10 лучших межсетевых экранов для веб-приложений (от поставщиков WAF), рассмотренные в 2021 году

Межсетевые экраны веб-приложений или WAF - это относительно новый вид межсетевых экранов. Они не просто блокируют или разрешают трафик на основе IP-адресов и портов, они идут еще дальше, анализируя трафик и принимая решения на основе набора предопределенных бизнес-правил.

Как следует из их названия, их основная цель - защита веб-приложений. Выбор брандмауэра веб-приложения может быть непростой задачей. Они существуют либо как облачная служба, либо как устройство, каждое со своими преимуществами и недостатками. Вот почему мы составили этот список из 10 лучших брандмауэров веб-приложений. Это поможет вам оценить характеристики продуктов от разных поставщиков.

В этой статье мы начнем с обсуждения брандмауэров веб-приложений, что они представляют собой и для какой цели они служат. Затем мы сравним облачные системы и системы на базе устройств и перечислим плюсы и минусы каждой из них. Как вы увидите, это больше, чем просто философский выбор. После того, как мы закончим объяснение основ WAF, мы углубимся в суть нашей темы и представим не один, а два списка. Сначала мы рассмотрим пять лучших облачных WAF, а затем рассмотрим пять лучших устройств WAF .

WAF в двух словах

Как мы уже говорили во введении, брандмауэр веб-приложений - это особый тип устройства. Его можно использовать для защиты веб-приложений намного лучше, чем это возможно с помощью стандартных брандмауэров. Типичный WAF защищает веб-сайт от нескольких типов атак, таких как межсайтовый скриптинг, отравление файлов cookie, извлечение веб-страниц, изменение параметров, переполнение буфера и многие другие типы уязвимостей.

В отличие от традиционных брандмауэров, которые принимают решение о разрешении или блокировании трафика на основе простых параметров, таких как IP-адрес или номер порта, WAF в основном основывают свое решение на глубоком анализе данных HTML. Они проверяют запросы, пытаясь распознать вредоносные модели поведения. Они также будут расшифровывать трафик HTTPS, чтобы гарантировать, что вредоносный код не будет вставлен в зашифрованные пакеты. Брандмауэры веб-приложений будут искать известные сигнатуры вредоносных программ, но они также будут перехватывать любые искаженные или нестандартные запросы для обеспечения наилучшей защиты.

Сам по себе брандмауэр веб-приложений обеспечивает хорошую степень защиты, но только когда вы связываете его с другими системами защиты, такими как стандартные брандмауэры или программное обеспечение для защиты от вирусов, вы получите наилучшее покрытие от наибольшего количества угроз. Более чем когда-либо сетевым администраторам необходимо применять целостный подход к предотвращению вредоносных программ.

Облачные технологии или устройства?

По сути, существует два типа межсетевых экранов веб-приложений. WAF могут быть облачными или запускаться как устройство. Облачные WAF размещаются поставщиком. Все запросы на ваш веб-сайт перенаправляются - с помощью магии DNS - на ваш экземпляр WAF, где он проверяется перед переадресацией на ваш реальный сайт.

WAF для устройств - это аппаратные устройства. Это специализированные компьютеры, как правило, без пользовательского интерфейса, такого как экран и клавиатура, на которых работает пользовательская операционная система и программное обеспечение брандмауэра веб-приложений. Обычно они устанавливаются в вашем центре обработки данных и располагаются между вашим традиционным брандмауэром и вашими веб-серверами, где они перехватывают поступающие к ним запросы.

Облачные WAF за и против

С другой стороны, облачное решение не требует обслуживания, поскольку им занимается поставщик. Эти решения обычно имеют встроенные функции резервирования или высокой доступности. Поставщик также обычно занимается резервным копированием системы. Еще одно преимущество состоит в том, что сервис WAF часто можно использовать в паре с другими сервисами того же поставщика. Вы можете, например, объединить функции распространения контента и WAF от одного поставщика для получения полностью интегрированного решения.

Но у облачных WAF есть и несколько недостатков. Одним из наиболее важных является то, что они могут привязать вас к одному поставщику многих услуг. Поскольку весь трафик на ваш веб-сайт должен быть перенаправлен на облачного провайдера, у вас почти нет другого выбора, кроме как использовать другие его службы безопасности, такие как традиционный брандмауэр.

Плюсы и минусы устройств WAF

Главное преимущество техники WAF в том, что вы храните все дома. Это дает вам полный контроль над каждой деталью вашей инфраструктуры. Это также означает, что вы можете выбирать разные компоненты от разных поставщиков.

С другой стороны, использование прибора означает, что вы должны его обслуживать. И вам придется обновлять его по мере увеличения вашего трафика. Использование аппаратного решения также означает гораздо более высокие первоначальные затраты, поскольку все оборудование необходимо приобретать с самого начала. В конечном итоге выбор остается за вами, но вы, возможно, должны позволить своим конкретным потребностям руководствоваться вами, а не сначала выбирать один тип установки.

Наш топ-5 лучших облачных WAF

Мы составили список из пяти лучших межсетевых экранов для веб-приложений, основанных на возможности. Все они от надежных поставщиков и предлагают отличное соотношение цены и качества. Мы не можем рекомендовать одно перед другими, так как все они отличные продукты.

1. Cloudflare WAF

Cloudflare заработал отличную репутацию в области защиты веб-серверов от DDoS-атак. Его сервисное предложение также включает брандмауэр веб-приложений. У сервиса уже есть огромная клиентская база, и его серверы в настоящее время обрабатывают около трех миллионов запросов в секунду. А если вы посетите веб-сайт Cloudflare , вы увидите, что за последний день сработало более 400 миллионов правил WAF.

Одно из основных преимуществ использования облачной службы с такой широкой клиентской базой заключается в том, что вы можете извлекать выгоду из аналитических данных, полученных от других клиентов. Например, если попытка атаки обнаружена на другом клиенте, будет создана новая подпись, которая будет применена ко всем клиентам. Еще одно преимущество решения Cloudflare заключается в том, что оно также предлагает доставку контента и защиту от DDoS-атак.

2. Защитник сайта Акамай Кона

Akamai - мировой лидер в области систем доставки контента. С годами компания расширила функциональные возможности своего предложения. Kona Site Defender , как называется их WAF, является одним из них. Брандмауэр веб-приложений обеспечивает полную защиту от DDoS-атак. И, конечно же, сервис WAF можно легко комбинировать с другими сервисами Akamai, такими как Content Delivery Network. Как только ваш трафик будет перенаправлен на Akamai, вы можете воспользоваться им и использовать столько сервисов, сколько вам нужно.

Из-за своего размера и клиентской базы Akamai часто обнаруживает новые эксплойты раньше, чем другие поставщики. Как пользователь Kona Site Defender вы извлекаете выгоду из этого конкурентного преимущества и эффективно получаете более надежную защиту с потенциально лучшей блокировкой эксплойтов нулевого дня.

3. F5 Silverline

F5 часто больше известна своими устройствами BIG-IP, чем облачными сервисами. Короче говоря, F5 Silverline - это онлайн-версия превосходного устройства BIG-IP ASM, рассмотренного ниже. Он доступен как управляемая служба или как то, что F5 называет экспресс-самообслуживанием для защиты веб-приложений и данных от постоянно развивающихся угроз. Подписки могут длиться один или три года. 24-часовая живая поддержка включена в услугу.

Одним из основных преимуществ этой облачной службы является то, что она может защищать распределенную или размещенную в облаке инфраструктуру. Защита включает в себя защиту от DDoS-атак на уровне 7, а также блокирует анонимные адреса, подобные тем, которые являются частью сети Tor. Система также использует живой черный список известных практиков фишинга и парсеров. А поскольку этот черный список используется всеми клиентами, вы получаете выгоду от любой информации, полученной с другим клиентом.

4. Amazon Web Services WAF

Amazon Web Services или AWS - это облачный хостинг на всемирно известной торговой площадке. Он использует огромную распределенную инфраструктуру Amazon для предоставления услуг хостинга. Если вы являетесь клиентом Amazon Web Services, AWS WAF может быть для вас. Amazon Web Service также предлагает услуги балансировки нагрузки и доставки контента.

Модель ценообразования Amazon Web Services WAF отличается от других поставщиков. Вместо того, чтобы платить заранее определенную сумму каждый месяц, вам выставляется счет за каждое правило безопасности, которое вы добавляете в свою службу, и за количество веб-запросов, получаемых каждый месяц. Самое лучшее в этом то, что вам не нужно сразу платить за будущий рост. Также это очень интересно организациям с сезонными пиками.

5. Imperva Incapsula

Imperva - еще одно распространенное имя в области ИТ-безопасности. В  Incapsula управляемого облачной службы Web Application Firewall Imperva для защиты от атак на уровне приложений, в том числе всех 10 лучших атак Open Web Application Security Project и угроз нулевого дня. Услуга сертифицирована по стандарту PCI и отличается широкими возможностями настройки. Он также очень эффективен и блокирует большинство угроз с минимальным количеством ложных срабатываний.

Incapsula - одно из самых дешевых облачных решений WAF, которые вы можете найти. Планы начинаются от 300 долларов в месяц. Одной из замечательных особенностей Incapsula является то, что в дополнение к более «традиционному» WAF система также опрашивает ваши серверы и отправляет исправления для решения обнаруженных проблем, обеспечивая лучшую защиту ваших веб-приложений. Вы, конечно, можете запланировать применение исправлений в любое время, которое вы выберете, чтобы уменьшить ваши операционные воздействия.

Наш топ-5 лучших устройств WAF

Точно так же, как наши 5 лучших облачных решений WAF были от известных поставщиков, так же обстоит дело и с нашими устройствами WAF. Они от одних из самых уважаемых поставщиков оборудования для обеспечения безопасности. И, как и в нашем предыдущем списке, в этом нет ничего, кроме самого лучшего. Обратите внимание, что большинство поставщиков устройств WAF также предлагают облачные сервисы.

1. Imperva SecureSphere

Imperva - один из двух поставщиков, попавших в оба наших списка. Его SecureSphere WAF предназначен для небольших установок. Различные блоки, которые они предлагают, различаются по пропускной способности от 100 Мбит / с до 10 Гбит / с, причем наименьший из них способен обрабатывать 440 транзакций SSL в секунду, а более крупный - около 9000. Устройство среднего уровня, X2020, имеет пропускную способность 500 Мбит / с, будет обрабатывать 2000 SSL. транзакций в секунду и обойдется вам примерно в 4200 долларов.

Если вы выберете одну из моделей высшего уровня, вы будете рады узнать, что их можно обновить до следующей более крупной модели. Например, X821 можно модернизировать до X 10K, фактически удвоив его емкость. А для обновления требуется только покупка подходящего программного исправления и лицензии. Никаких дорогостоящих обновлений оборудования не требуется.

2. Брандмауэр веб-приложений Barracuda

Barracuda - еще одно уважаемое имя в области ИТ-безопасности. Он предлагает отличное решение WAF, которое идеально подходит для малых и средних организаций. Устройства Barracuda несколько дороже, чем у их конкурентов, но они поставляются с одним годом бесплатных обновлений. Что касается обновлений, они происходят часто, когда обнаруживается новая угроза.

Устройство Barracuda WAF также имеет несколько дополнительных функций. Например, он предлагает кеширование для более быстрой доставки контента. Балансировка нагрузки между несколькими серверами - еще одна доступная функция. Вы даже можете добавить полную защиту от DDoS-атак. Как и большинство других устройств WAF, Barracuda WAAF доступен в нескольких размерах. Среднее устройство, такое как Model 360, обойдется вам примерно в 6350 долларов и даст вам пропускную способность 25 Мбит / с и 2000 транзакций SSL в секунду.

3. Брандмауэр приложений Citrix Netscaler.

Citrix NetScaler является чрезвычайно популярной балансировки нагрузки прибора. Если вы уже используете их, вы будете рады узнать, что вы также можете использовать некоторые из них в качестве брандмауэра веб-приложений. Функциональность доступна только в топовых устройствах NetSclaer MPX или в облачной службе NetScaler. И, кроме того, вам необходимо приобрести лицензию Platinum высшего уровня, чтобы получить ее бесплатно, хотя она также доступна в качестве опции с лицензией Enterprise.

Самым большим преимуществом NetScaler WAF является то, что вы получаете самые современные функции балансировки нагрузки и безопасности в одном устройстве. Это система премиум-класса, и она стоит дорого. Вы можете рассчитывать заплатить около 4000 долларов за самую маленькую модель MPX 5550 с пропускной способностью 500 Мбит / с и до 1500 транзакций SSL в секунду.

4. Fortinet FortiWeb

Устройство FortiWeb от Fortinet лучше подходит для малых и средних организаций. Устройство объединяет функции WAF, балансировки нагрузки и разгрузки SSL. Одна из лучших и новейших функций устройства FortiWeb - это двухэтапное машинное обучение на основе искусственного интеллекта, которое повышает точность обнаружения атак. он почти создает брандмауэр веб-приложений «Установил и забыл»

Устройство FortiWeb защитит вашу инфраструктуру от новейших уязвимостей приложений, ботов и подозрительных URL-адресов. А его двойные механизмы обнаружения машинного обучения защищают ваши приложения от всех видов угроз, таких как внедрение SQL, межсайтовые сценарии, переполнение буфера, отравление файлов cookie, вредоносные источники и DDoS-атаки. На выбор предлагается восемь различных моделей FortiWeb, каждая с увеличивающейся емкостью. Они варьируются от 100D начального уровня со скоростью 25 Мбит / с до топовой модели 4000E с пропускной способностью 20 Гбит / с.

5. F5 BIG-IP Application Security Manager (ASM).

И последнее, но не менее важное - это устройство F5 BIG-IP ASM . Возможно, вы знаете F5 как одного из основных конкурентов Citrix. Они известны своими первоклассными балансировщиками нагрузки. Это устройство, предназначенное для крупных предприятий.

Защита от угроз F5 BIG-IP ASM использует глубокий анализ угроз и динамическое обучение, вам практически не нужно настраивать конфигурацию, но вы можете быть уверены, что ваша инфраструктура должным образом защищена. Еще одна интересная особенность F5 BIG-IP ASM - это разгрузка SSL. Устройство будет обрабатывать SSL-шифрование и дешифрование на лету, позволяя вашим веб-серверам сосредоточиться на том, что они делают лучше всего, - на обслуживании веб-страниц.

В заключении

При таком большом количестве продуктов и услуг выбор правильного решения WAF может оказаться затруднительным. Это дорогие системы, и для их правильной установки и настройки часто требуются значительные усилия и обучение. Вероятно, это не то, что вам нужно делать дважды, чтобы попробовать много разных продуктов. Убедитесь, что вы точно определили свои потребности и свой прогноз роста, и, скорее всего, у вас будет больше шансов выбрать WAF, который вам больше всего подходит.