10 חומות האש הטובות ביותר ליישומי אינטרנט (ספקי WAF) שנבדקו בשנת 2020

חומות אש ליישומי אינטרנט–או WAFs- הם סוג חדש יחסית של חומת אש. הם לא רק חוסמים או מאפשרים תנועה על בסיס כתובות IP ונמלים, הם עוברים צעד נוסף קדימה לניתוח תנועה ולקבל החלטות על בסיס מערכת כללים מוגדרים מראש.

כפי שמשתמע משמם, מטרתם העיקרית היא לאבטח יישומים מבוססי אינטרנט. בחירת חומת אש ליישומי אינטרנט יכולה להיות משימה מפחידה. הם קיימים כשירות מבוסס ענן או כמכשיר, לכל אחד היתרונות והחסרונות שלו. לכן ריכזנו רשימה זו של עשרת חומות האש של היישומים הטובים ביותר. זה יעזור לך להעריך מאפייני מוצר מספקים שונים.

במאמר זה נתחיל בדיון בנושא חומות אש של יישומי אינטרנט, מה הם ואיזו מטרה הם משרתים. לאחר מכן נשווה בין מערכות מבוססות ענן ומכשירים מבוססי מכשיר ונמנה את היתרונות והחסרונות של כל אחת מהן. כפי שתראו, זו יותר מסתם בחירה פילוסופית. לאחר שנסיים להסביר את היסודות של WAFs, נצלול את ליבת הנושא ונציג לא אחת אלא שתי רשימות. ראשית, נסקור את ה- חמשת מכשירי WAF מבוססי ענן הטובים ביותר ולמקום הבא נראה את ה חמשת מכשירי WAF הטובים ביותר.

WAFs על קצה המזלג

כפי שציינו במבוא שלנו, חומת אש ליישומי אינטרנט היא מכשיר מסוג מיוחד. ניתן להשתמש בו כדי לאבטח יישומים מבוססי אינטרנט טובים בהרבה ממה שאפשר עם חומות אש רגילות. WAF טיפוסי יגן על אתר מפני כמה סוגים של התקפות, כגון סקריפטים חוצה אתרים, הרעלת עוגיות, גרידת רשת, חבלה בפרמטרים, הצפת מאגר ועוד סוגים רבים של פגיעויות.

בניגוד לחומות אש המסורתיות המבססות את החלטתם לאפשר או לחסום תנועה על פרמטרים פשוטים כגון כתובת IP או מספר יציאה, WAFs בעיקר מבססים את החלטתם על ניתוח מעמיק של ה- HTML נתונים. הם בוחנים בקשות המנסות לזהות דפוסי התנהגות זדוניים. הם גם יפענחו את התעבורה של HTTPS כדי להבטיח שלא יוחדר קוד זדוני במנות מוצפנות. חומות אש ליישומי אינטרנט יהיו מחפשות אחר חתימות ידועות על תוכנות זדוניות, אך הן גם יירטו כל בקשה שגויה או לא סטנדרטית להגנה מיטבית.

כשלעצמו, חומת אש ליישומי אינטרנט תציע מידה טובה של הגנה, אך זה כאשר אתה מקבץ אותה עם הגנה אחרת מערכות כמו חומות אש רגילות או תוכנת הגנה מפני וירוסים שתקבל את הכיסוי הטוב ביותר כנגד המספר הגדול ביותר של איומים. יותר מתמיד, מנהלי רשת צריכים לאמץ גישה הוליסטית למניעת תוכנות זדוניות.

מבוסס ענן או מכשיר?

ישנם למעשה שני סוגים של חומות אש ליישומי אינטרנט. מכשירי WAF יכולים להיות מבוססי ענן או לרוץ כמכשיר. ספקי WAF מבוססי ענן מתארחים על ידי הספק. כל הבקשות לאתר שלך מופנות מחדש - באמצעות קסם ה- DNS - למופע WAF שלך, שם הוא מאומת לפני שהוא מועבר לאתרך בפועל.

מכשירי WAF הם התקני חומרה. מדובר במחשבים מיוחדים, לרוב ללא ממשק משתמש כגון מסך ומקלדת שמריצים מערכת הפעלה מותאמת אישית ותוכנת חומת האש של האינטרנט. בדרך כלל הם מותקנים במרכז הנתונים שלך ונמצאים בין חומת האש המסורתית שלך לשרתי האינטרנט שלך, שם הם מיירטים בקשות שיגיעו אליהם.

יתרונות וחסרונות של WAF מבוססי ענן

בצד החזק, פתרון מבוסס ענן אינו דורש תחזוקה מכיוון שהוא מטופל על ידי הספק. פתרונות אלה כוללים בדרך כלל יתירות מובנית או תכונות זמינות גבוהה. בדרך כלל הספק מטפל בגיבוי מערכת. יתרון נוסף הוא שלעתים קרובות ניתן לשייך את שירות WAF לשירותים אחרים מאותו ספק. אתה יכול למשל לשלב את הפצת התוכן ותכונות WAF של ספק יחיד לפתרון משולב בצורה חלקה.

אך ל- WAFs מבוססי ענן יש גם כמה חסרונות. אחד החשובים שבהם הוא שהם יכולים לנעול אותך עם ספק יחיד עבור שירותים רבים. מכיוון שיש להפנות את כל התעבורה לאתר האינטרנט שלך לספק הענן, אין לך כמעט אפשרות אחרת אלא להשתמש בשירותי האבטחה האחרים שלהם, כגון חומת אש מסורתית.

מכשירי WAF יתרונות וחסרונות

היתרון העיקרי במכשירי WAF הוא בכך שאתה שומר על הכל בבית. זה נותן לך שליטה מלאה על כל פרט בתשתית שלך. זה גם אומר שאתה חופשי לבחור רכיבים שונים מספקים שונים.

מבחינת החיסרון, השימוש במכשיר אומר שאתה צריך לתחזק אותו. ותצטרך לשדרג אותה ככל שהתנועה שלך תגדל. השימוש בפתרון חומרה פירושו גם עלות גבוהה בהרבה מראש שכן יש לרכוש את כל הציוד מההתחלה. בסופו של דבר, הבחירה תלויה בך, אך ייתכן שתניח לצרכים הספציפיים שלך להדריך אותך ולא לבחור תחילה התקנה מסוג אחד.

חמשת ה- WAF המובילים שלנו בענן

ריכזנו עבורכם רשימה של חמש חומות האש של יישומי אינטרנט מבוססי יכולת. כולם מספקים מכובדים ומציעים תמורה נהדרת לכסף שלך. אנחנו לא באמת יכולים להמליץ ​​אחד על השני כיוון שהם כולם מוצרים מצוינים.

1. ענן WAF

פרח ענן צברה מוניטין מצוין בהגנה על שרתי אינטרנט מפני התקפות DDoS. מציע השירותים שלה כולל גם חומת אש ליישומי אינטרנט. לשירות כבר יש בסיס לקוחות עצום והשרתים שלו מטפלים כיום קרוב לשלושה מיליון בקשות בשנייה. ואם אתה מבקר האתר של Cloudflare, תראה שמעל 400 מיליון כללי WAF הופעלו ביום האחרון.

אחד היתרונות העיקריים של שימוש בשירות ענן עם בסיס לקוחות כה רחב הוא שתוכלו ליהנות ממודיעין שנרכש מלקוחות אחרים. לדוגמה, אם יתגלה ניסיון התקפה אצל לקוח אחר, תיווצר חתימה חדשה ויושמה על כל הלקוחות. יתרון נוסף של הפיתרון של Cloudflare הוא שהם מציעים גם אספקת תוכן והגנת DDoS.

2. מגנת אתר אקמאי קונה

אקמאי היא המובילה העולמית במערכות אספקת תוכן. לאורך כל השנים החברה הוסיפה פונקציות רבות יותר למציעה. מגנת אתר קונה, כפי שקוראים WAF שלהם, הוא אחד מהם. חומת האש של יישום האינטרנט משלבת הגנת DDoS מלאה. וכמובן, ניתן לשלב בקלות את שירות WAF עם שירותי אקמאי אחרים כמו רשת משלוח התוכן. ברגע שתעבורה שלך תנותב מחדש לאקמאי, תוכל באותה מידה לנצל אותה ולהשתמש בשירותים רבים ככל שתצטרך.

בשל גודלו ובסיס הלקוחות שלו, Akamai מגלה פעמים רבות מעלולים חדשים יותר מוקדם מאשר ספקים אחרים. כמשתמש ב- Kona Site Defender, אתה נהנה מהיתרון התחרותי הזה ומקבל באופן יעיל הגנה חזקה יותר עם חסימת פוטנציאל טובה יותר של ניצולי אפס יום.

3. F5 סילברליין

לעתים קרובות F5 ידועה יותר במכשירי ה- BIG-IP שלה מאשר בשירותי הענן שלה. על קצה המזלג, F5 סילברליין היא הגרסא המקוונת למכשיר ה- BIG-IP ASM המצוין של החברה שנבדק להלן. זה זמין כשירות מנוהל או כפי ש- F5 מתייחס אליו כשירות עצמי אקספרס כדי להגן על יישומי אינטרנט ונתונים מפני איומים שהולכים ומתפתחים. המנויים יכולים להימשך משך שנה או שלוש. תמיכה בשידור חי 24 שעות ביממה כלולה בשירות.

יתרון מרכזי אחד בשירות מבוסס ענן זה שהוא יכול להגן על תשתית מבוזרת או מתארחת בענן. ההגנה כוללת מיגון שכבה 7 של DDoS ותחסום גם כתובות אנונימיות כמו אלה הנכללות ברשת Tor. המערכת משתמשת גם ברשימה שחורה חיה של מתרגלי דיוג ומגרדי רשת ידועים. ומכיוון שהרשימה השחורה הזו משותפת לכל הלקוחות, אתם נהנים מכל אינטליגנציה שנצברה עם לקוח אחר.

4. שירותי רשת אמזון WAF

שירותי האינטרנט של אמזון - או AWS - הוא שירות אירוח מבוסס ענן בשוק המקוון. זה מנצל את התשתית העצומה המופצת של אמזון כדי להציע שירותי אירוח. אם אתה לקוח של שירותי האינטרנט של אמזון, AWS WAF יכול להיות בשבילך. שירות האינטרנט של אמזון מציע גם שירות איזון עומסים ומסירת תוכן.

מודל התמחור של שירותי האינטרנט של אמזון WAF שונה מהספקים האחרים. במקום לשלם סכום מוגדר מראש בכל חודש, אתה מחויב בגין כל כללי אבטחה שאתה מוסיף לשירות שלך ועל מספר בקשות האינטרנט שמתקבלות מדי חודש. הדבר הטוב ביותר בזה הוא שלא תצטרכו לשלם מייד עבור צמיחה עתידית כלשהי. זה מאוד מעניין גם לארגונים עם פסגות עונתיות.

5. אינקברסולה אימפרבה

אימפרבה הוא שם נפוץ נוסף בתחום אבטחת ה- IT. ה אינקפסולה חומת האש של יישומי אינטרנט מבוססי ענן, השירות המנוהל של Imperva להגנה מפני התקפות שכבת יישומים, כולל כל 10 התקפות הפיתוח הטובות ביותר של Open Web Application Project ואיומי יום אפסיים. השירות מאושר על ידי PCI וניתן להתאמה אישית רבה. זה גם יעיל ביותר ויחסום את רוב האיומים עם מינימום חיוביות שגויות.

Incapsula הוא אחד הפתרונות הזולים ביותר מבוססי WAF שתוכלו למצוא. התוכניות מתחילות עד 300 דולר לחודש. תכונה נהדרת אחת של Incapsula היא שבנוסף ל- WAF "מסורתי" יותר, המערכת גם סוקרת את התוכנה שלך שרתים וישלח טלאים לטפל בבעיות שנמצאו המספקות הגנה טובה יותר עבור האינטרנט שלך יישומים. אתה יכול, כמובן, לתזמן טלאים שיוחלו בכל שעה שתבחר להפחית את ההשפעות התפעוליות שלך.

חמשת מוצרי ה- WAF הטובים ביותר שלנו

ממש כמו ש -5 פתרונות ה- WAF המובילים בענן היו כולם מספקים ידועים, כך גם מכשירי WAF שלנו. הם מכמה מספקי ציוד האבטחה הנחשבים הידועים ביותר. ובדיוק כמו הרשימה הקודמת שלנו, אין לרשימה הזו רק את הטוב ביותר. שימו לב שרוב הספקים של מכשירי WAF מציעים גם שירות מבוסס ענן.

1. Imperva SecureSphere

אימפרבה היא אחת משני הספקים שהפכו אותה לשתי הרשימות שלנו. שלה SecureSphere WAF מכוון להתקנות קטנות יותר. היחידות השונות שהן מציעות משתנות בתפוקה של 100 מגהביט לשנייה ל 10 ג'יגה-ביט לשנייה, כאשר הקטנות ביותר מסוגלות לעבד 440 עסקאות SSL בשנייה והגדולות ביותר כ- 9000. יחידת אמצע שכבה, ל- X2020 תפוקה של 500 מגהביט לשנייה, תעבד 2000 עסקאות SSL בשנייה ותחזיר לך כ- 4200 דולר.

אם תבחר באחד הדגמים העליונים, תשמח ללמוד שהם ניתנים לשדרוג לדגם הגדול הבא. לדוגמה, ניתן לשדרג את ה- X821 ל- X 10K, ובכך למעשה להכפיל את הקיבולת שלו. ושדרוג רק דורש רכישת תיקון ורישיון תוכנה ראויים. לא נדרשים שדרוגי חומרה יקרים.

2. חומת אש ליישומי אינטרנט של ברקודה

ברקודה הוא עוד שם מכובד בתחום אבטחת ה- IT. הוא מציע פתרון WAF מצוין שמתאים באופן מושלם לארגונים קטנים ובינוניים. מכשירי Barracuda יקרים מעט יותר ממתחרים שלהם, אך הם מגיעים עם שנה של עדכונים בחינם. ולגבי עדכונים, הם מתרחשים לעתים קרובות, בכל פעם שמזהים איום חדש.

ה ברקודה WAF למכשיר יש גם כמה תכונות נוספות. לדוגמה, הוא מציע זיכרון מטמון למסירת תוכן מהירה יותר. איזון עומסים בין שרתים מרובים הוא תכונה זמינה נוספת. אתה יכול אפילו להוסיף הגנת DDoS מלאה. כמו רוב מכשירי WAF האחרים, ה- WAAF של Barracuda זמין בכמה גדלים. מכשיר ממוצע כמו דגם 360 יעלה לך כ 6350 $ וייתן לך 25 ​​Mbps תפוקה ו 2000 עסקאות SSL בשנייה.

3. חומת האש של Citrix Netscaler

ה סיטריקס נטסאלר הוא מכשיר לאיזון עומסים פופולרי ביותר. אם אתה כבר משתמש בהן, תשמח לדעת שאתה יכול להשתמש בחלקן גם כחומת אש של יישומי אינטרנט. הפונקציונליות זמינה רק במכשירי NetSclaer MPX המובילים או בשירות ענן NetScaler. יתר על כן, תצטרך לרכוש את הרישיון העליון של פלטינה כדי לקבל אותו בחינם, אף שהוא זמין כאופציה ברישיון Enterprise.

היתרון הגדול ביותר של WAF של NetScaler הוא שאתה מקבל איזון עומסים עדכני ואבטחה בתיבה אחת. זו מערכת פרימיום והיא מגיעה במחיר פרימיום. ניתן לצפות לשלם כ 4000 $ עבור הדגם הקטן ביותר, ה- MPX 5550 עם תפוקה של 500 מגהביט לשנייה ועד 1500 עסקאות SSL בשנייה.

4. פורטינט FortiWeb

מכשיר FortiWeb מבית פורטינט מתאים יותר לארגונים קטנים ובינוניים. המכשיר משלב WAF, איזון עומסים ופונקציונליות של פריקת SSL. אחת התכונות הטובות והחדשות ביותר של מכשיר FortiWeb היא למידת מכונה מבוססת AI דו-שלבית המשפרת את דיוק זיהוי ההתקפות. זה כמעט יוצר חומת אש ליישומי אינטרנט "הגדר ושכח"

מכשיר FortiWeb יגן על התשתית שלך מפני פגיעויות היישום העדכניות ביותר, בוטים וכתובות אתרים חשודות. וזיהוי הלמידה הכפולה שלה מנועים שומרים על האפליקציות שלך מפני כל מיני איומים כמו הזרקת SQL, סקריפטים בין אתרים, הצפת מאגר, הרעלת עוגיות, מקורות זדוניים ו- DDoS התקפות. ישנם שמונה דגמים שונים של FortiWeb לבחירה, כל אחד עם הגדלת הקיבולת. הם נעים בין רמת הכניסה 100D במהירות 25 Mbps לדגם העליון 4000E עם 20Gbps תפוקה.

5. מנהל אבטחת יישומי F5 BIG-IP (ASM)

אחרון חביב הוא F5 BIG-IP ASM מכשיר. אתה יכול לדעת את F5 כאחת המתחרות העיקריות של סיטריקס. הם ידועים בזכות איזון העומסים הגבוה שלהם. זהו מכשיר שממוקד לעסקים גדולים יותר.

ההגנה על האיום F5 BIG-IP ASM משתמשת בניתוח איומים מעמיק ולמידה דינמית, בקושי יש לך כל תצורה לעשות ובכל זאת אתה יכול להיות סמוך ובטוח שהתשתית שלך מוגנת כראוי. מאפיין מעניין נוסף של F5 BIG-IP ASM הוא הורדת SSL. המכשיר יטפל בהצפנה ופענוח SSL תוך כדי תנועה, ומאפשר לשרתי האינטרנט שלך להתרכז במה שהם עושים הכי טוב, ולהגיש דפי אינטרנט.

לסיכום

עם כל כך הרבה מוצרים ושירותים לבחירה, בחירת פיתרון WAF המתאימה יכולה להתברר כחופן. מדובר במערכות יקרות ולעיתים קרובות הן דורשות מאמצים ניכרים - והדרכה - כדי להתקין ולהגדיר נכון. זה כנראה לא משהו שתרצו לעשות פעמיים רק כדי לנסות מוצרים רבים ושונים. וודא שאתה מזהה במדויק את הצרכים שלך ואת השלכת הצמיחה שלך והסיכוי שתוכל להיות במצב טוב יותר לבחור את ה- WAF המתאים לך ביותר.