Os 10 melhores firewalls de aplicativos da Web (fornecedores WAF) revisados ​​em 2021

Firewalls de aplicativos da Web - ou WAFs - são um tipo relativamente novo de firewall. Eles não apenas bloqueiam ou permitem o tráfego com base em endereços IP e portas, eles vão além para analisar o tráfego e tomar decisões com base em um conjunto de regras de negócios predefinidas.

Como o nome indica, seu principal objetivo é proteger aplicativos baseados na web. Escolher um Firewall de aplicativo da Web pode ser uma tarefa difícil. Eles existem como um serviço baseado em nuvem ou como um dispositivo, cada um com suas vantagens e desvantagens. É por isso que compilamos esta lista dos 10 melhores firewalls de aplicativos da Web. Isso o ajudará a avaliar os recursos do produto de diferentes fornecedores.

Neste artigo, começaremos com uma discussão sobre firewalls de aplicativos da Web, o que são e para que servem. Em seguida, compararemos os sistemas baseados em nuvem e os baseados em dispositivos e listaremos os prós e os contras de cada um. Como você verá, é mais do que apenas uma escolha filosófica. Depois que terminarmos de explicar os fundamentos dos WAFs, vamos mergulhar no cerne do nosso assunto e apresentar não uma, mas duas listas. Primeiro, revisaremos os cinco melhores WAFs baseados em nuvem e, a seguir, daremos uma olhada nos cinco melhores dispositivos WAF .

WAFs em poucas palavras

Conforme declaramos em nossa introdução, um firewall de aplicativo da Web é um tipo especial de dispositivo. Ele pode ser usado para proteger aplicativos baseados na web muito melhor do que é possível com firewalls padrão. Um WAF típico protege um site contra vários tipos de ataques, como cross-site scripting, envenenamento de cookies, web scraping, adulteração de parâmetros, estouro de buffer e muitos outros tipos de vulnerabilidades.

Ao contrário dos firewalls tradicionais, que baseiam sua decisão de permitir ou bloquear o tráfego em parâmetros simples, como endereço IP ou número de porta, os WAFs baseiam principalmente sua decisão em uma análise aprofundada dos dados HTML. Eles examinam solicitações que tentam reconhecer padrões de comportamento malicioso. Eles também descriptografarão o tráfego HTTPS para garantir que nenhum código malicioso seja inserido em pacotes criptografados. Os firewalls de aplicativos da Web estarão à procura de assinaturas de malware conhecidas, mas também interceptarão quaisquer solicitações malformadas ou fora do padrão para a melhor proteção possível.

Por si só, um Firewall de aplicativo da Web oferece um bom grau de proteção, mas é quando você o agrupa com outros sistemas de proteção, como firewalls padrão ou software de proteção contra vírus, que você obtém a melhor cobertura contra o maior número de ameaças. Mais do que nunca, os administradores de rede precisam adotar uma abordagem holística para a prevenção de malware.

Baseado em nuvem ou dispositivo?

Existem essencialmente dois tipos de Firewalls de aplicativos da web. WAFs podem ser baseados em nuvem ou executados como um dispositivo. WAFs baseados em nuvem são hospedados pelo fornecedor. Todas as solicitações ao seu site são redirecionadas - por meio da magia do DNS - à sua instância WAF, onde é verificado antes de ser encaminhado ao seu site real.

WAFs de dispositivo são dispositivos de hardware. Eles são computadores especializados, geralmente sem interface de usuário, como tela e teclado que executam um sistema operacional personalizado e o software Web Application Firewall. Eles são normalmente instalados em seu data center e estão localizados entre seu firewall tradicional e seus servidores da web, onde interceptam as solicitações que chegam a eles.

Prós e contras do WAF baseado em nuvem

No lado positivo, uma solução baseada em nuvem não requer manutenção, pois é tratada pelo fornecedor. Essas soluções geralmente têm redundância integrada ou recursos de alta disponibilidade. O fornecedor também normalmente lida com backups do sistema. Outra vantagem é que o serviço WAF geralmente pode ser emparelhado com outros serviços do mesmo fornecedor. Você poderia, por exemplo, combinar a distribuição de conteúdo e os recursos WAF de um único provedor para obter uma solução perfeitamente integrada.

Mas os WAFs baseados em nuvem também têm algumas desvantagens. Um dos mais importantes é que eles podem prendê-lo a um único provedor para muitos serviços. Uma vez que todo o tráfego para seu site deve ser redirecionado para o provedor de nuvem, você quase não tem outra opção a não ser usar seus outros serviços de segurança, como um firewall tradicional.

Prós e contras dos aparelhos WAF

A principal vantagem dos aparelhos WAF é que você mantém tudo dentro de casa. Dá a você controle total sobre cada detalhe de sua infraestrutura. Isso também significa que você é livre para escolher diferentes componentes de diferentes fornecedores.

Por outro lado, usar um eletrodoméstico significa que você deve mantê-lo. E você terá que atualizá-lo conforme o tráfego aumenta. Usar uma solução de hardware também significa um custo inicial muito maior, pois todo o equipamento deve ser adquirido desde o início. Em última análise, a escolha é sua, mas você deve deixar que suas necessidades específicas o guiem, em vez de escolher primeiro um tipo de instalação.

Nossos 5 melhores WAFs baseados em nuvem

Compilamos uma lista dos cinco melhores firewalls de aplicativos da Web baseados em poder. São todos de fornecedores conceituados e oferecem grande valor pelo seu dinheiro. Não podemos realmente recomendar um sobre os outros, pois são todos produtos excelentes.

1. Cloudflare WAF

A Cloudflare ganhou uma excelente reputação por proteger servidores da web contra ataques DDoS. Sua oferta de serviços também inclui um firewall de aplicativo da web. O serviço já possui uma grande base de clientes e seus servidores atualmente lidam com cerca de três milhões de solicitações por segundo. E se você visitar o site da Cloudflare , verá que mais de 400 milhões de regras WAF foram acionadas no último dia.

Um dos principais benefícios de usar um serviço em nuvem com uma base de clientes tão ampla é que você pode se beneficiar da inteligência adquirida de outros clientes. Por exemplo, se uma tentativa de ataque for detectada em outro cliente, uma nova assinatura será criada e aplicada a todos os clientes. Outro benefício da solução da Cloudflare é que eles também oferecem entrega de conteúdo e proteção DDoS.

2. Defensor do Site Akamai Kona

Akamai é líder mundial em sistemas de entrega de conteúdo. Ao longo dos anos, a empresa agregou mais funcionalidades à sua oferta. O Kona Site Defender , como é chamado o WAF, é um deles. O Firewall de aplicativo da Web integra proteção total contra DDoS. E, claro, o serviço WAF também pode ser facilmente combinado com outros serviços da Akamai, como a Content Delivery Network. Depois que seu tráfego for redirecionado para a Akamai, você também pode tirar proveito disso e usar quantos serviços precisar.

Devido ao seu tamanho e base de clientes, a Akamai frequentemente descobre novos exploits mais cedo do que outros fornecedores. Como um usuário do Kona Site Defender, você se beneficia dessa vantagem competitiva e obtém efetivamente uma proteção mais forte com bloqueio potencialmente melhor de exploits de dia zero.

3. F5 Silverline

Muitas vezes, a F5 é mais conhecida por seus dispositivos BIG-IP do que por seus serviços em nuvem. Resumindo, F5 Silverline é a versão online do excelente dispositivo BIG-IP ASM da empresa analisado abaixo. Ele está disponível como um serviço gerenciado ou como F5 se refere como um autoatendimento expresso para proteger aplicativos da web e dados de ameaças em constante evolução. As assinaturas podem ter duração de um ou três anos. Suporte ao vivo 24 horas por dia está incluído no serviço.

Uma grande vantagem desse serviço baseado em nuvem é que ele pode proteger uma infraestrutura distribuída ou hospedada em nuvem. A proteção inclui blindagem DDoS de camada 7 e também bloqueará endereços anônimos, como aqueles que fazem parte da rede Tor. O sistema também usa uma lista negra ativa de praticantes de phishing e web scrapers conhecidos. E como essa lista negra é compartilhada por todos os clientes, você se beneficia de qualquer inteligência obtida com outro cliente.

4. Amazon Web Services WAF

Amazon Web Services - ou AWS - é o serviço de hospedagem baseado em nuvem do mercado online universalmente conhecido. Ele capitaliza a enorme infraestrutura distribuída da Amazon para oferecer serviços de hospedagem. Se você é um cliente da Amazon Web Services, o AWS WAF pode ser para você. Amazon Web Service também oferece balanceamento de carga e serviço de entrega de conteúdo.

O modelo de preços do Amazon Web Services WAF é diferente de outros fornecedores. Em vez de pagar uma quantia predefinida a cada mês, você é cobrado por cada regra de segurança que adiciona ao seu serviço e pelo número de solicitações da web que são recebidas a cada mês. A melhor coisa sobre isso é que você não precisa pagar imediatamente por algum crescimento futuro. Também é muito interessante para organizações com picos sazonais.

5. Imperva Incapsula

Imperva é outro nome comum na área de segurança de TI. O  serviço gerenciado do Imperva Firewall de aplicativo da Web baseado em nuvem da Incapsula para proteção contra ataques de camada de aplicativo, incluindo todos os dez principais ataques e ameaças de dia zero do Open Web Application Security Project. O serviço é certificado por PCI e altamente personalizável. Também é altamente eficaz e bloqueará a maioria das ameaças com o mínimo de falsos positivos.

Incapsula é uma das soluções WAF baseadas em nuvem mais baratas que você pode encontrar. Os planos começam em $ 300 por mês. Uma grande característica do Incapsula é que além de um WAF mais “tradicional”, o sistema também pesquisa seus servidores e enviará patches para resolver os problemas encontrados, proporcionando uma melhor proteção para seus aplicativos web. Você pode, é claro, agendar patches para serem aplicados em qualquer momento que você escolher para reduzir seus impactos operacionais.

Nossos 5 melhores aparelhos WAF

Assim como nossas 5 principais soluções WAF baseadas em nuvem foram todas de fornecedores bem conhecidos, o mesmo ocorre com nossos dispositivos WAF. Eles são de alguns dos fornecedores de equipamentos de segurança mais conceituados. E, assim como nossa lista anterior, esta não tem nada além do melhor. Observe que a maioria dos fornecedores de dispositivos WAF também oferece um serviço baseado em nuvem.

1. Imperva SecureSphere

Imperva é um dos dois fornecedores que fez parte de nossas listas. Seu SecureSphere WAF visa instalações menores. As várias unidades que eles propõem variam em taxa de transferência de 100 Mbps a 10 Gbps com a menor capaz de processar 440 transações SSL por segundo e a maior cerca de 9000. Uma unidade intermediária, o X2020 tem uma taxa de transferência de 500 Mbps, processará 2000 SSL transações por segundo e custará cerca de $ 4.200.

Se você escolher um dos modelos de nível superior, ficará feliz em saber que eles podem ser atualizados para o próximo modelo maior. Por exemplo, o X821 pode ser atualizado para um X 10K, dobrando efetivamente sua capacidade. E a atualização requer apenas a compra de patch e licença de software adequados. Nenhuma atualização de hardware cara é necessária.

2. Barracuda Web Application Firewall

Barracuda é outro nome muito respeitado na área de segurança de TI. Ele propõe uma excelente solução WAF que é perfeitamente adequada para organizações de pequeno e médio porte. Os aparelhos Barracuda são um pouco mais caros que os de seus concorrentes, mas vêm com um ano de atualizações gratuitas. E, quanto às atualizações, elas acontecem com frequência, sempre que uma nova ameaça é identificada.

O dispositivo Barracuda WAF também possui alguns recursos extras. Por exemplo, oferece armazenamento em cache para entrega mais rápida de conteúdo. O balanceamento de carga entre vários servidores é outro recurso disponível. Você pode até adicionar proteção total contra DDoS. Como a maioria dos outros aparelhos WAF, o Barracuda WAAF está disponível em vários tamanhos. Um dispositivo médio como o Modelo 360 custará cerca de US $ 6.350 e fornecerá 25 Mbps de taxa de transferência e 2.000 transações SSL por segundo.

3. Firewall de aplicativo Citrix Netscaler

O Citrix Netscaler é um dispositivo de balanceamento de carga imensamente popular. Se você já os usa, ficará feliz em saber que também pode usá-los como um firewall de aplicativo da web. A funcionalidade está disponível apenas nos principais appliances NetSclaer MPX ou no NetScaler Cloud Service. E, além disso, você precisará comprar a licença Platinum de nível superior para obtê-la gratuitamente, embora também esteja disponível como uma opção com a licença Enterprise.

A maior vantagem do NetScaler WAF é que você obtém segurança e balanceamento de carga de última geração em uma única caixa. Este é um sistema premium e tem um preço premium. Você pode esperar pagar cerca de US $ 4.000 pelo menor modelo, o MPX 5550 com uma taxa de transferência de 500 Mbps e até 1.500 transações SSL por segundo.

4. Fortinet FortiWeb

O dispositivo FortiWeb da Fortinet é mais adequado para organizações de pequeno a médio porte. O dispositivo integra WAF, balanceamento de carga e uma funcionalidade de descarregamento de SSL. Um dos melhores e mais novos recursos do dispositivo FortiWeb é o aprendizado de máquina baseado em IA de duas etapas, que melhora a precisão da detecção de ataques. quase cria um firewall de aplicativo da Web “Definir e esquecer”

O dispositivo FortiWeb protegerá sua infraestrutura contra as vulnerabilidades de aplicativos, bots e URLs suspeitos mais recentes. E seus dois mecanismos de detecção de aprendizado de máquina mantêm seus aplicativos protegidos contra todos os tipos de ameaças, como injeção de SQL, script entre sites, estouro de buffer, envenenamento de cookies, fontes maliciosas e ataques DDoS. Existem oito modelos diferentes de FortiWeb para escolher, cada um com capacidade crescente. Eles variam do nível básico 100D a 25 Mbps ao modelo 4000E com 20 Gbps de taxa de transferência.

5. F5 BIG-IP Application Security Manager (ASM)

Por último, mas não menos importante, está o dispositivo F5 BIG-IP ASM . Você deve conhecer o F5 como um dos principais concorrentes da Citrix. Eles são conhecidos por seus balanceadores de carga de primeira linha. Este é um aparelho que visa grandes empresas.

A proteção contra ameaças F5 BIG-IP ASM usa análise profunda de ameaças e aprendizado dinâmico, você quase não tem nenhuma configuração para fazer e ainda pode ter certeza de que sua infraestrutura está adequadamente protegida. Outro recurso interessante do F5 BIG-IP ASM é o descarregamento de SSL. O dispositivo irá lidar com a criptografia e descriptografia SSL em tempo real, permitindo que seus servidores da web se concentrem no que fazem melhor, servir páginas da web.

Para concluir

Com tantos produtos e serviços à sua escolha, escolher a solução WAF certa pode ser uma tarefa difícil. Eles são sistemas caros e muitas vezes requerem esforços consideráveis ​​- e treinamento - para instalar e configurar corretamente. Provavelmente, isso não é algo que você queira fazer duas vezes apenas para experimentar muitos produtos diferentes. Certifique-se de identificar com precisão suas necessidades e sua projeção de crescimento e as chances são de que você estará em uma posição melhor para escolher o WAF que melhor se adapta a você.