10 besten Webanwendungs-Firewalls (WAF-Anbieter) im Jahr 2020 überprüft

Webanwendungs-Firewalls-oder WAFs–Sind eine relativ neue Art von Firewall. Sie blockieren oder erlauben nicht nur Datenverkehr basierend auf IP-Adressen und Ports, sondern gehen noch einen Schritt weiter, um den Datenverkehr zu analysieren und Entscheidungen basierend auf einer Reihe vordefinierter Geschäftsregeln zu treffen.

Wie der Name schon sagt, besteht ihr Hauptzweck darin, webbasierte Anwendungen zu sichern. Die Auswahl einer Webanwendungs-Firewall kann eine entmutigende Aufgabe sein. Sie existieren entweder als Cloud-basierter Dienst oder als Appliance mit ihren Vor- und Nachteilen. Aus diesem Grund haben wir diese Liste der 10 besten Webanwendungs-Firewalls zusammengestellt. Es hilft Ihnen bei der Bewertung von Produktfunktionen verschiedener Anbieter.

In diesem Artikel beginnen wir mit einer Diskussion über Webanwendungs-Firewalls, was sie sind und welchen Zweck sie erfüllen. Anschließend vergleichen wir Cloud-basierte und Appliance-basierte Systeme und listen die Vor- und Nachteile der einzelnen Systeme auf. Wie Sie sehen werden, ist dies mehr als nur eine philosophische Entscheidung. Nachdem wir die Grundlagen der WAFs erklärt haben, werden wir uns mit dem Kern unseres Themas befassen und nicht nur eine, sondern zwei Listen präsentieren. Zunächst überprüfen wir die

besten fünf Cloud-basierten WAFs und als nächstes schauen wir uns das an besten fünf WAF-Geräte.

WAFs auf den Punkt gebracht

Wie bereits in unserer Einführung erwähnt, ist eine Webanwendungs-Firewall eine besondere Art von Gerät. Es kann verwendet werden, um webbasierte Anwendungen weitaus besser zu sichern, als dies mit Standard-Firewalls möglich ist. Eine typische WAF schützt eine Website vor verschiedenen Arten von Angriffen wie Cross-Site-Scripting, Cookie-Vergiftung, Web-Scraping, Manipulation von Parametern, Pufferüberlauf und viele weitere Arten von Schwachstellen.

Im Gegensatz zu herkömmlichen Firewalls, die ihre Entscheidung, Datenverkehr zuzulassen oder zu blockieren, auf einfachen Parametern basieren Wie IP-Adresse oder Portnummer stützen WAFs ihre Entscheidung meist auf eine eingehende Analyse des HTML-Codes Daten. Sie untersuchen Anfragen, die versuchen, böswillige Verhaltensmuster zu erkennen. Sie entschlüsseln auch den HTTPS-Verkehr, um sicherzustellen, dass kein bösartiger Code in verschlüsselte Pakete eingefügt wird. Webanwendungsfirewalls suchen nach bekannten Malware-Signaturen, fangen jedoch auch fehlerhafte oder nicht standardmäßige Anforderungen ab, um den bestmöglichen Schutz zu gewährleisten.

Eine Webanwendungs-Firewall bietet an sich ein gutes Maß an Schutz, wenn Sie sie jedoch mit einem anderen Schutz bündeln Systeme wie Standard-Firewalls oder Virenschutzsoftware, mit denen Sie die beste Abdeckung gegen die meisten von ihnen erhalten Bedrohungen. Netzwerkadministratoren müssen mehr denn je einen ganzheitlichen Ansatz zur Verhinderung von Malware verfolgen.

Cloud-basiert oder Appliance?

Grundsätzlich gibt es zwei Arten von Webanwendungs-Firewalls. WAFs können entweder cloudbasiert sein oder als Appliance ausgeführt werden. Cloud-basierte WAFs werden vom Anbieter gehostet. Alle Anfragen an Ihre Website werden - durch die Magie von DNS - an Ihre WAF-Instanz weitergeleitet, wo sie überprüft werden, bevor sie an Ihre eigentliche Site weitergeleitet werden.

Appliance-WAFs sind Hardwaregeräte. Hierbei handelt es sich um spezialisierte Computer, in der Regel ohne Benutzeroberfläche wie Bildschirm und Tastatur, auf denen ein benutzerdefiniertes Betriebssystem und die Web Application Firewall-Software ausgeführt werden. Sie werden normalerweise in Ihrem Rechenzentrum installiert und befinden sich zwischen Ihrer herkömmlichen Firewall und Ihren Webservern, auf denen sie an sie gerichtete Anforderungen abfangen.

Cloud-basierte WAFs Vor- und Nachteile

Auf der positiven Seite erfordert eine Cloud-basierte Lösung keine Wartung, da sie vom Anbieter verwaltet wird. Diese Lösungen verfügen normalerweise über integrierte Redundanz- oder Hochverfügbarkeitsfunktionen. Der Anbieter verwaltet normalerweise auch Systemsicherungen. Ein weiterer Vorteil besteht darin, dass der WAF-Dienst häufig mit anderen Diensten desselben Anbieters gekoppelt werden kann. Sie können beispielsweise die Funktionen für Inhaltsverteilung und WAF eines einzelnen Anbieters für eine nahtlos integrierte Lösung kombinieren.

Cloud-basierte WAFs haben jedoch auch einige Nachteile. Eines der wichtigsten ist, dass Sie für viele Dienste an einen einzigen Anbieter gebunden werden können. Da der gesamte Datenverkehr auf Ihrer Website an den Cloud-Anbieter umgeleitet werden muss, haben Sie fast keine andere Wahl, als die anderen Sicherheitsdienste wie eine herkömmliche Firewall zu verwenden.

Vor- und Nachteile von WAF Appliances

Der Hauptvorteil von WAF-Geräten besteht darin, dass Sie alles im Haus behalten. Sie haben die vollständige Kontrolle über jedes Detail Ihrer Infrastruktur. Dies bedeutet auch, dass Sie verschiedene Komponenten von verschiedenen Anbietern auswählen können.

Wenn Sie ein Gerät verwenden, müssen Sie es warten. Und Sie müssen es aktualisieren, wenn Ihr Datenverkehr zunimmt. Die Verwendung einer Hardwarelösung bedeutet auch viel höhere Vorabkosten, da alle Geräte von Anfang an erworben werden müssen. Letztendlich liegt die Wahl bei Ihnen, aber Sie sollten sich möglicherweise von Ihren spezifischen Anforderungen leiten lassen, anstatt zuerst einen Installationstyp auszuwählen.

Unsere Top 5 der besten Cloud-basierten WAFs

Wir haben eine Liste der fünf besten Webanwendungs-Firewalls zusammengestellt. Sie stammen alle von seriösen Lieferanten und bieten ein hervorragendes Preis-Leistungs-Verhältnis. Wir können eines nicht wirklich empfehlen, da es sich bei allen um hervorragende Produkte handelt.

1. Cloudflare WAF

Cloudflare hat sich einen hervorragenden Ruf als Schutz von Webservern vor DDoS-Angriffen erarbeitet. Das Serviceangebot umfasst auch eine Webanwendungs-Firewall. Der Service hat bereits einen riesigen Kundenstamm und seine Server verarbeiten derzeit fast drei Millionen Anfragen pro Sekunde. Und wenn Sie besuchen Cloudflare-WebsiteSie werden sehen, dass am letzten Tag über 400 Millionen WAF-Regeln ausgelöst wurden.

Einer der Hauptvorteile der Verwendung eines Cloud-Dienstes mit einer so breiten Kundenbasis besteht darin, dass Sie von den Informationen anderer Kunden profitieren können. Wenn beispielsweise ein Angriffsversuch auf einem anderen Client erkannt wird, wird eine neue Signatur erstellt und auf alle Clients angewendet. Ein weiterer Vorteil der Cloudflare-Lösung besteht darin, dass sie auch Inhaltsbereitstellung und DDoS-Schutz bietet.

2. Akamai Kona Site Defender

Akamai ist weltweit führend bei Content Delivery-Systemen. Im Laufe der Jahre hat das Unternehmen sein Angebot um weitere Funktionen erweitert. Kona Site Defender, wie ihr WAF genannt wird, ist einer von ihnen. Die Webanwendungs-Firewall integriert den vollständigen DDoS-Schutz. Natürlich kann der WAF-Dienst auch problemlos mit anderen Akamai-Diensten wie dem Content Delivery Network kombiniert werden. Sobald Ihr Datenverkehr nach Akamai umgeleitet wurde, können Sie ihn auch nutzen und so viele Dienste nutzen, wie Sie benötigen.

Aufgrund seiner Größe und seines Kundenstamms entdeckt Akamai neue Exploits häufig früher als andere Anbieter. Als Kona Site Defender-Benutzer profitieren Sie von diesem Wettbewerbsvorteil und erhalten effektiv einen stärkeren Schutz durch potenziell bessere Blockierung von Zero-Day-Exploits.

3. F5 Silverline

F5 ist oft besser für seine BIG-IP-Appliances bekannt als für seine Cloud-Dienste. In einer Nussschale, F5 Silverline ist die Online-Version der hervorragenden BIG-IP ASM-Appliance des Unternehmens (siehe unten). Es ist als verwalteter Dienst oder als Express-Self-Service verfügbar, um Webanwendungen und Daten vor sich ständig weiterentwickelnden Bedrohungen zu schützen. Abonnements können eine Laufzeit von einem Jahr oder drei Jahren haben. Der Service umfasst einen 24-Stunden-Live-Support.

Ein Hauptvorteil dieses Cloud-basierten Dienstes besteht darin, dass er eine verteilte oder in der Cloud gehostete Infrastruktur schützen kann. Der Schutz umfasst die DDoS-Abschirmung der Schicht 7 und blockiert auch anonymisierte Adressen, wie sie Teil des Tor-Netzwerks sind. Das System verwendet auch eine Live-Blacklist bekannter Phishing-Experten und Web-Scraper. Und da diese schwarze Liste von allen Kunden geteilt wird, profitieren Sie von allen Informationen, die Sie mit einem anderen Kunden erhalten.

4. Amazon Web Services WAF

Amazon Web Services (AWS) ist der Cloud-basierte Hosting-Service des allgemein bekannten Online-Marktplatzes. Es nutzt die riesige verteilte Infrastruktur von Amazon, um Hosting-Services anzubieten. Wenn Sie Kunde der Amazon Web Services sind, wird die AWS WAF könnte für dich sein. Amazon Web Service bietet auch einen Lastausgleichs- und Inhaltslieferdienst.

Das Preismodell des Amazon Web Services WAF unterscheidet sich von anderen Anbietern. Anstatt jeden Monat einen vordefinierten Betrag zu zahlen, wird Ihnen jede Sicherheitsregel in Rechnung gestellt, die Sie Ihrem Service hinzufügen, und die Anzahl der Webanfragen, die jeden Monat eingehen. Das Beste daran ist, dass Sie nicht sofort für zukünftiges Wachstum bezahlen müssen. Es ist auch sehr interessant für Organisationen mit saisonalen Spitzen.

5. Imperva Incapsula

Imperva ist ein weiterer gebräuchlicher Name im Bereich IT-Sicherheit. Das Incapsula Cloud-basierte Webanwendungs-Firewall Der von Imperva verwaltete Dienst zum Schutz vor Angriffen auf Anwendungsebene, einschließlich aller Top-10-Angriffe und Zero-Day-Bedrohungen von Open Web Application Security Project. Der Service ist PCI-zertifiziert und hochgradig anpassbar. Es ist auch sehr effektiv und blockiert die meisten Bedrohungen mit minimalen Fehlalarmen.

Incapsula ist eine der billigsten Cloud-basierten WAF-Lösungen, die Sie finden können. Pläne beginnen schon bei 300 US-Dollar pro Monat. Ein großartiges Merkmal von Incapsula ist, dass das System neben einem „traditionelleren“ WAF auch Ihre Daten erfasst Server und sendet Patches, um gefundene Probleme zu beheben und Ihren Web besser zu schützen Anwendungen. Sie können natürlich festlegen, dass Patches zu jedem Zeitpunkt angewendet werden sollen, um Ihre betrieblichen Auswirkungen zu verringern.

Unsere Top 5 der besten WAF-Geräte

Genau wie unsere Top 5 Cloud-basierten WAF-Lösungen alle von bekannten Anbietern stammen, ist dies auch bei unseren WAF-Appliances der Fall. Sie stammen von einigen der renommiertesten Anbieter von Sicherheitsausrüstung. Und genau wie unsere vorherige Liste hat diese nur das Beste. Beachten Sie, dass die meisten Anbieter von WAF-Appliances auch einen Cloud-basierten Dienst anbieten.

1. Imperva SecureSphere

Imperva ist einer der beiden Anbieter, die es in unsere beiden Listen geschafft haben. Es ist SecureSphere WAF zielt auf kleinere Installationen ab. Die verschiedenen von ihnen vorgeschlagenen Einheiten variieren im Durchsatz von 100 Mbit / s bis 10 Gbit / s, wobei die kleinste 440 SSL-Transaktionen pro Sekunde verarbeiten kann und die größere etwa 9000. Der X2020 ist ein Mid-Tier-Gerät mit einem Durchsatz von 500 Mbit / s, verarbeitet 2000 SSL-Transaktionen pro Sekunde und bringt Ihnen rund 4200 US-Dollar zurück.

Wenn Sie sich für eines der Topmodelle entscheiden, werden Sie froh sein zu erfahren, dass diese auf das nächstgrößere Modell aufgerüstet werden können. Zum Beispiel kann der X821 auf einen X 10K aufgerüstet werden, wodurch sich seine Kapazität effektiv verdoppelt. Für ein Upgrade ist lediglich der Kauf eines geeigneten Software-Patches und einer Lizenz erforderlich. Es sind keine kostspieligen Hardware-Upgrades erforderlich.

2. Barracuda Web Application Firewall

Barracuda ist ein weiterer angesehener Name im Bereich der IT-Sicherheit. Es wird eine hervorragende WAF-Lösung vorgeschlagen, die sich perfekt für kleine und mittlere Unternehmen eignet. Die Barracuda-Geräte sind etwas teurer als die ihrer Konkurrenten, bieten jedoch ein Jahr lang kostenlose Updates. Und über Updates finden sie häufig statt, wenn eine neue Bedrohung erkannt wird.

Das Barracuda WAF Gerät hat auch ein paar zusätzliche Funktionen. Zum Beispiel bietet es Caching für eine schnellere Bereitstellung von Inhalten. Der Lastausgleich zwischen mehreren Servern ist eine weitere verfügbare Funktion. Sie können sogar einen vollständigen DDoS-Schutz hinzufügen. Wie die meisten anderen WAF-Geräte ist der Barracuda WAAF in verschiedenen Größen erhältlich. Ein durchschnittliches Gerät wie das Modell 360 kostet etwa 6350 US-Dollar und bietet Ihnen einen Durchsatz von 25 Mbit / s und 2000 SSL-Transaktionen pro Sekunde.

3. Citrix Netscaler Application Firewall

Das Citrix Netscaler ist eine äußerst beliebte Load-Balancing-Appliance. Wenn Sie sie bereits verwenden, werden Sie froh sein zu wissen, dass Sie einige von ihnen auch als Webanwendungs-Firewall verwenden können. Die Funktionalität ist nur in den Top-NetSclaer MPX-Appliances oder im NetScaler Cloud Service verfügbar. Darüber hinaus müssen Sie die Top-Tier-Platin-Lizenz erwerben, um sie kostenlos zu erhalten. Sie ist jedoch auch als Option mit der Enterprise-Lizenz erhältlich.

Der größte Vorteil des NetScaler WAF besteht darin, dass Sie Lastausgleich und Sicherheit auf dem neuesten Stand der Technik in einer Box erhalten. Dies ist ein Premium-System und es kommt zu einem Premium-Preis. Für das kleinste Modell, den MPX 5550 mit einem Durchsatz von 500 Mbit / s und bis zu 1500 SSL-Transaktionen pro Sekunde, können Sie mit rund 4000 US-Dollar rechnen.

4. Fortinet FortiWeb

Die FortiWeb-Appliance von Fortinet eignet sich besser für kleinere bis mittlere Unternehmen. Die Appliance integriert WAF, Load Balancing und eine SSL-Offloading-Funktion. Eine der besten und neuesten Funktionen der FortiWeb-Appliance ist das zweistufige AI-basierte maschinelle Lernen, das die Genauigkeit der Angriffserkennung verbessert. Es wird fast eine Webanwendungs-Firewall zum Festlegen und Vergessen erstellt

Die FortiWeb-Appliance schützt Ihre Infrastruktur vor den neuesten Anwendungsschwachstellen, Bots und verdächtigen URLs. Und seine duale Erkennung des maschinellen Lernens Engines schützen Ihre Anwendungen vor allen Arten von Bedrohungen wie SQL-Injection, Cross-Site-Scripting, Pufferüberläufen, Cookie-Vergiftung, böswilligen Quellen und DDoS Anschläge. Es stehen acht verschiedene FortiWeb-Modelle mit zunehmender Kapazität zur Auswahl. Sie reichen vom Einstiegsmodell 100D mit 25 Mbit / s bis zum Topmodell 4000E mit 20 Gbit / s Durchsatz.

5. F5 BIG-IP-Anwendungssicherheitsmanager (ASM)

Last but not least ist das F5 BIG-IP ASM Gerät. Möglicherweise kennen Sie F5 als einen der Hauptkonkurrenten von Citrix. Sie sind bekannt für ihre erstklassigen Load Balancer. Dies ist eine Appliance, die sich an größere Unternehmen richtet.

Der F5 BIG-IP ASM-Bedrohungsschutz verwendet eine umfassende Bedrohungsanalyse und dynamisches Lernen. Sie müssen kaum eine Konfiguration vornehmen und können dennoch sicher sein, dass Ihre Infrastruktur angemessen geschützt ist. Ein weiteres interessantes Merkmal des F5 BIG-IP ASM ist das SSL-Offloading. Das Gerät übernimmt die SSL-Ver- und Entschlüsselung im laufenden Betrieb, sodass sich Ihre Webserver auf das konzentrieren können, was sie am besten können, und Webseiten bedienen.

Abschließend

Bei so vielen Produkten und Dienstleistungen kann sich die Auswahl der richtigen WAF-Lösung als eine Handvoll herausstellen. Sie sind teure Systeme und erfordern oft erhebliche Anstrengungen - und Schulungen -, um sie richtig einzurichten und zu konfigurieren. Dies ist wahrscheinlich nicht das, was Sie zweimal tun möchten, nur um viele verschiedene Produkte auszuprobieren. Stellen Sie sicher, dass Sie Ihre Bedürfnisse und Ihre Wachstumsprognose genau identifizieren und die Chancen stehen, dass Sie besser in der Lage sind, die WAF zu wählen, die am besten zu Ihnen passt.