Les pare-feu d'application Web – ou WAF – sont un type de pare-feu relativement nouveau. Ils ne se contentent pas de bloquer ou d'autoriser le trafic en fonction des adresses IP et des ports, ils vont encore plus loin pour analyser le trafic et prendre des décisions en fonction d'un ensemble de règles métier prédéfinies.
Comme leur nom l'indique, leur objectif principal est de sécuriser les applications Web. Le choix d'un pare-feu d'application Web peut être une tâche ardue. Ils existent soit en tant que service basé sur le cloud, soit en tant qu'appliance, chacun avec ses avantages et ses inconvénients. C'est pourquoi nous avons compilé cette liste des 10 meilleurs pare-feu d'applications Web. Il vous aidera à évaluer les caractéristiques des produits de différents fournisseurs.
Dans cet article, nous commencerons par une discussion sur les pare-feu d'applications Web, ce qu'ils sont et à quoi ils servent. Nous comparerons ensuite les systèmes basés sur le cloud et les appareils et énumérerons les avantages et les inconvénients de chacun. Comme vous le verrez, c'est plus qu'un simple choix philosophique. Une fois que nous aurons fini d'expliquer les bases des WAF, nous plongerons dans le cœur de notre sujet et présenterons non pas une mais deux listes. Tout d'abord, nous passerons en revue les cinq meilleurs WAF basés sur le cloud, puis nous examinerons les cinq meilleurs appareils WAF .
Comme nous l'avons indiqué dans notre introduction, un pare-feu d'application Web est un type particulier d'appareil. Il peut être utilisé pour sécuriser les applications Web bien mieux que ce qui est possible avec les pare-feu standard. Un WAF typique protégera un site Web contre plusieurs types d'attaques telles que les scripts intersites, l'empoisonnement des cookies, le grattage Web, la falsification des paramètres, le débordement de la mémoire tampon et bien d'autres types de vulnérabilités.
Contrairement aux pare-feu traditionnels qui fondent leur décision d'autoriser ou de bloquer le trafic sur de simples paramètres tels que l'adresse IP ou le numéro de port, les WAF fondent principalement leur décision sur une analyse approfondie des données HTML. Ils examinent les demandes essayant de reconnaître les modèles de comportement malveillants. Ils déchiffreront également le trafic HTTPS pour s'assurer qu'aucun code malveillant n'est inséré dans les paquets chiffrés. Les pare-feu applicatifs Web seront à la recherche de signatures de logiciels malveillants connus, mais ils intercepteront également toute demande malformée ou non standard pour la meilleure protection possible.
En soi, un pare-feu applicatif Web offrira un bon degré de protection, mais c'est lorsqu'il est associé à d'autres systèmes de protection tels que des pare-feu standard ou des logiciels antivirus que vous obtiendrez la meilleure couverture contre le plus grand nombre de menaces. Plus que jamais, les administrateurs réseau doivent adopter une approche holistique de la prévention des logiciels malveillants.
Il existe essentiellement deux types de pare-feu d'applications Web. Les WAF peuvent être basés sur le cloud ou exécutés en tant qu'appliance. Les WAF basés sur le cloud sont hébergés par le fournisseur. Toutes les demandes adressées à votre site Web sont redirigées, grâce à la magie du DNS, vers votre instance WAF où elles sont vérifiées avant d'être transmises à votre site réel.
Les WAF d'appliance sont des périphériques matériels. Ce sont des ordinateurs spécialisés, généralement sans interface utilisateur, comme un écran et un clavier qui exécutent un système d'exploitation personnalisé et le logiciel Web Application Firewall. Ils sont généralement installés dans votre centre de données et sont situés entre votre pare-feu traditionnel et vos serveurs Web où ils interceptent les requêtes qui leur sont adressées.
Du côté positif, une solution basée sur le cloud ne nécessite aucune maintenance car elle est gérée par le fournisseur. Ces solutions intègrent généralement des fonctionnalités de redondance ou de haute disponibilité. Le fournisseur gère également généralement les sauvegardes du système. Un autre avantage est que le service WAF peut souvent être associé à d'autres services du même fournisseur. Vous pouvez, par exemple, combiner la distribution de contenu et les fonctionnalités WAF d'un seul fournisseur pour une solution parfaitement intégrée.
Mais les WAF basés sur le cloud présentent également quelques inconvénients. L'un des plus importants est qu'ils pourraient vous enfermer avec un seul fournisseur pour de nombreux services. Étant donné que tout le trafic vers votre site Web doit être redirigé vers le fournisseur de cloud, vous n'avez presque pas d'autre choix que d'utiliser leurs autres services de sécurité tels qu'un pare-feu traditionnel.
Le principal avantage des appliances WAF est que vous gardez tout en interne. Il vous donne un contrôle total sur chaque détail de votre infrastructure. Cela signifie également que vous êtes libre de choisir différents composants de différents fournisseurs.
Par contre, utiliser un appareil signifie que vous devez l'entretenir. Et vous devrez le mettre à niveau à mesure que votre trafic augmente. L'utilisation d'une solution matérielle signifie également un coût initial beaucoup plus élevé, car tout l'équipement doit être acquis dès le départ. En fin de compte, le choix vous appartient mais vous devriez peut-être vous laisser guider par vos besoins spécifiques plutôt que de choisir d'abord un type d'installation.
Nous avons compilé une liste des cinq meilleurs pare-feu d'applications Web. Ils proviennent tous de fournisseurs réputés et offrent un excellent rapport qualité-prix. Nous ne pouvons pas vraiment recommander l'un par rapport aux autres car ce sont tous d'excellents produits.
Cloudflare a acquis une excellente réputation pour la protection des serveurs Web contre les attaques DDoS. Son offre de services comprend également un pare-feu applicatif Web. Le service a déjà une énorme base de clients et ses serveurs traitent actuellement près de trois millions de requêtes par seconde. Et si vous visitez le site Web de Cloudflare , vous verrez que plus de 400 millions de règles WAF ont été déclenchées le dernier jour.
L'un des principaux avantages de l'utilisation d'un service cloud avec une base de clients aussi large est que vous pouvez bénéficier de l'intelligence acquise auprès d'autres clients. Par exemple, si une tentative d'attaque est détectée sur un autre client, une nouvelle signature sera créée et appliquée à tous les clients. Un autre avantage de la solution de Cloudflare est qu'elle offre également une diffusion de contenu et une protection DDoS.
Akamai est le leader mondial des systèmes de diffusion de contenu. Au fil des années, l'entreprise a ajouté de nouvelles fonctionnalités à son offre. Kona Site Defender , comme leur WAF est appelé, est l'un d'entre eux. Le pare-feu d'application Web intègre une protection DDoS complète. Et bien sûr, le service WAF peut également être facilement combiné avec d'autres services Akamai tels que le Content Delivery Network. Une fois votre trafic redirigé vers Akamai, autant en profiter et utiliser autant de services que vous le souhaitez.
En raison de sa taille et de sa clientèle, Akamai découvre souvent de nouveaux exploits plus tôt que les autres fournisseurs. En tant qu'utilisateur de Kona Site Defender, vous bénéficiez de cet avantage concurrentiel et bénéficiez d'une protection efficace avec un blocage potentiellement meilleur des exploits zero-day.
F5 est souvent mieux connu pour ses appliances BIG-IP que pour ses services cloud. En un mot, F5 Silverline est la version en ligne de l'excellent appareil BIG-IP ASM de la société, examiné ci-dessous. Il est disponible en tant que service géré ou en tant que ce que F5 appelle un libre-service express pour protéger les applications Web et les données contre les menaces en constante évolution. Les abonnements peuvent avoir une durée d'un an ou de trois ans. Une assistance en direct 24 heures sur 24 est incluse avec le service.
L'un des principaux avantages de ce service basé sur le cloud est qu'il peut protéger une infrastructure distribuée ou hébergée dans le cloud. La protection comprend un blindage DDoS de couche 7 et bloquera également les adresses anonymisées comme celles qui font partie du réseau Tor. Le système utilise également une liste noire en direct de praticiens de phishing et de grattoirs Web connus. Et comme cette liste noire est partagée par tous les clients, vous bénéficiez de toute intelligence acquise avec un autre client.
Amazon Web Services, ou AWS, est le service d'hébergement basé sur le cloud de la place de marché en ligne universellement connue. Il capitalise sur l'énorme infrastructure distribuée d'Amazon pour offrir des services d'hébergement. Si vous êtes un client d'Amazon Web Services, l' AWS WAF est peut-être fait pour vous. Amazon Web Service propose également un service d'équilibrage de charge et de diffusion de contenu.
Le modèle de tarification d'Amazon Web Services WAF est différent de celui des autres fournisseurs. Au lieu de payer une somme prédéfinie chaque mois, vous êtes facturé pour chaque règle de sécurité que vous ajoutez à votre service et pour le nombre de requêtes web reçues chaque mois. La meilleure chose à ce sujet est que vous n'avez pas à payer tout de suite pour une croissance future. Il est également très intéressant pour les organisations avec des pics saisonniers.
Imperva est un autre nom commun dans le domaine de la sécurité informatique. Le Incapsula service de l' application Web en nuage pare - feu Imperva géré pour protéger contre les attaques de la couche d'application, y compris tous les principaux projets Open Web Application Security 10 attaques et menaces zero-day. Le service est certifié PCI et hautement personnalisable. Il est également très efficace et bloquera la plupart des menaces avec un minimum de faux positifs.
Incapsula est l'une des solutions WAF basées sur le cloud les moins chères que vous puissiez trouver. Les plans commencent à partir de 300 $ par mois. Une grande caractéristique d'Incapsula est qu'en plus d'un WAF plus «traditionnel», le système examine également vos serveurs et enverra des correctifs pour résoudre les problèmes détectés, offrant une meilleure protection pour vos applications Web. Vous pouvez bien entendu programmer l'application des correctifs à tout moment afin de réduire vos impacts opérationnels.
Tout comme nos 5 meilleures solutions WAF basées sur le cloud provenaient toutes de fournisseurs renommés, il en va de même pour nos appliances WAF. Ils proviennent de certains des fournisseurs d'équipements de sécurité les plus réputés. Et tout comme notre liste précédente, celle-ci n'a que le meilleur. Notez que la plupart des fournisseurs d'appliances WAF proposent également un service basé sur le cloud.
Imperva est l'un des deux fournisseurs qui figure sur nos deux listes. Son SecureSphere WAF cible les petites installations. Les différentes unités qu'ils proposent varient en débit de 100 Mbps à 10 Gbps avec la plus petite capable de traiter 440 transactions SSL par seconde et la plus grande environ 9000. Une unité de milieu de gamme, le X2020 a un débit de 500 Mbps, traitera 2000 SSL. transactions par seconde et vous coûtera environ 4200 $.
Si vous choisissez l'un des modèles de premier plan, vous serez heureux d'apprendre qu'ils peuvent être mis à niveau vers le modèle supérieur suivant. Par exemple, le X821 peut être mis à niveau vers un X 10K, doublant ainsi sa capacité. Et la mise à niveau ne nécessite que l'achat d'un correctif logiciel et d'une licence appropriés. Aucune mise à niveau matérielle coûteuse n'est requise.
Barracuda est un autre nom très respecté dans le domaine de la sécurité informatique. Il propose une excellente solution WAF parfaitement adaptée aux petites et moyennes organisations. Les appliances Barracuda sont un peu plus chères que celles de leurs concurrents, mais elles sont livrées avec un an de mises à jour gratuites. Quant aux mises à jour, elles ont lieu fréquemment, chaque fois qu'une nouvelle menace est identifiée.
L' appliance Barracuda WAF possède également quelques fonctionnalités supplémentaires. Par exemple, il propose une mise en cache pour une livraison de contenu plus rapide. L'équilibrage de charge entre plusieurs serveurs est une autre fonctionnalité disponible. Vous pouvez même ajouter une protection DDoS complète. Comme la plupart des autres appareils WAF, le Barracuda WAAF est disponible en plusieurs tailles. Un appareil moyen comme le modèle 360 vous coûtera environ 6 350 $ et vous offrira un débit de 25 Mbps et 2 000 transactions SSL par seconde.
Le Citrix NetScaler est un appareil d'équilibrage de charge très populaire. Si vous les utilisez déjà, vous serez heureux de savoir que vous pouvez également en utiliser certains comme pare-feu d'application Web. La fonctionnalité n'est disponible que dans les meilleures appliances NetSclaer MPX ou le service cloud NetScaler. De plus, vous devrez acheter la licence Platinum de niveau supérieur pour l'obtenir gratuitement, bien qu'elle soit également disponible en option avec la licence Enterprise.
Le plus grand avantage de NetScaler WAF est que vous obtenez un équilibrage de charge et une sécurité de pointe dans un seul boîtier. Il s'agit d'un système premium et son prix est élevé. Vous pouvez vous attendre à payer environ 4000 $ pour le plus petit modèle, le MPX 5550 avec un débit de 500 Mbps et jusqu'à 1500 transactions SSL par seconde.
L'appliance FortiWeb de Fortinet est mieux adaptée aux petites et moyennes entreprises. L'appliance intègre WAF, l'équilibrage de charge et une fonctionnalité de déchargement SSL. L'une des meilleures et des plus récentes fonctionnalités de l'appliance FortiWeb est l'apprentissage automatique en deux étapes basé sur l'IA qui améliore la précision de la détection des attaques. il crée presque un pare-feu d'application Web « Définir et oublier »
L'appliance FortiWeb protégera votre infrastructure contre les dernières vulnérabilités des applications, les bots et les URL suspectes. Et ses deux moteurs de détection d'apprentissage automatique protègent vos applications de toutes sortes de menaces telles que l'injection SQL, les scripts intersites, les débordements de mémoire tampon, l'empoisonnement des cookies, les sources malveillantes et les attaques DDoS. Vous avez le choix entre huit modèles FortiWeb différents, chacun avec une capacité croissante. Ils vont du 100D d'entrée de gamme à 25 Mbps au modèle haut de gamme 4000E avec un débit de 20 Gbps.
Le dernier mais non le moindre est l' appliance F5 BIG-IP ASM . Vous connaissez peut-être F5 comme l'un des principaux concurrents de Citrix. Ils sont bien connus pour leurs équilibreurs de charge de premier ordre. Il s'agit d'un appareil qui cible les grandes entreprises.
La protection contre les menaces F5 BIG-IP ASM utilise une analyse approfondie des menaces et un apprentissage dynamique, vous n'avez pratiquement aucune configuration à faire et pourtant vous pouvez être assuré que votre infrastructure est correctement protégée. Une autre caractéristique intéressante du F5 BIG-IP ASM est le déchargement SSL. L'appareil gérera le cryptage et le décryptage SSL à la volée, permettant à vos serveurs Web de se concentrer sur ce qu'ils font le mieux, servir les pages Web.
Avec autant de produits et services parmi lesquels choisir, choisir la bonne solution WAF peut s'avérer difficile. Ce sont des systèmes coûteux et ils nécessitent souvent des efforts considérables – et une formation – pour les installer et les configurer correctement. Ce n'est probablement pas quelque chose que vous voudrez faire deux fois juste pour essayer de nombreux produits différents. Assurez-vous d'identifier précisément vos besoins et votre projection de croissance et vous serez probablement mieux placé pour choisir le WAF qui vous convient le mieux.
Les balayages de ping peuvent être utilisés à votre avantage de nombreuses façons. Continuez à lire pendant que nous discutons de la façon dont nous présentons les 10 meilleurs outils de balayage Ping que vous pouvez trouver.
Les sites Web sont importants et doivent être constamment surveillés de près pour des performances adéquates. Voici quelques-uns des meilleurs outils de surveillance des sites Web.
Le marché des logiciels de gestion de réseau est très encombré. Raccourcissez votre recherche en suivant nos recommandations des meilleurs outils de gestion de réseau.
Voici un aperçu de certains des meilleurs outils de déploiement de logiciels pour faciliter la gestion d'un nombre illimité de machines
Si vous êtes dans l'industrie de la santé ou si vous êtes impliqué d'une manière ou d'une autre dans l'informatique dans cette industrie, il y a de fortes chances que vous ayez entendu parler de la HIPAA. La portabilité de l'assurance maladie
sFlow est un protocole d'analyse de flux intégré à de nombreux périphériques réseau. Nous passons en revue les cinq meilleurs collecteurs et analyseurs sFlow gratuits.
Pour vous aider à choisir le bon, nous avons présenté les meilleurs outils de surveillance d'infrastructure sans agent et vous ont donné un aperçu rapide de chacun.
Si vous êtes un utilisateur expérimenté de Windows, vous savez probablement et comprenez comment effectuer diverses opérations sur votre PC peut avoir plus d'une approche et
La latence semble être l'ennemi numéro un des réseaux. Ces outils de mesure de la latence vous apprendront comment tester la latence pour détecter, localiser et résoudre les problèmes.
Le moniteur de réseau Windows nécessite des outils avec des exigences limitées. Aujourd'hui, nous examinions les meilleurs outils de surveillance réseau pour Windows 10.
