10 bästa brandväggar för webbapplikationer (WAF-leverantörer) Granskad år 2020

Webbprogrammets brandväggar-eller Wafs- är en relativt ny typ av brandvägg. De blockerar eller tillåter inte bara trafik baserat på IP-adresser och portar, de går ett steg längre för att analysera trafik och fatta beslut baserat på en uppsättning fördefinierade affärsregler.

Som deras namn antyder är deras huvudsyfte att säkra webbaserade applikationer. Att välja en webbapplikationsfirewall kan vara en skrämmande uppgift. De finns antingen som en molnbaserad tjänst eller som en apparat, var och en med sina fördelar och brister. Det är därför vi har sammanställt den här listan med de 10 bästa brandväggarna för webbapplikationer. Det hjälper dig att utvärdera produktfunktioner från olika leverantörer.

I den här artikeln börjar vi med en diskussion om webbapplikations brandväggar, vad de är och vilket syfte de tjänar. Vi jämför sedan molnbaserade och apparatbaserade system och listar fördelar och nackdelar med var och en. Som ni ser är det mer än bara ett filosofiskt val. När vi har gjort förklaringen av grunderna för WAF: er kommer vi att dyka in i kärnan i vårt ämne och inte presentera en utan två listor. Först granskar vi

bästa fem molnbaserade WAF: er och nästa gång ska vi titta på bästa fem WAF-apparater.

WAFs i ett nötskal

Som vi sade i vår introduktion är en webbapplikationsfirewall en speciell typ av enhet. Det kan användas för att säkra webbaserade applikationer som är mycket bättre än vad som är möjligt med vanliga brandväggar. En typisk WAF kommer att skydda en webbplats mot flera typer av attacker, till exempel skript på flera webbplatser, cookieförgiftning, skrapning av webben, manipulation av parametrar, buffertöverskridning och många fler typer av sårbarheter.

Till skillnad från traditionella brandväggar som baserar sitt beslut att tillåta eller blockera trafik på enkla parametrar till exempel IP-adress eller portnummer baserar WAF: s huvudsak sitt beslut på en djupgående analys av HTML data. De granskar förfrågningar som försöker känna igen skadliga beteendemönster. De kommer också att dekryptera HTTPS-trafik för att se till att det inte finns någon skadlig kod i krypterade paket. Web Application Firewalls letar efter kända malware-signaturer, men de kommer också att fånga upp eventuella missbildade eller icke-standardförfrågningar för bästa möjliga skydd.

I sig själv kommer en webbapplikationsfirewall att erbjuda en bra grad av skydd, men det är när du buntar det med annat skydd system som vanliga brandväggar eller virusskyddsprogramvara som du får bästa täckning mot det största antalet hot. Mer än någonsin måste nätverksadministratörer anta en helhetssyn på förebyggande av skadlig programvara.

Molnbaserad eller apparat?

Det finns i huvudsak två typer av webbapplikationsbrandväggar. WAF: er kan vara antingen molnbaserade eller köras som en apparat. Molnbaserade WAF: er värd av leverantören. Alla förfrågningar till din webbplats omdirigeras - genom magin med DNS - till din WAF-instans där den verifieras innan den vidarebefordras till din faktiska webbplats.

Apparaten WAF är hårdvara. Det är specialiserade datorer, vanligtvis utan användargränssnitt som en skärm och tangentbord som kör ett anpassat operativsystem och Web Application Firewall-programvaran. De installeras vanligtvis i ditt datacenter och finns mellan din traditionella brandvägg och dina webbservrar där de avlyssnar förfrågningar som går till dem.

Molnbaserade WAF-för- och nackdelar

På plussidan kräver en molnbaserad lösning inget underhåll eftersom den hanteras av leverantören. Dessa lösningar har vanligtvis inbyggd redundans eller funktioner med hög tillgänglighet. Säljaren hanterar också vanligtvis säkerhetskopior av system. En annan fördel är att WAF-tjänsten ofta kan kopplas ihop med andra tjänster från samma leverantör. Du kan till exempel kombinera innehållsfördelning och WAF-funktioner hos en enda leverantör för en sömlös integrerad lösning.

Men molnbaserade WAF har också några nackdelar. En av de viktigaste är att de kan låsa dig hos en enda leverantör för många tjänster. Eftersom all trafik till din webbplats måste omdirigeras till molnleverantören har du nästan inget annat alternativ än att använda deras andra säkerhetstjänster, till exempel en traditionell brandvägg.

WAF Appliances För- och nackdelar

Den största fördelen med WAF-apparater är att du håller allt internt. Det ger dig full kontroll över varje detalj i din infrastruktur. Det betyder också att du är fri att välja olika komponenter från olika leverantörer.

På nedsidan betyder att använda en apparat att du måste underhålla den. Och du måste uppgradera den när din trafik ökar. Att använda en hårdvarulösning innebär också en mycket högre kostnad på förhand eftersom all utrustning måste förvärvas från början. I slutändan är valet upp till dig men du bör möjligen låta dina specifika behov vägleda dig snarare än att först välja en typ av installation.

Våra 5 bästa molnbaserade WAF: er

Vi har sammanställt en lista över de fem bästa kundbaserade brandväggarna för webbapplikationer. De kommer alla från välrenommerade leverantörer och erbjuder stort värde för dina pengar. Vi kan inte riktigt rekommendera en över de andra eftersom de alla är utmärkta produkter.

1. Cloudflare WAF

CloudFlare har fått ett utmärkt rykte för att skydda webbservrar mot DDoS-attacker. Dess tjänsteerbjudande har också en webbapplikationsbrandvägg. Tjänsten har redan en enorm kundbas och dess servrar hanterar för närvarande nära tre miljoner förfrågningar per sekund. Och om du besöker Cloudflares webbplats, ser du att över 400 miljoner WAF-regler utlöste den sista dagen.

En av de främsta fördelarna med att använda en molntjänst med en så bred kundbas är att du kan dra nytta av intelligens som förvärvats från andra klienter. Om till exempel ett attackförsök upptäcks hos en annan klient skapas en ny signatur och tillämpas på alla klienter. En annan fördel med Cloudflares lösning är att de också erbjuder innehållsleverans och DDoS-skydd.

2. Akamai Kona Site Defender

Akamai är världsledande inom innehållsleveranssystem. Genom åren har företaget lagt till fler funktioner i sitt erbjudande. Kona Site Defender, som deras WAF kallas, är en av dem. Web Application Firewall integrerar fullt DDoS-skydd. Och naturligtvis kan WAF-tjänsten också enkelt kombineras med andra Akamai-tjänster, t.ex. Content Delivery Network. När din trafik har omdirigerats till Akamai, kan du lika gärna dra nytta av den och använda så många tjänster du behöver.

På grund av sin storlek och kundbas upptäcker Akamai ofta nya exploater förr än andra leverantörer. Som Kona Site Defender-användare drar du nytta av denna konkurrensfördel och får effektivt ett starkare skydd med potentiellt bättre blockering av nolldagars utnyttjande.

3. F5 Silverline

F5 är ofta bättre känd för sina BIG-IP-apparater än sina molntjänster. I ett nötskal, F5 Silverline är onlineversionen av företagets utmärkta BIG-IP ASM-apparat som granskas nedan. Det finns som en hanterad tjänst eller som F5 refererar till som en uttrycklig självbetjäning för att skydda webbapplikationer och data från ständigt utvecklande hot. Prenumerationer kan ha en varaktighet på ett år eller tre år. 24-timmars live support ingår i tjänsten.

En viktig fördel med denna molnbaserade tjänst är att den kan skydda en distribuerad eller moln-värd infrastruktur. Skyddet inkluderar DDoS-skärmning av lager 7 och kommer också att blockera anonymiserade adresser som de som ingår i Tor-nätverket. Systemet använder också en levande svartlista med kända phishing-utövare och webbskrapare. Och eftersom denna svartlista delas av alla kunder, drar du nytta av all intelligens som erhållits med en annan klient.

4. Amazon Web Services WAF

Amazon Web Services – eller AWS – är den allmänt kända onlinemarknadens molnbaserade webbhotell. Det utnyttjar Amazons enorma distribuerade infrastruktur för att erbjuda värdtjänster. Om du är kund hos Amazon Web Services, AWS WAF kan vara för dig. Amazon Web Service erbjuder också lastbalansering och leverans av innehållsleveranser.

Prissättningsmodellen för Amazon Web Services WAF skiljer sig från andra leverantörer. Istället för att betala ett fördefinierat belopp varje månad faktureras du för varje säkerhetsregel som du lägger till din tjänst och för antalet webbbegäranden som tas emot varje månad. Det bästa med detta är att du inte behöver betala direkt för någon framtida tillväxt. Det är också mycket intressant för organisationer med säsongstoppar.

5. Imperva Incapsula

Imperva är ett annat vanligt namn inom IT-säkerhetsområdet. De Incapsula molnbaserad webbapplikation Firewall Impervas hanterade tjänst för att skydda mot attacker av applikationslager, inklusive alla Open 10-applikationssäkerhetsprojektets topp 10 attacker och nolldagars hot. Tjänsten är PCI-certifierad och mycket anpassningsbar. Det är också mycket effektivt och kommer att blockera de flesta hot med minimala falska positiver.

Incapsula är en av de billigaste molnbaserade WAF-lösningarna du kan hitta. Planerna börjar så lågt som $ 300 per månad. En stor egenskap med Incapsula är att systemet förutom en mer ”traditionell” WAF granskar också din servrar och skickar korrigeringsfiler för att ta itu med hittade problem som ger ett bättre skydd för din webb tillämpningar. Du kan naturligtvis schemalägga lappar som ska tillämpas oavsett tidpunkt du valde för att minska dina operativa effekter.

Våra 5 bästa WAF-apparater

Precis som våra topp 5 molnbaserade WAF-lösningar alla från kända leverantörer, så är fallet med våra WAF-apparater. De kommer från några av de mest välrenommerade leverantörerna av säkerhetsutrustning. Och precis som vår tidigare lista, den här har ingenting annat än den bästa. Observera att de flesta leverantörer av WAF-apparater också erbjuder en molnbaserad tjänst.

1. Imperva SecureSphere

Imperva är en av de två leverantörerna som gjorde det till båda våra listor. Dess SecureSphere WAF riktar sig mot mindre installationer. De olika enheterna som de föreslår varierar i kapacitet från 100 Mbps till 10 Gbps med de minsta kapabla att bearbeta 440 SSL-transaktioner per sekund och de större cirka 9000. En mellanliggande enhet, X2020 har en kapacitet på 500 Mbps, kommer att behandla 2000 SSL-transaktioner per sekund och sätter tillbaka dig cirka 4200 dollar.

Om du väljer en av de översta modellerna kommer du gärna att lära dig att de kan uppgraderas till nästa större modell. Till exempel kan X821 uppgraderas till en X 10K, vilket effektivt fördubblar kapaciteten. Och uppgradering kräver endast att du köper rätt programvarupatch och licens. Inga kostsamma hårdvaruuppgraderingar krävs.

2. Barracuda Web Application Firewall

Barracuda är ett annat väl respekterat namn inom området IT-säkerhet. Den föreslår en utmärkt WAF-lösning som passar perfekt för små och medelstora organisationer. Barracuda-apparaterna är något dyrare än deras konkurrenters men de kommer med ett års gratis uppdateringar. Och om uppdateringar sker de ofta närhelst ett nytt hot identifieras.

De Barracuda WAF apparaten har också några extra funktioner. Till exempel erbjuder det cachning för snabbare leverans av innehåll. Lastbalansering mellan flera servrar är en annan tillgänglig funktion. Du kan till och med lägga till fullt DDoS-skydd. Som de flesta andra WAF-apparater finns Barracuda WAAF i flera storlekar. En genomsnittlig enhet som Model 360 kostar dig cirka $ 6350 och ger dig 25 Mbps genomströmning och 2000 SSL-transaktioner per sekund.

3. Citrix Netscaler Application Firewall

De Citrix Netscaler är en oerhört populär lastbalanseringsapparat. Om du redan använder dem kommer du gärna att veta att du också kan använda några av dem som en webbapplikations Firewall. Funktionaliteten är endast tillgänglig i de bästa NetSclaer MPX-apparaterna eller NetScaler Cloud Service. Och dessutom måste du köpa den översta platina-licensen för att få den gratis, även om den också finns som ett alternativ med Enterprise-licensen.

Den största fördelen med NetScaler WAF är att du får toppmodern lastbalansering och säkerhet i en låda. Detta är ett premiumsystem och det kommer till ett premiumpris. Du kan förvänta dig att betala cirka $ 4000 för den minsta modellen, MPX 5550 med en kapacitet på 500 Mbps och upp till 1500 SSL-transaktioner per sekund.

4. Fortinet FortiWeb

FortiWeb-apparaten från Fortinet är bättre lämpad för mindre till medelstora organisationer. Apparaten integrerar WAF, lastbalansering och en SSL-avlastningsfunktion. En av de bästa – och nyaste funktionerna i FortiWeb-apparaten är den tvåstegs AI-baserade maskininlärningen som förbättrar noggrannheten för attackdetektering. det skapar nästan en "Set and Forget" Web Application Firewall

FortiWeb-enheten kommer att skydda din infrastruktur från de senaste applikationssårbarheterna, bots och misstänkta webbadresser. Och dess dubbla upptäckt av maskininlärning motorer skyddar dina applikationer från alla typer av hot som SQL-injektion, skript över hela webbplatsen, buffertöverskridningar, cookieförgiftning, skadliga källor och DDoS attacker. Det finns åtta olika FortiWeb-modeller att välja mellan, var och en med ökad kapacitet. De sträcker sig från startnivån 100D vid 25 Mbps till toppmodellen 4000E med 20 Gbps genomström.

5. F5 BIG-IP Application Security Manager (ASM)

Sist men inte minst är det F5 BIG-IP ASM apparat. Du kanske känner till F5 som en av Citrix främsta konkurrenter. De är välkända för sina förstklassiga lastbalanserare. Detta är en apparat som riktar sig mot större företag.

F5 BIG-IP ASM-hotskyddet använder djup hotanalys och dynamiskt lärande, du har knappt någon konfiguration att göra och ändå kan du vara säker på att din infrastruktur är tillräckligt skyddad. En annan intressant egenskap hos F5 BIG-IP ASM är SSL-avlastning. Enheten kommer att hantera SSL-kryptering och dekryptering i farten, så att dina webbservrar kan koncentrera sig på vad de gör bäst, servera webbsidor.

Sammanfattningsvis

Med så många produkter och tjänster att välja mellan, kan det vara en handfull att välja rätt WAF-lösning. De är dyra system och de kräver ofta stora ansträngningar - och utbildning - för att konfigurera och konfigurera korrekt. Det här är förmodligen inte något du vill göra två gånger bara för att prova många olika produkter. Se till att du exakt identifierar dina behov och din tillväxtprojektion och chansen är stor att du kommer att vara i bättre position att välja den WAF som passar dig bäst.