Købervejledning til WAF'er - 11 bedste webapplikationsfirewalls for 2022
Hvis du har en onlinevirksomhed, skal du forhindre, at din webside bliver ødelagt af hackere. Hvis dit websted bliver inficeret af hackerkoder, vil søgemaskinerne ikke linke til det. Beskyt din virksomhed med en webapplikations firewall.
EN Web Application Firewall ( WAF ) løsning tilbyder beskyttelse til webservere. Din WAF vil overvåge trafikken mellem internettet og din webapplikation og derefter filtrere eller blokere trafik baseret på et sæt regler/politikker.
Webapplikationsfirewalls beskytter mod angreb, herunder SQL-injektion, cross-site-scripting (XSS) og cookieforgiftning og er en væsentlig komponent i din defensive strategi.
Her er vores liste over de bedste webapplikationsfirewalls:
- AppTrana Managed Web Application Firewall REDAKTØRENS VALG En fuldt administreret webapplikationsfirewall leveret af Indusface med medfølgende applikationsscanner, CDN og administrerede brugerdefinerede sikkerhedsregler med Zero WAF False-positive forsikring understøttet af SLA og 24×7 support.
- StackPath Web Application Firewall (GRATIS PRØVE) En cloud-baseret firewall, der er en del af en 'edge'-løsning.
- Website Firewall Juices (LÆS MERE) En del af en suite af offsite applikationssikkerhedstjenester, der også inkluderer DDoS-beskyttelse.
- Fortinet FortiWeb En edge-tjenestepakke, der tilbyder en webapplikations-firewall, en SSL-off-loader og en load balancer i en cloud-tjeneste, en appliance eller VM.
- Imperva Cloud WAF En cloud-baseret webapplikationsfirewall med en tilsvarende anordning på stedet kaldet Imperva WAF Gateway.
- Barracuda Web Application Firewall Denne WAF er tilgængelig som et SaaS-system, en privat cloud, et apparat eller en VM, og inkluderer også sårbarhedsscanning og forebyggelse af datatab.
- Prophaze Web Application Firewall Tilpasset, alt-i-en Multi/Hybrid/Privat/SaaS/Kubernetes-baseret WAF med Bot Protection, RASP, DDoS, CDN-løsning. Hurtig on-boarding, ubegrænset SSL-certifikater og 24/7 support.
- MS Azure Web Application Firewall En cloud-baseret WAF, der kan beskytte webservere hvor som helst. Dette er en målt service.
- F5 Essential App Protect En cloud-baseret WAF, der henvender sig til ikke-tekniske kunder, så den er nem at opsætte og administrere.
- Cloudflare WAF Cloud-baseret løsning, der kan kombineres med DDoS-beskyttelse.
- Akamai Kona Site Defender Kombinerer en offsite WAF- og DDoS-beskyttelse.
De bedste webapplikationsfirewalls
Mange webapplikationsfirewalludbydere forsøger at erobre så meget af markedet som muligt ved at tilbyde deres WAF-systemer i så mange konfigurationer som muligt. Så i mange tilfælde kan den samme WAF leveres som en softwarepakke, der kører på en virtuel maskine, som et netværksapparat eller som et cloud-baseret SaaS-system. Det er også muligt at få en cloud-baseret WAF som en fuldt administreret tjeneste.
Vores metode til at vælge en webapplikations firewall
Vi gennemgik markedet for WAF'er og analyserede mulighederne ud fra følgende kriterier:
- Et cloud-baseret system
- Integreret DDoS-beskyttelse
- Tilsløring af en virksomheds sande IP-adresse
- Sikker kanal til videresendelse af trafik
- Hurtig databehandling, der ikke bremser almindelig trafik
- En gratis prøveperiode eller en demo-mulighed, der muliggør en vurdering uden betaling
- Værdi for pengene fra et multifunktionsbeskyttelsessystem til en rimelig pris
Ved at bruge dette sæt kriterier ledte vi efter edge-platforme, der blandt andet tilbyder webapplikations firewall-funktioner og tilbyder abonnementspriser uden opsætningsomkostninger.
1. AppTrana Managed Web Application Firewall (GRATIS PRØVE)
AppTrana fra Indusface leverer en fuldt administreret webapplikationsfirewall med indholdsacceleration og CDN over skyen. Alt du skal gøre er at dirigere din trafik via AppTrana-tjenesten, der hostes i flere regioner i AWS-datacentre af Indusface.
Nøglefunktioner:
- Administreret service
- Indholdsleveringsnetværk
- Leveringsacceleration
- Failover beskyttelse
- Sikkerhedsvurderinger
AppTrana kommer ud af boksen med optimerede kerne-administrerede regelsæt, der kan sættes i blokeret tilstand med det samme baseret på det optimerede kerneregelsæt Indusface har udviklet ved at lave sikkerhedsvurderinger af tusindvis af andre websteder. Når kunderne først er kommet ombord, kan de lave en on-demand automatiseret sikkerhedsvurdering af hjemmesiden og få øjeblikkelig indsigt i, om de allerede er beskyttet af WAF eller kræver brugerdefinerede sikkerhedsregler.
Dem, der kræver brugerdefinerede regler, kan anmodes om fra den centraliserede portal, og 24×7 MSS-teamet fra Indusface vil oprette en brugerdefineret regel med Zero WAF falsk-positiv sikkerhed og beskytte dem. Websitets ydeevne forbedres via et bundtet CDN inkluderet i tjenesten.
Fordele:
- Ingen onboarding omkostninger
- Teknikere og sikkerhedsanalytikere inkluderet i pakken
- Distribueret leveringssystem
- DDoS beskyttelse
- Hostet på AWS
Ulemper:
- Du overlader kontrollen over din webtilstedeværelse til en ekstern virksomhed
AppTrana plan er tilgængelig som en abonnementstjeneste sammen med en 14-dages gratis prøveperiode . Gratis prøveregistreringer tilmeldes automatisk til en gratis for evigt Basic-plan, som inkluderer automatisk sikkerhedsscanning to gange om måneden for dit websted.
REDAKTØRENS VALG
AppTrana Managed Web Application Firewall er vores bedste valg i denne roundup. Det omfatter tjenester fra et team af eksperter, der udmærker sig inden for netværksbeskyttelse. Tjenesten omfatter mange andre sikkerhedstjenester ud over de sædvanlige webapplikations firewall-funktioner. Indusfaces tekniske team, der arbejder på denne tjeneste, filtrerer snakken fra rapportering af sikkerhedsanordninger fra og tager en stor belastning af de tekniske ledere i kundevirksomheder.
Placeringen af denne tjeneste i skyen fjerner også behovet for, at du skal købe ind og administrere specialhardware på stedet for at beskytte dit netværk. Indusface blev opkaldt afGartner Peer Insight Kundernes valgi alle syv sektioner afVoice of Customer WAAP 2022rapport.
Start 14-dages gratis prøveperiode:industry.com/products/application-security/web-application-firewall/
DU:Cloud-baseret
2. StackPath Web Application Firewall (GRATIS PRØVE)
Det Web Application Firewall er en af en række cloud-baserede tjenester, der tilbydes af StackPath som har specialiseret sig i 'edge technology'. Dette udtryk refererer til teknikken til at skubbe tilsluttede tjenester ud til kanten af dit netværk og derefter og lidt videre. StackPath er en abonnementsbaseret cloud-tjeneste, der fanger al din trafik, før den når din webserver .
Offsite-konfigurationen af StackPath giver ekstra beskyttelse til din webserver som enhver ondsindet kode får ikke engang en chance for at røre ved dine ressourcer .
Nøglefunktioner:
- Virusbeskyttelse
- Proxy service
- DDoS beskyttelse
- IP-adresse vurdering
Webtrafikken på vej til dit websted bliver omdirigeret til først at ankomme til StackPath-serveren. De tre grundlæggende forsvar, der tilbydes af denne tjeneste, er: IP-adresse vurdering , browser validering , og brug af indholdsbaserede routingregler . Denne metode fokuserer på sandsynligheden for, at indgående anmodninger kommer fra tvivlsomme kilder. Kildefiltreringen lukker også ned for ethvert DDoS-angrebsforsøg.
Kun valideret trafik videresendes til din webserver. Al den behandling foregår så hurtigt, at almindelige brugere ikke oplever nogen forringelse af forbindelseshastigheden.
Fordele:
- Tilbyder en række vurderinger for indkommende anmodninger
- Browser fingeraftryk og validering
- Valgfri routing til at betjene anmodninger
- Hurtige vurderinger
Ulemper:
- Du skal have tekniske færdigheder for at få det bedste ud af denne service
StackPath tilbyder Web Application Firewall gratis den første måneds service.
StackPath Web Application Firewall Første måned gratis
3. Juices Website Firewall (LÆS MERE)
Det Sucuri Web Application Firewall er en del af en række af webstedsbeskyttelsesforanstaltninger. Sucuri cloud-baserede beskyttelsessystem er en onlinetjeneste. Dit websteds adresse er hostet på Sucuris server, også al din webtrafik går derhen først.
Nøglefunktioner:
- Proxy service
- DDoS beskyttelse
- Hurtig scanning
Sucuri-tjenesten bortfiltrerer ondsindet trafik gennem en række teknikker. Virksomheden vedligeholder en database med angrebssignaturer, som løbende opdateres, så dit websted drager fordel af beskyttelsesstrategier, som Sucuri har lært, når det forsvarer andre websteder .
Servicepakken inkluderer ydelsesoptimering og DDoS-beskyttelse. Sucuri-serveren blokerer ondsindet trafik og videresender alle bona fide-anmodninger til din webserver. denne proces sker så hurtigt, at besøgende ikke vil bemærke nogen opbremsning i leveringen af dine websider.
Leveringsydelsen forbedres af caching, hvilket betyder selvom dit websted er nede på grund af vedligeholdelse, vil besøgende stadig kunne få adgang til dine websider .
Fordele:
- Website trafikintervention
- Leveringsacceleration
- Trusselsintelligens
Ulemper:
- Du skal selv oprette forbindelsen
Sucuri Web Application Firewall er tilgængelig som en abonnementstjeneste, og priserne starter fra $9,99/måned for deres basispakke. Se plandetaljer på deres hjemmeside.
Sucuri Web Application Firewall Se plandetaljer
4. Fortinet FortiWeb
Det FortiWeb WAF fra Fortinet tilbydes som et SaaS-system, som en VM-baseret softwarepakke eller som en appliance. Softwaren til WAF er også tilgængelig til privat cloud-hosting og kan implementeres som et containerbaseret system.
Nøglefunktioner:
- Respekteret mærke
- DDoS beskyttelse
- Trusselsintelligens
FortiWeb-systemet fungerer en DDoS-beskyttelsestjeneste når det tilgås som cloud-tjenesten eller som en apparat. Webapplikationens firewall undersøger al trafik, der rejser til netværket, og implementerer AI-baseret maskinlæring for at opdage mistænkelig aktivitet. FortiWeb bruger også en trusselsefterretningsfeed at holde sig ajour med de nyeste hackerangrebsstrategier og leder efter adfærdsmønstre, der afviger fra den beregnede norm og ser ud til at lede mod et typisk angreb.
WAF kan kombineres med en SSL off-loader og en belastningsbalancer .
Fordele:
- Få det som en virtuel enhed, en fysisk enhed eller en SaaS-pakke
- Selvstyret
- Muligheder for at integrere andre Fortinet sikkerhedssystemer
Ulemper:
- Fungerer bedst med en komplet suite af Fortinet-systemer
Skytjenesten opkræves via abonnement, og dens dashboard kan tilgås gennem enhver standardbrowser, hvor som helst. Netværksapparatversionen er tilgængelig i otte modeller, der varierer i kapacitet fra 25 Mbps til 20 Gbps.
5. Imperva Cloud WAF
Imperva er en vigtig spiller i cybersikkerhedsindustrien, og dens WAF-tjenester er omfattende. Onlineversionen af Impervas webapplikations firewall fungerer som en proxy-server , fanger al indgående trafik og rydder op i den, før den sendes videre til den beskyttede webserver.
Nøglefunktioner:
- Proxy service
- Kontinuitet til webstedets tilgængelighed
- Sikkerhedspatching
Imperva Cloud WAF-tjenesten er partnerskab med andre webforbedringstjenester, som f.eks et indholdsleveringsnetværk (CDN) , som fremskynder leveringen af websider og giver også konstant tilgængelighed, hvis hovedserveren skulle gå ned til vedligeholdelse eller blive beskadiget på en eller anden måde. WAF omfatter en virtuel patching service, som anvender alle nødvendige patches på det beskyttede system og giver webstedets tilgængelighed, mens webserveren afvises.
Fordele:
- Systemhærdningsservice til webservere
- Beskyttelse mod ondsindet trafikangreb
- Leveringsacceleration
Ulemper:
- On-site version kræver køb af et apparat
Imperva tilbyder en administreret servicemulighed for sin Cloud WAF, som omfatter specialister og teknikere til at køre sikkerhedssoftwaren. En on-site version af Imperva sikkerhedstjeneste er tilgængelig på en række netværksapparater, kaldet Imperva WAF Gateway.
6. Barracuda Web Application Firewall
Det Barracuda Web Application Firewall er tilgængelig som et SaaS-system, en appliance, som en virtuel appliance eller til installation på en privat cloud-konto. Denne fleksibilitet i implementeringen betyder, at WAF kan være velegnet til virksomheder af enhver størrelse.
Nøglefunktioner:
- Implementeringsmuligheder
- Blokerer malware og inficerede sider
- Trafiksikring
WAF kanaliserer al trafik til en webserver – både indgående og udgående . Det er i stand til at spotte og blokere trafikbaserede angreb, malware og angrebsforsøg på siden. Tjenesten bruger både blacklisting, til at blokere hackere og whitelisting, for kun at tillade adgang til gyldige brugere fra specifikke enheder.
Trafikovervågningssystemet i Barracuda WAF giver også forebyggelse af datatab . Dette gør det muligt for virksomheder at overholde databeskyttelsesstandarder, såsom PCI DSS. Indgående trafik blokeres, hvis der registreres forkerte forbindelsesanmodninger, hvilket betyder et DDoS-angreb . Under disse omstændigheder absorberer og kasserer WAF-serveren volumenangreb, hvilket tillader ægte forbindelsesanmodninger igennem.
Fordele:
- SaaS-platform, fysisk enhed eller virtuel enhed
- Omvendt firewall for databeskyttelse også
- DDoS beskyttelse
Ulemper:
- Hvidevarer kan være dyre
De netværksapparater, der tilbydes af Barracuda, varierer i kapacitet fra 25 Mbps til 10 Gbps.
7. Prophaze Web Application Firewall
Prophaze WAF-as-a-Service er en cloud-baseret proxy-server, der fungerer som en webapplikations firewall. Prophaze-tjenesten omfatter AI rutiner der forfiner detektionsreglerne ved at justere basislinjen for standardadfærd. Denne funktion hjælper med at reducere antallet af falske alarmer og hjælper med at give ægte besøgende ubegrænset adgang.
Nøglefunktioner:
- Tilpasset alt-i-en Multi/Hybrid/Privat/SaaS/Kubernetes-baseret WAF
- Inkluderer botbeskyttelse + RASP + DDOS + CDN-løsning med ubegrænsede regler
- Ombordstigning på kun 15 minutter
- Ubegrænset gratis SSL-certifikat
- 24 x 7 Support på Teams/Zoom/Google med dataopbevaring i 30 dage
- Profhaze-tjenesten opkræves ved abonnement med tre tilgængelige abonnementer. Den højeste plan, kaldet SaaS, har multi-tenant-kapacitet, hvilket gør den velegnet til brug af MSP'er. Du kan få en gratis prøveversion af Prophaze WAF-as-a-Service.
Prophase systemet selv opererer med Kubernetes containere og er også i stand til at overvåge ydeevnen og sikkerheden af dit eget systems Kubernetes-aktiviteter samt udføre traditionel hackeraktivitetsdetektion.
Du behøver ikke at være ekspert for at bruge Prophaze WAF. Virksomheden retter sit produkt mod små virksomheder, så det er designet med ikke-tekniske brugere i tankerne. Skærmbillederne i dashboardet tilgås gennem enhver standardbrowser, og de er overskuelige og overskuelige.
Fordele:
- Blokerer vira og inficerede websteder
- Lukker hackertrafik ud
- Systemhærdning
Ulemper:
- Ingen on-site version
Funktioner omfatter DDoS beskyttelse og virtuel patching . Det hærder det beskyttede system og forhindrer tab af data, og hjælper med overholdelse af GDPR, HIPAA, CCPA, PCI-DSS og SOC2.
8. MS Azure Web Application Firewall
Microsoft Azure er et velkendt hypervisor-system, der er en af de mest succesrige cloud-platforme, der findes. Ligesom AWS tilbyder Azure-divisionen af Microsoft ikke kun platformsystemet til cloud-tjenester, det producerer også en række software, der leverer hjælpeprogrammer til andre systemer. Web Application Firewall er et af disse produkter.
Nøglefunktioner:
- Stærkt mærke
- Trafikfiltrering
- Data beskyttelse
Som med enhver WAF, denne tjeneste fungerer som fuldmægtig . Al din indgående trafik flyder først gennem Azure-serveren, den inspiceres, og mistænkelig trafik bliver blokeret, med al anden trafik videregivet til din webserver. Denne edge-servicemodel gør også Azure WAF til en fremragende facilitet til DDoS-beskyttelse og belastningsbalancering. Al udgående trafik fra din webserver bliver også dirigeret gennem WAF, som undersøger trafik for datatabshændelser . Så dette er en komplet to-vejs webtrafiksikkerhedstjeneste.
Systemet sporer automatisk efter de ti bedste sårbarheder, som er logget af Åbn Web Application Security Project (OWASP). Det har standardregler indlejret i det, men din serveradministrator kan justere disse og tilføje tilpassede regler også.
Det, der adskiller Azure fra de andre edge-tjenester på denne liste, er, at det ikke opkræves via abonnement. Det har den i stedet en afmålt afgiftssats . Dette faktum og fraværet af opsætningsgebyrer gør dette til en fremragende service for startups og små virksomheder såvel som de største virksomheder i verden.
Fordele:
- Tilbyder forebyggelse af datatab gennem en omvendt firewall
- Blokerer DDoS-angreb
- Sårbarhedsscanning
Ulemper:
- Retrospektiv opkrævning kunne give store fakturaer
Pristaksten for Azure WAF er beregnet på en kombination af en timepris og en datagennemstrømningshastighed og opkræves månedligt bagud. Det er en meget lavere forudgående pris end andre skybaserede abonnements-WAF'er, som forventer, at abonnementsgebyret skal betales på forhånd. Hvad der er endnu bedre er det de første 10 TB data om måneden er gratis for alle undtagen de laveste trafikniveauer og virksomheder med meget trafik får op til 40 TB overførsel om måneden gratis. Azure Web Application Firewall kan undersøges som en del af en 12-måneders Azure gratis prøveperiode .
9. F5 Essential App Protect
F5 er en veletableret udbyder af cybersikkerhedstjenester og ejer NGINX, Inc , producenten af det meget udbredte Nginx-webserversystem. F5 og NGINX ekspertise bidrog til den fælles produktion af F5 Essential App Protect cloud-baseret webapplikationsserver.
Nøglefunktioner:
- Linket til NGINX
- Nem at sætte op
- Implementeringsmuligheder
Teknologien bag F5 Essential App Protect kom fra en tilpasning af F5 Application Security Manager – en allerede eksisterende WAF, der blev leveret på et netværksapparat. Apparatversionen af firewallen eksisterer stadig, og den hedder nu BIG-IP Advanced WAF . NGINX-versionen er en tilføjelse til Nginx Plus webserversystem og leveres så som en softwaredownload.
F5 Essential App Protect er designet med ikke-tekniske brugere i tankerne, så det er det let at sætte op og administrer via et dashboard, der tilgås via enhver browser.
Fordele:
- Muligheder for implementering på stedet på et apparat
- Kan leveres som et plug-in til NGINX webserveren
- Trusselsintelligens
Ulemper:
- Servicen gennemgår en ombygning
Funktionerne i Essential App Protect WAF inkluderer et trusselsintelligens-feed fra F5 Labs og fuld beskyttelse af API'er, sider og webtjenester. F5 tilbud en 15-dages gratis prøveperiode af Essential App Protect, som har begrænsninger for behandlingsvolumen.
10. Cloudflare WAF
Cloudflare har fået stor succes med at beskytte webhosts mod DDoS-angreb, og de udvider deres beskyttelse med en webapplikations firewall. Dette er en onlinetjeneste, der er meget udbredt. Deres servere administrerer 2,9 millioner anmodninger hvert sekund på vegne af deres store kundebase.
Nøglefunktioner:
- Gratis mulighed
- Indholdsleveringsnetværk
- Failover beskyttelse
Fordelen ved at abonnere på en meget brugt cloud WAF som Cloudflare er, at virksomheden kan anvende stordriftsfordele til sin trusselsforskning. Et angrebsforsøg på én kunde bølger øjeblikkeligt igennem til en sortlistepost for alle webservere beskyttet af Cloudflare . Hvis du har en cloud-baseret server central i din virksomhed eller som et indholdsleveringssystem inkluderet i din webpræsentation, så kan Cloudflare også dække det. Det er en meget enkel opgave at integrere fuld Cloudflare DDoS-beskyttelse sammen med dit WAF-abonnement.
Fordele:
- En meget stor kundepulje med fælles trusselsintelligens
- DDoS beskyttelse
- Leveringsacceleration
Ulemper:
- Forvirrende liste over muligheder
11. Smart Kona Site Defender
Akamai er en af verdens førende inden for DDoS-reduktion, og den integrerer fuld DDoS-beskyttelse med sin webapplikations-firewall i en cloud-tjeneste kaldet Site Defender. En stor fordel ved at kombinere begge disse tjenester i ét sikkerhedsprodukt er, at du behøver ikke at få din trafik dirigeret gennem to forskellige selskaber for at få ægte anmodninger til din webserver.
Nøglefunktioner:
- DDoS beskyttelse
- Trusselsintelligens
- Kombinerede tjenester
Som en af de førende inden for online sikkerhedsprodukter er Akamai ofte den første til at opdage nye udnyttelser. Som kunde hos Site Defender drager du fordel af denne 'ahead of the curve'-information med det samme med strammere og smartere blokeringer af hackertrafik.
Fordele:
- Kombinerer malware-filtrering med DDoS-beskyttelse
- Angrebsanalyse
- Hostet system
Ulemper:
- Ingen mulighed for selvvært
Hvilke angreb beskytter WAF'er mod?
En webapplikationsfirewall eller WAF skal beskytte din webserver og dens indhold mod følgende kategorier af angreb:
- Cross-site scripting (XSS) – ondsindet HTML-kode indsat i et websideindtastningsfelt af en hacker
- Skjult felt manipulation – hackere omskriver kildekoden på en webside for at ændre værdier i skjulte felter og sender derefter den ændrede kode tilbage til serveren
- Småkageforgiftning – ændring af parameterværdier i cookies for at korrupte data, der sendes mellem websider
- Web skrabning – automatiseret dataudtræk fra websider
- Layer 7 DoS-angreb – overvældende en webserver ved rekursiv applikationsaktivitet
- Parametermanipulation – ændring af værdier i parametrene til et websidekald
- Bufferoverløb – brugerinput, der overskriver koden i hukommelsen
- Bagdør eller Fejlfindingsindstillinger – udviklerfeedback-rapporter til test af websider, der kan bruges af hackere til at få adgang til processoren
- Stealth kommanderende – et angreb på en webservers operativsystem
- Tvunget browsing – hackeren får adgang til backup eller midlertidige mapper på webserveren
- Tredjeparts fejlkonfigurationer – manipulation af indholdsindlæg leveret af andre virksomheder
- websted sårbarheder / SQL-injektioner – forespørgsler indtastet i brugergodkendelsesfelter
Selvom en WAF fungerer som en frontend til et websted, leveres en række vigtige adgangskontrolfunktioner, som din webhost har brug for, ikke af denne teknologi. WAF'er fokuserer på HTTP-kode og anmodningsprocedurerne for andre internetapplikationer, såsom FTP. I disse tilfælde vil de sikre versioner af disse applikationsprotokoller, HTTPS og SFTP er også dækket .
Her er, hvordan WAF'er fungerer
WAF'er leder efter uregelmæssigheder indeholdt i indgående anmodninger og blokerer forkerte eller lumske konstruktioner. En WAF er ikke ansvarlig for belastningsbalancering mellem en klynge af servere. Selvom nogle typer DDoS-angreb bruger HTTP, bruger de fleste metoder på lavere niveau. Så en WAF vil beskytte dig mod HTTP- og FTP-applikationsniveau/lag 7 DDoS-angreb, men ikke dem, der udføres af andre strategier.
WAF konfigurationer
En WAF skal være en del af din webhostingsbeskyttelsesstrategi. Det kan implementeres som en hardwareløsning eller som software.
Tilhængere af software WAF'er hævder, at du allerede har tilstrækkelig hardware til rådighed, du skal blot udvide mulighederne for dit eksisterende udstyr for at få en webapplikations firewall. Den ideelle placering for WAF er dog foran dine servere, og de fleste softwareløsninger installeres direkte på webserveren.
WAF placering
Det bedste sted at placere din WAF er på routeren, der fungerer som en gateway mellem dit netværk (og dermed din server) og internettet. Denne strategi indebærer, at den bedste mulighed ville være en router, der har en integreret WAF. Dette ville være et selvstændigt stykke udstyr, og det ville forhindre skadelig trafik eller hackerudforskning i at nå din dyrebare server.
Software vs hardware WAF-overvejelser
Så hvad skal du vælge for at kontrollere omkostningerne? Software WAF'er er billigere end hardwareløsninger. Tro dog ikke, at der ikke er nogen hardwareomkostninger ved at installere WAF-software på dine servere. Du har sikkert planlagt din serverhardwarekapacitet, så tilføjelse af en ekstra funktion vil optage diskplads, bruge hukommelse og binde CPU-processorer. Du skal muligvis udvide din serverkapacitet for at være vært for en WAF, så der er hardwareomkostninger involveret.
Onsite færdighedssæt er også en overvejelse. Det er sandsynligt, at dit systemadministrationspersonale alle er fortrolige med din servers operativsystem, men ville være klodset omkring en ny enheds firmware. Brugere af hardware WAF har en tendens til at behandle dem som sorte bokse og gribe meget mindre ind i deres operationer, end de gør med software WAF'er - hvilket kunne være en god ting.
Både hardware og software WAFS kommer med patches og opdateringssupport. Opdatering af softwareversionerne kræver dog normalt dit samtykke og administration for hver installation, hvorimod hardware WAF'er har en tendens til at blive opdateret direkte af udbyderen, hvilket efterlader dig uden tidskrævende patch management problemer.
Generelt udfører både hardware WAF og software WAF'er de samme opgaver. Hardware WAF'er holder ekstra belastning fra dine servere, og de kan fortsætte med at arbejde, selv når du vil tage en af dine servere ned. En hardware WAF er mere pålidelig og kan stå alene til at udføre sit arbejde. Selvom hardware WAF'er sandsynligvis er bedre muligheder end software WAF'er, har administratorer en tendens til at foretrække tilgængeligheden og tilpasningsmulighederne for software WAF'er.
Webapplikations firewallfunktioner
Ikke alene skal du scanne al brugeraktivitet, når en webside er live, men du skal også tjekke koden på dine websider, inklusive hyldevare-plugins leveret af eksterne virksomheder. Kodningsfejl og valideringsoversites er kendt som zero-day sårbarheder. De er ikke-standard stier, der kunne give en hacker adgang til din webserver. Hvis hackere opdager disse sikkerhedsfejl, før du eller udbyderen af indsat kode ser problemet, vil du blive udsat for et zero-day angreb, som muligvis ikke er dækket af din WAF.
Værdien af en WAF ligger i de regler, den gælder for brugersvar. Disse regelindstillinger udfører valideringsprocedurer, der beskytter din webserver mod ondsindet aktivitet ved at udforme aktiviteter for at få øje på og diktere handlinger, der skal udføres, når en udnyttelse opdages. Regler vil blive skrevet for specifikt at blokere velkendte angrebsstrategier. Ekstra, mere fleksible regler i WAF’s rutiner er dog nyttige til at identificere nul-dagstrusler.
Se også: Bedste gratis port scannere
Relaterede: Bedste sikkerhedsværktøjer til registrering af indtrængen
WAF vs NextGen Firewalls vs Intrusion Prevention Systems (IPS)
Hackere bliver mere og mere sofistikerede og heldigvis også cyberforsvarssystemer. Du kan dog være forvirret over de forskellige kategorier af netværksbeskyttelse, der nu er tilgængelige.
Forskellen mellem en system til forebyggelse af indtrængen (IPS) og enhver type firewall er meget nem at få øje på. Firewallen forsvarer grænsen for et system, mens IPS'en overvåger trafikken inden for netværket. En IPS er en avanceret form for en Intrusion Detection System (IDS) . Mens en IDS opdager mistænkelig aktivitet, inkluderer en IPS procedurer til at lukke den ned.
Næste generation af firewalls omfatter normalt mange af de teknikker, der bruges af IPS'er. Det vil sige, at de registrerer al aktivitet i stedet for blot at undersøge hver pakke, når den passerer gennem gatewayen. NGFW'er sidder dog ved gatewayen mellem netværket og omverdenen, mens IPS'er fokuserer på trafikken inden for netværket. En WAF undersøger specifikt webtrafik, der føres gennem HTTPS- og SSL-protokollerne. Kort sagt ser NGFW på trafik, der kommer ind på netværket, mens WAF vogter webserveren.
Hardwarebaserede vs skybaserede WAF'er: Fordele og ulemper
Valget af dit eget udstyr eller en cloud-infrastrukturløsning kan ofte afhænge af dine egne præferencer for hver konfiguration. For eksempel er nogle mennesker utilpas med at outsource elementer af deres netværk, og sikkerhedsfunktionerne på en webhost er særligt følsomme emner.
Cloud-baserede WAFs Cons
WAF står foran alle dine andre enheder, og det skal derfor være målet for din URL. Det betyder, at du ikke længere har direkte kontrol over din trafik, fordi alle DNS-registreringer vil dirigere websitebesøgende til cloud-infrastrukturen først.
Hvor cloud WAF'er tilbydes af virksomheder, der inkluderer andre front-end sikkerhedstjenester, giver det mening at kombinere disse i én pakke. For eksempel, hvis din valgte WAF-udbyder ikke har en DDoS-beskyttelsestjeneste, skal du videresende din trafik til en anden cloud-tjeneste for at blive fuldt dækket af alle trusler . Hvis du tager en WAF-skytjeneste ud, kan du låse dig til ét online sikkerhedsfirma for al din onlinebeskyttelse og begrænse dine muligheder.
WAF'er undersøger indholdet af pakker, så de skal fjerne al krypteringsbeskyttelse, før de kan udføre deres hovedopgave. Det betyder, at du skal aflevere dit SSL-certifikat til cloud WAF-udbyderen, hvilket effektivt overgiver alle de datasikkerhedsfunktioner, der beskytter din webhost, dit indhold og dine kunders sikkerhed.
Du skal have stor tillid til din cloud WAF-udbyder for at være parat til at lade denne tredjepart stå i mellem dig og dine kunder.
Cloud-baserede WAF'er Fordele
På den anden side betyder omdømmet og ekspertisen hos de bedste cloud WAF-udbydere, at du ikke behøver at være bekymret for at blive svigtet. Virksomhederne på vores liste er specialiserede i netværks- og sikkerhedstjenester. Deres akkumulerede ekspertise er meget større, end du kunne få for din egen virksomhed internt. Der er sandsynligvis større risiko for dit websteds tilgængelighed og sikkerhed, hvis du forsøger at dække alle de komplicerede opgaver, som disse problemer involverer.
Cloud-baserede løsninger kan betales på månedsbasis , sprede omkostningerne ved din webapplikationssikkerhed. I nogle tilfælde bliver du kun opkrævet for din webgennemstrømning, så du kan udskyde betalingen for din beskyttelse til slutningen af måneden, hvor serviceniveauet er beregnet og faktureret.
Hvis du allerede outsourcer dele af din drift, er du allerede kommet overens med den cloud-baserede driftsmetode, og det ville derfor ikke være for svært også at outsource dit WAF. Du skal muligvis skifte fra eksisterende udbydere, hvis det giver bedre logistisk og økonomisk mening at kombinere andre tjenester, såsom DDoS-beskyttelse og belastningsbalancering, med din nye WAF.
Hardware-baserede WAF'er Cons
Når du overvejer omkostningerne ved en hardware WAF, skal du tilføje omkostningerne ved at installere, huse, beskytte og vedligeholde den. Online WAF'er opdateres automatisk, så de altid er opdaterede og klar til at tackle den seneste nye trussel. Det kan være dyrt at få det niveau af beredskab på din egen WAF-enhed.
De fleste hardware WAF-leverandører tilbyder en opdateringstjeneste. Rettelserne til nye trusler sendes automatisk til din WAF-enhed over internettet, og den vil forny sin firmware uden din indgriben . I tilfælde af nogle nye trusler skal andet udstyr og software på dit netværk muligvis opdateres, og supporttjenesten fra din WAF-udbyder vil også give dig dem.
Denne proces kaldes 'virtuel patching', og det er WAF-versionen af klassiske firewall-databaseopdateringer. Men selvom alle hardwareleverandørerne på vores liste tilbyder virtuel patching, er det ikke alle, der inkluderer denne service gratis. Hvor opdateringstjenesten er inkluderet, er den normalt kun gratis det første år. Derefter skal du betale ekstra for support af dit interne WAF.
De forudgående omkostninger ved at købe en hardware WAF kan være en ubelejlig udgift, når du kæmper for at få dit nye webfirma operationelt. Hvis du giver afkald på denne applikationssikkerhedsløsning i første omgang, kan du blive lullet ind i den tro, at det er en unødvendig ekstra, selv når du kommer til det punkt, hvor du har penge til overs . Dette er et farligt scenarie, fordi du først vil indse, at du har brug for WAF-beskyttelse, når du er blevet ramt af et angreb. Inden da vil dit websted være blokeret af søgemaskiner for at indeholde skadelig kode, og du vil blive sendt ud af drift.
Hardwarebaserede WAF'er Fordele
Hvis du kører din egen webserver, ved du sikkert allerede meget om netværk og internetsystemer. Du har muligvis brug for en load balancer, når du først har sat ekstra servere på for at håndtere efterspørgslen. Hvis det er tilfældet, kan du købe en kombineret webcache, load balancer og WAF kombineret og få alle dine frontend-krav behandlet af én enhed.
At have din egen WAF betyder, at du ikke behøver at afgive din webadresse til en tredjepart. Hvis du på et tidspunkt har brug for omfattende DDoS-beskyttelse, så skal din URL gå til DDoS-afhjælpningsudbyderen. I dette tilfælde behøver du dog ikke at begrænse dit valg af DDoS-beskyttelse til den, der leveres af din cloud WAF-virksomhed. Du vil ikke være forpligtet til at dirigere din URL til at give din WAF.
Valg af en webapplikations firewallløsning
Uanset om du foretrækker at have din egen WAF på dit netværk, eller du synes, det ville være bedre at gå efter en cloud-baseret WAF-løsning, har denne anmeldelse givet dig fem muligheder at overveje. Det kan være meget tidskrævende at vælge nyt udstyr, software og tjenester til din virksomhed. I denne guide har vi taget os af den første fase for dig.
Din næste opgave er at indsnævre dine muligheder. Det ekstra ekstra, som hver af disse WAF-leverandører tilbyder, vil lede dig mod det valg. Kapaciteten af hver tjeneste er også en vigtig overvejelse, og du bør tage højde for skalerbarhed, så der tages højde for dine fremtidige udvidelsesplaner.
Tag beslutningen om, hvorvidt du vil vælge en dedikeret hardware eller cloud-baseret WAF, og tjek derefter hver af de fem, der er anført i den kategori. Det ville være en fejl at overse den beskyttelse, som en dedikeret webapplikationsfirewall tilbyder din organisation. Vent ikke, til det er for sent, og dit websted allerede er blevet angrebet. Få en WAF på plads nu for at holde din hjemmeside online.
Ofte stillede spørgsmål om webapplikationsfirewall
Hvad er forskellen mellem en normal firewall og en WAF?
Netværks- og slutpunktsfirewalls fungerer på et lavere stakniveau end webapplikationsfirewalls. Som navnet antyder, undersøger WAF'er attributter på Application Layer (Layer 7), hvorimod typiske firewalls arbejder på Network Layer (Layer 3). Så hver ser på forskellige egenskaber ved indgående trafik. En anden stor forskel mellem disse to tjenester er, at en typisk firewall integreres i arkitekturen af en netværksgateway (eller computernetværksgrænseflade), men WAF'er har en omvendt proxy-konfiguration.
Hvad er WAF-reglerne?
WAF-regler er en liste over ting, som firewallen skal holde øje med. De er specifikke karakteristika i webtrafik og de specifikke steder at lede efter dem i datastrømmen. Regler kaldes også 'politikker'. De inkluderer handlingen til at påtage sig detektering af et angrebsforsøg, som normalt bare involverer ikke at sende den trafik videre til den server, der beskyttes.
Hvad er de 3 typer firewalls?
De tre typer firewalls erpakkefiltre,stateful pakkeinspektion, ogproxy server firewalls.
- Pakkefiltre ser på de tekniske egenskaber ved alle pakker, der rejser ind og ud af et netværk og dropper dem, der ikke matcher et givet mønster eller matcher en liste over sortlistede karakteristika.
- Stateful packet inspection (SPI), også kendt som dynamisk pakkefiltrering, fungerer også på netværkslaget, men det registrerer individuelle pakkekarakteristika, så det kan spotte angreb, der er opdelt på tværs af flere pakker.
- En WAF er en proxyserver-firewall, fordi al trafik dirigeres gennem WAF'en på vej til serveren. Den opererer på Application Layer og erstatter den beskyttede servers IP-adresse med sin egen.