werden Sie froh sein zu erfahren, dass sie auf das nächstgrößere Modell aufgerüstet werden können. Beispielsweise kann der X821 zu einem X 10K aufgerüstet werden, wodurch seine Kapazität effektiv verdoppelt wird. Und ein Upgrade erfordert nur den Kauf des richtigen Software-Patches und der entsprechenden Lizenz. Es sind keine kostspieligen Hardware-Upgrades erforderlich.
Barracuda ist ein weiterer angesehener Name im Bereich der IT-Sicherheit. Es bietet eine hervorragende WAF-Lösung, die sich perfekt für kleine und mittelständische Unternehmen eignet. Die Barracuda-Appliances sind etwas teurer als die der Konkurrenz, werden aber mit einem Jahr kostenlosen Updates geliefert. Und Updates finden regelmäßig statt, wenn eine neue Bedrohung erkannt wird.
Die Barracuda WAF- Appliance verfügt außerdem über einige zusätzliche Funktionen. Zum Beispiel bietet es Caching für eine schnellere Bereitstellung von Inhalten. Lastenausgleich zwischen mehreren Servern ist eine weitere verfügbare Funktion. Sie können sogar einen vollständigen DDoS-Schutz hinzufügen. Wie die meisten anderen WAF-Appliances ist der Barracuda WAAF in mehreren Größen erhältlich. Ein durchschnittliches Gerät wie das Modell 360 kostet etwa 6350 US-Dollar und bietet einen Durchsatz von 25 Mbit/s und 2000 SSL-Transaktionen pro Sekunde.
Der Citrix Netscaler ist eine äußerst beliebte Load-Balancing-Appliance. Wenn Sie sie bereits verwenden, werden Sie sich freuen, dass Sie einige davon auch als Web Application Firewall verwenden können. Die Funktionalität ist nur in den Top-NetSclaer MPX-Appliances oder dem NetScaler Cloud Service verfügbar. Darüber hinaus müssen Sie die erstklassige Platinum-Lizenz erwerben, um sie kostenlos zu erhalten, obwohl sie auch als Option mit der Enterprise-Lizenz erhältlich ist.
Der größte Vorteil der NetScaler WAF besteht darin, dass Sie Lastenausgleich und Sicherheit auf dem neuesten Stand der Technik in einer Box erhalten. Dies ist ein Premium-System und es kommt zu einem Premium-Preis. Für das kleinste Modell, den MPX 5550 mit einem Durchsatz von 500 Mbit/s und bis zu 1500 SSL-Transaktionen pro Sekunde, können Sie mit rund 4000 US-Dollar rechnen.
Die FortiWeb-Appliance von Fortinet ist besser für kleinere bis mittelgroße Organisationen geeignet. Die Appliance integriert WAF, Load Balancing und eine SSL-Offloading-Funktion. Eine der besten – und neuesten – Funktionen der FortiWeb-Appliance ist das zweistufige KI-basierte maschinelle Lernen, das die Genauigkeit der Angriffserkennung verbessert. es erstellt fast eine "Set and Forget" Web Application Firewall
Die FortiWeb-Appliance schützt Ihre Infrastruktur vor den neuesten Anwendungsschwachstellen, Bots und verdächtigen URLs. Und seine dualen Machine-Learning-Erkennungs-Engines schützen Ihre Anwendungen vor allen möglichen Bedrohungen wie SQL-Injection, Cross-Site-Scripting, Buffer Overflows, Cookie Poisoning, bösartigen Quellen und DDoS-Angriffen. Zur Auswahl stehen acht verschiedene FortiWeb-Modelle mit jeweils steigender Kapazität. Sie reichen vom Einstiegsmodell 100D mit 25 Mbit/s bis zum Spitzenmodell 4000E mit 20 Gbit/s Durchsatz.
Last but not least ist die F5 BIG-IP ASM- Appliance. Vielleicht kennen Sie F5 als einen der Hauptkonkurrenten von Citrix. Sie sind bekannt für ihre erstklassigen Load Balancer. Dies ist eine Appliance, die auf größere Unternehmen ausgerichtet ist.
Der F5 BIG-IP ASM-Bedrohungsschutz verwendet eine tiefgreifende Bedrohungsanalyse und dynamisches Lernen, Sie müssen kaum konfigurieren und können dennoch sicher sein, dass Ihre Infrastruktur ausreichend geschützt ist. Ein weiteres interessantes Feature des F5 BIG-IP ASM ist das SSL-Offloading. Das Gerät übernimmt die SSL-Verschlüsselung und -Entschlüsselung im Handumdrehen, sodass sich Ihre Webserver auf das konzentrieren können, was sie am besten können, nämlich Webseiten bereitzustellen.
Bei einer so großen Auswahl an Produkten und Dienstleistungen kann sich die Auswahl der richtigen WAF-Lösung als eine Handvoll erweisen. Es handelt sich um teure Systeme, deren Einrichtung und Konfiguration oft erheblichen Aufwand – und Schulung – erfordert. Dies ist wahrscheinlich nicht etwas, das Sie zweimal tun möchten, nur um viele verschiedene Produkte auszuprobieren. Stellen Sie sicher, dass Sie Ihre Bedürfnisse und Ihre Wachstumsprognose genau identifizieren, und die Chancen stehen gut, dass Sie die WAF auswählen können, die am besten zu Ihnen passt.
Ping-Sweeps können auf viele Arten zu Ihrem Vorteil genutzt werden. Lesen Sie weiter, während wir besprechen, wie das geht, und die 10 besten Ping-Sweep-Tools vorstellen, die Sie finden können.
Websites sind wichtig und müssen ständig genau auf ihre angemessene Leistung überwacht werden. Hier sind einige der besten Tools zur Überwachung von Websites.
Der Markt für Netzwerkmanagement-Software ist sehr überfüllt. Verkürzen Sie Ihre Suche, indem Sie unseren Empfehlungen der besten Netzwerkverwaltungstools folgen.
Hier sehen Sie einige der besten Softwarebereitstellungstools, die Ihnen die Verwaltung einer beliebigen Anzahl von Maschinen erleichtern
Wenn Sie in der Gesundheitsbranche tätig sind oder irgendwie mit der IT in dieser Branche zu tun haben, haben Sie wahrscheinlich schon von HIPAA gehört. Die Übertragbarkeit der Krankenversicherung
sFlow ist ein Flow-Analyse-Protokoll, das in zahlreichen Netzwerkgeräte gebaut. Wir überprüfen die fünf besten Gratis sFlow Collectors und Analysatoren.
Administratoren müssen die Betriebsparameter jedes Servers im Auge behalten. Lesen Sie weiter, während wir die sechs besten Windows-Systemüberwachungstools überprüfen.
Um Ihnen bei der Auswahl des richtigen Tools zu helfen, stellen wir Ihnen die besten Tools zur agentenlosen Infrastrukturüberwachung vor und geben Ihnen einen kurzen Überblick über jedes einzelne.
E-Mail-Sicherheit ist eine wichtige Aufgabe von Managed Service Providern. Wir haben SolarWinds Mail Assure überprüft, eines der besten Tools für diesen Zweck.
Latenz scheint der größte Feind der Netzwerke zu sein. Diese Tools zur Latenzmessung lehren, wie man die Latenz testet, um Probleme zu erkennen, zu lokalisieren und zu beheben.
