12 Pinakamagandang Web Application Firewall (WAF)

A web application na firewall nag-aalok ng proteksyon para sa mga web server. Ang paghahatid ng mga aplikasyon ng web ay sumusunod sa modelo ng client-server, kung saan ang server ay nagpapadala lamang ng mga mensahe bilang tugon sa isang kahilingan mula sa isang kliyente.

Ang isang tipikal na firewall ay nagpoprotekta sa kliyente. Pinoprotektahan ng isang web application firewall ang server. Nakakuha kami ng maraming detalye sa bawat isa sa mga tool na nagtatampok sa ibaba, ngunit kung mayroon ka lamang oras upang mabasa sa isang buod, narito ang isang listahan ng ang pinakamahusay na mga ulap na nakabase sa ulap:

  1. AppTrana Pinamamahalaang Web Application Firewall (FREE TRIAL) Isang Ganap na Pinamamahalaang WAF na ibinigay ng Indusface na may naka-bundle na scanner ng aplikasyon, CDN at pinamamahalaan ang mga pasadyang mga patakaran na may Zero WAF Mali-positibong katiyakan na na-suporta sa SLA at 24 × 7 suporta.
  2. StackPath Web Application Firewall (LIBRE PAGSUSULIT) Isang Cloud-based na firewall na bahagi ng isang “gilid” na solusyon.
  3. Sucuri Website Firewall (ARALING MABUTI) Bahagi ng isang suite ng mga serbisyo sa proteksyon ng offsite na kasama rin ang proteksyon ng DDoS.
  4. Cloudflare WAF Ang solusyon na batay sa ulap na maaaring pagsamahin sa proteksyon ng DDoS.
  5. Ang Akamai Kona Site Defender Pinagsasama ang isang proteksyon sa offsite WAF at DDoS.
  6. Amazon Web Services WAF Front end para sa mga nagpapatakbo ng Amazon Web Services, kabilang ang Application Load Balancer at ang network ng paghahatid ng nilalaman ng Amazon.
  7. Incapsula Web Application Firewall Ang Offsite WAF na pinagsasama ang proteksyon ng DDoS mula sa isa sa nangungunang kumpanya ng cybersecurity sa mundo.

At narito ang aming listahan ng ang pinakamahusay na WAF na nakabase sa hardware:

  1. Imperva SecureSphere – Isang hardware WAF mula sa isang lider ng industriya ng cybersecurity na naglalayong mas maliit na mga negosyo.
  2. Barracuda Web Application Firewall – Isang hanay ng mga WAF ng hardware para sa maliit hanggang mid-sized na mga kumpanya.
  3. Citrix Netscaler Application Firewall – Isang hanay ng WAF ng hardware na may kasamang pagbabalanse ng pag-load; magagamit din bilang isang serbisyo ng Cloud.
  4. Fortinet FortiWeb – Isang saklaw ng mga WAF ng hardware na may kasamang pagbabalanse ng pag-load at isang SSL offloader.
  5. F5 BIG-IP ASM – Isang hardware WAF na may kasamang pag-off ng SSL; para sa malalaking negosyo.

Ano ang pag-atake ng mga WAF laban sa?

Ang isang aplikasyon ng firewall ng web, o WAF, ay kailangang protektahan ang iyong web server at ang nilalaman nito mula sa mga sumusunod na kategorya ng pag-atake:

  • Scripts sa Cross-Site (XSS)  – nakakahamak na code sa HTML na naipasok sa isang patlang na input ng pahina ng web ng isang hacker
  • Nakatagong bukid pagpapatakbo – Isusulat ng mga hacker ang source code ng isang web page upang baguhin ang mga halaga na gaganapin sa mga nakatagong patlang at pagkatapos ay i-post ang susugan na code pabalik sa server
  • Pagkalason sa cookie  – Pagbabago ng mga halaga ng parameter na gaganapin sa cookies upang masira ang data na naipasa sa pagitan ng mga web page
  • Pag-scrap ng web  – awtomatikong pagkuha ng data mula sa mga web page
  • Pag-atake ng Layer 7 DoS – Napakalaki ng isang web server sa pamamagitan ng aktibidad ng recursive application
  • Pagpapalit ng parameter – Pagbabago ng mga halaga sa mga parameter sa isang tawag sa web page
  • Umapaw ang buffer – input ng gumagamit na nag-overwrite ng code sa memorya
  • Pinto sa likuran o mga pagpipilian sa Debug – Mga ulat sa feedback ng developer para sa pagsubok sa web page na maaaring magamit ng mga hacker para sa pag-access sa processor
  • Utos ng stealth – isang pag-atake sa operating system ng isang web server
  • Pinilit na pag-browse – nakuha ng hacker ang pag-access sa backup o pansamantalang mga folder sa webserver
  • Mga maling maling pagsasaayos ng third-party – pagmamanipula ng mga pagsingit ng nilalaman na ibinigay ng iba pang mga kumpanya
  • Lugar kahinaan / SQL injection – Mga query na ipinasok sa mga patlang ng pagpapatunay ng gumagamit

Kahit na ang isang WAF ay gumagana bilang isang harapan sa isang website, ang isang bilang ng mga mahahalagang function ng pag-access sa pag-access na kailangan ng iyong web host ay hindi ibinigay ng teknolohiyang ito. Ang mga WAF ay nakatuon sa HTTP code at ang mga pamamaraan ng paghiling para sa iba pang mga aplikasyon sa internet, tulad ng FTP. Sa mga kasong ito, ang mga secure na bersyon ng mga application na protocol na ito, Ang HTTPS at SFTP, ay sakop din.

Paano gumagana ang WAFs?

web diagram ng firewall ng aplikasyon

Ang mga WAF ay naghahanap ng mga iregularidad na nakapaloob sa mga papasok na mga kahilingan at i-block ang mga hindi wastong o maling gawa na konstruksyon. Ang isang WAF ay hindi mananagot para sa pagbabalanse ng pag-load sa pagitan ng isang kumpol ng mga server. Bagaman ang ilang mga uri ng pag-atake ng DDoS ay gumagamit ng HTTP, karamihan ay gumagamit ng mga pamamaraan ng mas mababang antas. Kaya, protektahan ka ng isang WAF laban sa HTTP at FTP-level-layer / layer 7 DDoS na pag-atake, ngunit hindi ang mga isinasagawa ng iba pang mga diskarte.

Mga pagsasaayos ng WAF

Ang isang WAF ay kailangang maging bahagi ng iyong diskarte sa proteksyon ng web hosting. Maaari itong ipatupad bilang isang solusyon sa hardware o bilang software.

Ang mga tagasuporta ng mga WAF ng software ay nagtaltalan na mayroon ka nang sapat na magagamit na hardware, kailangan mo lamang palawakin ang mga kakayahan ng iyong umiiral na kagamitan upang makakuha ng isang firewall ng aplikasyon sa Web. Gayunpaman, ang mainam na lokasyon para sa WAF ay nasa harap ng iyong mga server, at ang karamihan sa mga solusyon sa software ay naka-install nang direkta sa Web server.

Paglalagay ng WAF

Ang pinakamahusay na lugar upang ilagay ang iyong WAF ay nasa router na kumikilos bilang isang gateway sa pagitan ng iyong network (at sa gayon, ang iyong server) at sa internet. Ang diskarte na ito ay nagpapahiwatig na ang pinakamahusay na pagpipilian ay magiging isang router na may isang integrated WAF. Ito ay magiging isang nakapag-iisang piraso ng kagamitan at maiiwasan nito ang mapinsala na trapiko o paggalugad ng hacker na maabot ang iyong mahalagang server.

Mga pagsasaalang-alang sa Software vs Hardware WAF

Kaya, alin ang dapat mong piliin upang makontrol ang mga gastos? Ang mga software ng WAF ay mas mura kaysa sa mga solusyon sa hardware. Gayunpaman, huwag isipin na walang mga gastos sa hardware sa pag-install ng WAF software sa iyong mga server. Marahil na binalak mo ang kapasidad ng iyong server ng hardware at sa gayon ang pagdaragdag sa isang labis na pag-andar ay kukuha ng puwang sa disk, gumamit ng memorya at itali ang mga processor ng CPU. Maaaring kailanganin mong palawakin ang iyong kapasidad ng server upang mag-host ng isang WAF, kaya may kasamang mga gastos sa hardware.

Ang mga set ng kasanayan sa site ay isa ring pagsasaalang-alang. Posible na ang iyong mga kawani ng pangangasiwa ng system ay pamilyar sa lahat ng operating system ng iyong server, ngunit magiging kalat sa paligid ng firmware ng isang bagong aparato. Ang mga gumagamit ng hardware WAF ay may posibilidad na tratuhin ang mga ito bilang mga itim na kahon at mamagitan sa kanilang mga operasyon ng mas kaunti kaysa sa ginagawa nila sa mga WAF ng software – na maaaring maging isang magandang bagay.

Parehong ang hardware at software na WAFS ay may mga patch at i-update ang suporta. Gayunpaman, ang pag-update ng mga bersyon ng software ay karaniwang nangangailangan ng iyong pahintulot at pamamahala para sa bawat pag-install, samantalang ang mga WAFs ng hardware ay may posibilidad na mai-update nang direkta sa pamamagitan ng tagapagbigay ng serbisyo, na iniwan ka nang walang pag-ubos ng mga isyu sa pamamahala ng patch..

Sa pangkalahatan, ang parehong WAF ng hardware at mga WAF ng software ay nagsasagawa ng parehong mga gawain. Ang mga WAF ng Hardware ay nagpapanatili ng labis na pagkarga mula sa iyong mga server at maaari silang magpatuloy upang gumana kahit na nais mong bawiin ang isa sa iyong mga server. Ang isang hardware WAF ay mas maaasahan at maaaring iwanang mag-isa upang gawin ang trabaho. Kahit na ang mga WAF ng hardware ay marahil mas mahusay na mga pagpipilian kaysa sa mga software ng WAF, mas pinipili ng mga administrador ang pag-access at pagpapasadya ng mga WAF ng software.

Pag-andar ng aplikasyon ng firewall sa web

Hindi lamang dapat i-scan ang lahat ng aktibidad ng gumagamit kapag ang isang web page ay live, ngunit kailangan mong suriin ang code ng iyong mga web page, kabilang ang mga off-the-shelf plug-in na ibinigay ng mga panlabas na kumpanya. Ang mga pagkakamali sa pag-cod at mga oversite ng pagpapatunay ay kilala bilang mga kahinaan sa zero na araw. Ang mga ito ay hindi pamantayan ng mga landas na maaaring payagan ang isang pag-access sa hacker sa iyong web server. Kung natuklasan ng mga hacker ang mga bahid na ito bago ka o ang tagabigay ng ipinasok na code ay nakikita ang problema, mapapailalim ka sa isang zero-day attack na maaaring hindi saklaw ng iyong WAF.

Ang halaga ng isang WAF ay namamalagi sa mga patakaran na nalalapat sa mga sagot ng gumagamit. Ang mga setting ng panuntunang ito ay nagsasagawa ng mga pamamaraan ng pagpapatunay na protektahan ang iyong web server mula sa nakakahamak na aktibidad sa pamamagitan ng paglalagay ng mga aktibidad upang makita at pagdidikta ng mga aksyon na gagawin kapag natuklasan ang isang pagsasamantala. Ang mga panuntunan ay isusulat upang partikular na harangan ang kilalang mga diskarte sa pag-atake. Gayunpaman, ang dagdag, mas nababaluktot na mga patakaran sa mga gawain ng WAF ay kapaki-pakinabang para sa pagkilala sa mga bantaang zero-day.

Tingnan din: Pinakamahusay na libreng scanner ng port

Kaugnay: Pinakamahusay na mga tool sa pag-iikot ng panghihimasok

Ang Pinakamahusay na WAF na nakabase sa Cloud

Karamihan sa mga software na WAF ay ipinatutupad ngayon bilang mga serbisyo sa ulap. Ang mga serbisyong ito ay singilin ang isang buwanang rate na may iba’t ibang mga plano upang umangkop sa iba’t ibang mga website. Narito ang isang run-down ng ang pinakamahusay na mga ulap na nakabase sa ulap sa merkado ngayon:

1. AppTrana Pinamamahalaan ang Web Application Firewall (FREE TRIAL)


AppTrana mula sa Indusface ay nagbibigay ng isang ganap na pinamamahalaang firewall na aplikasyon ng Web na naka-bundle na may bilis ng nilalaman at CDN sa ulap. Ang kailangan mo lang gawin ay ruta ang iyong trapiko sa pamamagitan ng AppTrana Service na naka-host sa maraming mga rehiyon sa mga AWS data center ng Indusface.

Ang AppTrana ay lumabas sa kahon na may mga na-optimize na set ng panuntunan na maaaring mailagay sa naka-block na mode na agad batay sa na-optimize na set ng panuntunan na Indusface ay binuo sa pamamagitan ng paggawa ng mga pagtatasa ng seguridad ng libu-libong iba pang mga website. Kapag nakasakay na, ang mga customer ay maaaring gumawa ng isang on-demand na awtomatikong pagtatasa ng seguridad ng website at makakuha ng agarang kakayahang makita kung na protektado na sila ng WAF o nangangailangan ng pasadyang mga patakaran.

Ang mga nangangailangan ng pasadyang mga patakaran ay maaaring hilingin mula sa sentralisadong portal at ang koponan ng 24 × 7 na MSS mula sa Indusface ay lilikha ng isang pasadyang patakaran kasama ang Zero WAF na maling-positibong katiyakan at protektahan ang mga ito. Ang pagganap ng website ay pinahusay sa pamamagitan ng isang bundle CDN na kasama sa serbisyo. Ang plano ng AppTrana ay magagamit bilang isang serbisyo sa subscription kasama isang 14-araw na libreng pagsubok.  Ang libreng pagrerehistro sa Pagsubok ay awtomatikong naka-enrol sa isang libreng magpakailanman Pangunahing plano na kasama ang awtomatikong pag-scan ng seguridad ng dalawang beses sa isang buwan para sa iyong website.

Ang AppTrana Pinamamahalaang Web Application FirewallBeggin 14-araw na LIBRENG Pagsubok

2. StackPath Web Application Firewall (LIBRE PAGSUSULIT)

StackPath-WAF

Ang Web Application Firewall ay isa sa isang suite ng mga serbisyong nakabase sa cloud na inaalok ng StackPath na dalubhasa sa “teknolohiyang gilid.” Ang terminong ito ay tumutukoy sa pamamaraan ng pagtulak ng mga serbisyo sa gilid ng iyong network, at pagkatapos at kaunti pa. Ang StackPath ay isang serbisyo ng Cloud na batay sa subscription na kinukuha ang lahat ng iyong trapiko bago ito makarating sa iyong Web server.

Ang pagsasaayos ng offsite ng StackPath ay nagbibigay ng karagdagang proteksyon para sa iyong Web server tulad ng anuman ang nakahahamak na code ay hindi makakuha ng isang pagkakataon upang hawakan ang iyong mga mapagkukunan.

Ang trapiko sa Web patungo sa iyong website ay mai-divert upang makarating sa server ng StackPath. Ang tatlong pangunahing panlaban na inaalok ng serbisyong ito ay: Pagtatasa ng IP address, pagpapatunay ng browser, at ang paggamit ng mga panuntunan sa nilalaman. Ang pamamaraan na ito ay nakatuon sa posibilidad ng mga papasok na mga kahilingan na nagmumula sa mga nakakagambalang mapagkukunan. Ang pinagmulan ng pag-filter din ay binabawasan ang anumang mga pagtatangka sa pag-atake ng DDoS.

Tanging ang napatunayan na trapiko ang maipasa sa iyong Web server. Lahat ng pagproseso ay naganap nang napakabilis na ang mga regular na gumagamit ay hindi nakakaranas ng anumang kahinaang bilis ng koneksyon. Nag-aalok ang StackPath ng Web Application Firewall nang libre para sa unang buwan ng serbisyo.

StackPath Web Application FirewallFirst Month Libre

3. Sucuri Website Firewall (ARALING MABUTI)

Sucuri ng Website ng Sucuri

Ang Sucuri Web Application Firewall ay bahagi ng isang suite ng mga panukala sa proteksyon ng website. Ang sistema ng proteksyon na batay sa ulap sa Sucuri ay isang serbisyo sa online. Ang address ng iyong website ay mai-host sa server ng Sucuri, din ang lahat ng iyong trapiko sa Web ay pupunta muna.

Ang serbisyo ng Sucuri ay nag-filter ng malisyosong trapiko sa pamamagitan ng isang hanay ng mga pamamaraan. Ang kumpanya ay nagpapanatili ng isang database ng mga pirma ng pag-atake, na kung saan ay palaging na-update, kaya ang iyong website ay nakikinabang mula sa mga diskarte sa proteksyon na natutunan ni Sucuri kapag ipinagtatanggol nito ang iba pang mga site.

Kasama sa package ng serbisyo ang pag-optimize ng pagganap at proteksyon ng DDoS. Hinaharang ng server ng Sucuri server ang nakakahamak na trapiko at ipinapasa ang lahat ng mga kahilingan sa bona fide sa iyong Web server. Itong proseso nangyari nang mabilis na hindi mapapansin ng mga bisita ang anumang pagbagal sa paghahatid ng iyong mga pahina sa Web.

Ang pagganap ng paghahatid ay pinahusay ng caching, na nangangahulugang kahit na ang iyong site ay mababa para sa pagpapanatili, maa-access pa rin ng mga bisita ang iyong mga pahina sa Web. Ang Sucuri Web Application Firewall ay magagamit bilang isang serbisyo sa subscription, at ang pag-presyo ay nagsisimula mula sa $ 9.99 / buwan para sa kanilang pangunahing pakete. Tingnan ang mga detalye ng plano sa kanilang website.

Mga Detalye ng Application ng Sucuri Web ng FirewallView Plan

4. Cloudflare WAF

Cloudflare WAF

Ang Cloudflare ay naging matagumpay sa pagprotekta sa mga host ng web mula sa mga pag-atake ng DDoS at pinalawak nila ang kanilang proteksyon sa isang firewall ng web application. Ito ay isang online service na malawakang ginagamit. Ang kanilang mga server ay namamahala ng 2.9 milyong mga kahilingan bawat segundo sa ngalan ng kanilang malaking base ng customer.

Ang pakinabang ng pag-subscribe sa isang malawak na ginagamit na ulap ng WAF tulad ng Cloudflare ay ang kumpanya ay maaaring mag-aplay ng mga ekonomiya ng scale sa pagbabanta ng banta nito.. Ang isang pagtatangka ng pag-atake sa isang customer na agad na nag-ripples sa isang listahan ng blacklist para sa lahat ng mga web server na protektado ng Cloudflare. Kung mayroon kang gitnang server na nakabase sa cloud sa iyong enterprise o bilang isang sistema ng paghahatid ng nilalaman na kasama sa iyong pagtatanghal ng web, maaring takip din iyon ng Cloudflare. Ang pagsasama ng buong proteksyon ng Cloudflare DDoS kasabay ng iyong subscription sa WAF ay isang napaka-simpleng gawain.

5. Akamai Kona Site Defender

Kona Site Defender

Ang Akamai ay isang pinuno ng mundo sa pag-iwas sa DDoS at isinasama nito ang buong proteksyon ng DDoS kasama ang web application na firewall nito sa isang serbisyo ng ulap na tinatawag na Site Defender. Ang isang mahusay na pakinabang ng pagsasama ng parehong mga serbisyong ito sa isang produkto ay sa iyo hindi kailangang mapunta ang iyong trapiko sa pamamagitan ng dalawang magkakaibang kumpanya upang makakuha ng mga tunay na kahilingan na darating sa iyong web server.

Bilang isa sa mga namumuno sa online security, ang Akamai ay madalas na unang nakatuklas ng mga bagong pagsasamantala. Bilang isang customer ng Site Defender, nakikinabang ka mula sa “unahan ng curve” na impormasyon kaagad na may mas magaan at mas matalinong bloke sa trapiko ng hacker.

6. Amazon AWS WAF

Amazon AWS web application firewall

Ang Amazon AWS web application firewall (o AWS WAF) ay magagamit lamang sa mga customer ng Web Services ng kumpanya. Kasama dito ang Application Load Balancer at ang network ng paghahatid ng nilalaman ng Amazon. Tulad ng cloud-based ang Amazon Services, ang WAF na ito ay isang add-on sa iyong umiiral na subscription. Ang modelo ng presyo ay napaka-nakatutukso. Hindi ka magbabayad ng isang malaking halaga bawat buwan. Sa halip, sisingilin ka para sa bawat panuntunan ng seguridad na iyong itinakda at para sa bilang ng mga kahilingan sa web na natanggap ng iyong server sa isang buwan.

7. Incapsula Web Application Firewall

Incapsula web application na firewall

Ang Incapsula ay pinuno sa proteksyon ng DDoS at ang kumpanya ay nagdaragdag ng buong pag-filter ng DDoS sa WAF nito, hindi lamang proteksyon ng layer-application. Ang kumpanya ay may 25 data center sa buong mundo, na tinitiyak na ang naka-based na WAF na ito ay sinusubaybayan sa buong orasan.

Ang pinakamurang WAF plan na inaalok ng Incapsula ay gumagana sa $ 300 bawat buwan. Ang pagiging batay sa ibang lugar, ang pagpapanatiling na-update sa pagbabanta ng database ay hindi ang iyong problema. Inalagaan ito ng mga Incapsula. Padadalhan ka rin ng kumpanya ng mga patch upang matulungan kang ipagtanggol ang iyong mga aplikasyon sa web, na maaari mong iskedyul na mailapat sa tahimik na oras ng iyong server.

Ang Pinakamahusay na WAF na nakabase sa Hardware

Ang solusyon sa hardware sa mga aplikasyon ng firewall ng web ay nagsasangkot ng isang piraso ng kagamitan sa network na kailangang pumunta sa harap ng imprastruktura ng web.

Tulad ng una sa lahat ng trapiko sa parehong direksyon, kailangan mo ito siguraduhin na ang modelo na iyong pinili ay may kakayahan upang hawakan ang karaniwang rate ng kahilingan ng throughput ng iyong web server. Kapag sinusuri ang mga gamit sa WAF, dapat mo munang sukatin ang demand sa iyong server sa mga tuntunin ng parehong data throughput sa Mbps at ang bilang ng mga transaksyon. Habang kumukuha ng mas maraming pagproseso ang mga transaksyon sa SSL, dapat mong tingnan ang maximum na bilang ng mga transaksyon sa SSL bawat segundo (TPS).

1. Imperva SecureSphere

Imperva SecureSphere

Ang WAF na ito ay naglalayong sa mga maliliit na negosyo na may mga yunit na mayroong isang pagpupulong ng 100 Mbps na nakikipag-ugnayan sa 440 SSL TPS, pagpunta sa isang modelo na maaaring maproseso ang 10 Gbps at 9,000 SSL TPS. Bilang isang halimbawa ng saklaw, tingnan ang X2023, na nagbibigay sa iyo ng isang throughput na 500 Mbps para sa isang presyo na $ 4,200. Ang yunit na ito ay maaaring makitungo sa 2,200 SSL TPS.

Ang mas mataas na mga modelo sa saklaw ay magkatugma na magkatugma. Maaari kang bumili ng X85210, na may throughput rate ng 5 Gbps, at pagkatapos ay i-upgrade ito sa paglaon sa pamamagitan ng isang software patch upang i-on ito sa X10K modelo, na nagbibigay-daan sa isang 10 Gbps throughput. Maaari ka ring pumili para sa isang bersyon na batay sa ulap ng SecureSphere.

2. Barracuda Web Application Firewall

Firewall application ng Baracuda web

Ang Barracuda ay isang mahusay na solusyon para sa isang maliit-hanggang mid-sized na web-based na negosyo. Ang appliance na ito ay isang maliit na presyo, ngunit ang presyo ng pagbili ay may kasamang isang buong taon ng mga pag-update ng system. Ang kahon ng Barracuda ay awtomatikong na-update kapag nakita ng kumpanya ang mga bagong banta at pagsasamantala. Ang kahon ng Barracuda ay may ilang mga karagdagang tampok, na kinabibilangan ng caching para sa mas mabilis na paghahatid ng nilalaman at pagbabalanse ng pagkarga. Maaari kang magdagdag sa buong proteksyon ng DDoS para sa isang bayad.

Ang Barracuda WAF ay magagamit sa isang hanay ng mga sukat, bawat isa ay may iba’t ibang mga kapasidad. Halimbawa, bibigyan ka ng Modelong 360 ng isang throughput ng 25 Mbps at maaari nitong hawakan ang 2000 SSL TPS. Ang iyong pagbili ng 360 ay magtatakda sa iyo ng $ 6,350, kasama na ang unang taon ng virtual na pag-taping. Ang suporta para sa kasunod na taon ay nagkakahalaga ng $ 1,350 bawat taon.

3. Citrix Netscaler Application Firewall

Citrix Netscaler

Ang saklaw ng Netscaler MPX ay may mga kapasidad na mula sa 500 Mbps hanggang sa 200 Gbps. Ang pinakamurang modelo ay ang MXP 5550, na nagbibigay sa iyo ng isang throughput na 500 Mbps at maaaring makayanan ang 1,500 SSL TPS. Ang yunit na ito ay nagkakahalaga ng $ 4,000, ngunit ang halagang iyon ay hindi kasama ang isang virtual na kontrata sa patching, na kung saan ay idinagdag.

Ang Citrix Netscaler appliance ay gumaganap din bilang isang balanse ng pag-load para sa maliliit na negosyo. Magagamit din ang Netscaler bilang isang serbisyo sa ulap.

4. Fortinet FortiWeb

Fortinet FortiWeb

Kung mayroon kang isang maliit na kumpanya sa web at lumilipat ka hanggang sa mid-size na liga, kakailanganin mong mag-upgrade ng maraming kagamitan. Ito ay maaaring maging isang magandang pagkakataon para sa iyo upang suriin ang kasangkapan sa Fortinet FortiWeb. Isinasama ng aparatong ito ang WAF sa isang load balancer at isang SSL offloader. Kung nagpapalawak ka sa maraming mga server, kakailanganin mo pa ang isang balanse ng pagkarga, kaya habang nasa merkado ka para sa isang bagong kit, makatuwiran na makuha ang web application na firewall mula sa iyong listahan ng mga bagay na bibilhin bilang mabuti at ipatayo ang parehong sa parehong kahon.

Ang saklaw ng FortiWeb ay may kasamang walong mga modelo na may pagtaas ng kapasidad ng throughput. Ang modelo ng antas ng entry ay 100D. Mayroon itong throughput rate na 25 Mbps. Ang top-of-the-range na modelo ay ang 4000E. Mayroon itong throughput ng 20Gbps. Nagpapatakbo din ang FortiWeb ng isang bersyon ng ulap ng serbisyo sa web application ng firewall.

5. F5 BIG-IP ASM

F5 BIG-IP ASM

Ang BIG-IP ASM ay naglalayong sa mga malalaking kumpanya. Sa kasamaang palad, ang F5 ay hindi nagbibigay ng rate ng SSL TPS para sa mga modelo nito, ngunit sa halip ay isang HTTP. Ang modelo ng 10200 ay maaaring maproseso ang 75,000 HTTP TPS at may isang throughput ng 5 Gbps.

Ang BIG-IP ASM ay tumutulong sa iyong server na maisagawa nang mas mabilis sa pamamagitan ng pakikitungo sa SSL encryption ng HTTPS at SFTP. Ang pagpapaandar na ito ay kilala bilang “SSL offloading.” Kasama sa package ng F5 ang proteksyon sa pagbabanta na makikinabang mula sa malalim na pagtatasa ng pagbabanta at dynamic na pag-aaral, kaya hindi mo kailangang mamuhunan ng masyadong maraming oras sa pagbabasa ng mga ulat upang magtrabaho kung aling mga address sa blacklist dahil gagawin ito ng appliance para sa iyo.

Hardware na nakabase sa Hardware vs Cloud na nakabase sa Cloud: Pros at Cons

Ang pagpili ng iyong sariling piraso ng kagamitan o isang solusyon sa ulap ay maaaring madalas na bumaba sa iyong sariling mga kagustuhan para sa bawat pagsasaayos. Halimbawa, ang ilang mga tao ay hindi komportable na mga elemento ng outsourcing ng kanilang network at ang mga pag-andar ng seguridad ng isang web host ay partikular na sensitibong mga paksa.

Cloud-based WAFs Cons

Ang WAF ay nakatayo sa harap ng lahat ng iyong iba pang mga aparato at sa gayon dapat itong maging target ng iyong URL. Nangangahulugan ito na wala ka nang direktang kontrol sa iyong trapiko dahil lahat ng mga tala sa DNS ay idirekta ang mga bisita sa website sa serbisyo ng ulap.

Kung saan ang mga ulap ng WAF ay inaalok ng mga kumpanya na may kasamang iba pang mga serbisyo sa seguridad na pang-harap, pagsasama-sama ng mga ito sa isang pakete ay may katuturan. Halimbawa, kung ang iyong napiling tagapagbigay ng WAF ay walang serbisyo ng proteksyon ng DDoS, kakailanganin mong ipasa ang iyong trapiko sa isang pangalawang serbisyo sa ulap upang makakuha ng ganap na saklaw mula sa lahat ng mga banta. Ang pagkuha ng isang serbisyo ng ulap ng WAF ay maaaring i-lock ka sa isang kumpanya ng online security para sa lahat ng iyong online na proteksyon at limitahan ang iyong mga pagpipilian.

Sinusuri ng mga WAF ang mga nilalaman ng mga packet, kaya kailangan nilang alisin ang lahat ng proteksyon sa pag-encrypt bago nila maisagawa ang kanilang pangunahing gawain. Nangangahulugan ito na kailangan mong ibigay ang iyong SSL sertipiko sa provider ng WAF na ulap, epektibong isuko ang lahat ng mga pagpapaandar ng seguridad na protektahan ang iyong web host, ang iyong nilalaman, at kaligtasan ng iyong mga customer.

Kailangan mong magkaroon ng maraming pananampalataya sa iyong cloud provider ng WAF upang maging handa upang hayaang tumayo ang third party na ito sa pagitan mo at ng iyong mga customer.

Cloud na nakabase sa Cloud WAFs

Sa kabilang banda, ang reputasyon at kadalubhasaan ng mga nangungunang provider ng ulap ng WAF ay nangangahulugan na hindi mo kailangang mag-alala tungkol sa pagpapabaya. Ang mga kumpanya sa aming listahan ay dalubhasa sa mga serbisyo sa networking at seguridad. Ang kanilang naipon na kadalubhasaan ay mas malaki kaysa sa makukuha mo para sa iyong sariling kumpanya sa bahay. Marahil ay mas may panganib sa pagkakaroon at seguridad ng iyong website kung susubukan mong masakop ang lahat ng mga kumplikadong gawain na kinasasangkutan ng mga isyung ito.

Ang mga solusyon na nakabase sa cloud ay maaaring bayaran para sa isang buwanang batayan, pagkalat ng gastos ng iyong proteksyon sa web application. Sa ilang mga kaso, sisingilin ka lamang para sa iyong web throughput, kaya maaari mong ipagpaliban ang pagbabayad para sa iyong proteksyon hanggang sa katapusan ng buwan kung ang antas ng serbisyo ay kinakalkula at invoice.

Kung mayroon ka nang outsource na mga bahagi ng iyong operasyon, nakilala mo na ang paraan ng operasyon na batay sa ulap at sa gayon ay hindi masyadong mahirap na mag-outsource din ang iyong WAF. Maaaring kailanganin mong lumipat mula sa mga umiiral na tagabigay ng serbisyo kung pagsasama-sama ng iba pang mga serbisyo, tulad ng proteksyon ng DDoS at pagbabalanse ng pag-load, kasama ng iyong bagong WAF na ginagawang mas mahusay ang pang-logistik at pang-ekonomiyang kahulugan.

Mga WAFs na nakabase sa Hardware

Kung isinasaalang-alang ang gastos ng isang WAF ng hardware, kailangan mong magdagdag ng mga gastos sa pag-install, pabahay, pagprotekta, at pagpapanatili nito. Ang mga online na WAF ay awtomatikong mai-update, kaya’t sila ay palaging hanggang sa minutong at handa na upang harapin ang pinakabagong umuusbong na banta. Ang pagkuha ng antas ng pagiging handa sa iyong sariling aparato ng WAF ay maaaring magastos.

Karamihan sa mga vendor ng WAF ng hardware ay nag-aalok ng isang serbisyo sa pag-update. Ang mga pag-aayos sa mga bagong banta ay ipinadala sa iyong WAF aparato sa internet nang awtomatiko at mai-update nito ang firmware nang wala ang iyong interbensyon. Sa kaso ng ilang mga bagong banta, ang iba pang kagamitan at software sa iyong network ay maaaring mangangailangan ng pag-update, at bibigyan ka rin ng suporta ng serbisyo ng iyong WAF provider.

Ang prosesong ito ay tinatawag na “virtual patching” at ito ang bersyon ng WAF ng mga klasikong pag-update ng firewall database. Gayunpaman, bagaman ang lahat ng mga supplier ng hardware sa aming listahan ay nagbibigay ng virtual na pag-patch, hindi lahat ng mga ito ay kasama ang serbisyong iyon nang libre. Kung saan kasama ang serbisyo ng pag-update, karaniwang libre lamang ito sa unang taon. Pagkatapos nito, dapat kang magbayad ng dagdag para sa suporta ng iyong in-house WAF.

Ang nakahaharap na gastos ng pagbili ng isang hardware WAF ay maaaring maging isang hindi kanais-nais na gastos kapag nahihirapan upang makuha ang iyong bagong kumpanya ng web. Kung iniwan mo ang proteksyon na ito sa una, maaari mong maiiwasan ang paniniwala na ito ay hindi kinakailangang dagdag kahit na makarating ka sa puntong mayroon kang cash na ekstrang. Ito ay isang mapanganib na senaryo, dahil malalaman mo lamang na kailangan mo ng proteksyon ng WAF kapag na-hit ka ng isang pag-atake. Pagkatapos nito, ang iyong website ay haharangan ng mga search engine para sa naglalaman ng malisyosong code at ikaw ay maipadala sa labas ng negosyo.

Mga WAF na nakabase sa Hardware

Kung nagpapatakbo ka ng iyong sariling web server, marahil ay marami ka nang nalalaman tungkol sa mga sistema ng networking at internet. Maaaring kailanganin mo ang isang balanse ng pag-load sa sandaling ilagay mo ang mga labis na server upang makitungo sa demand. Kung iyon ang kaso, maaari kang bumili ng isang pinagsamang web cache, load balancer, at pinagsama ang WAF at makuha ang lahat ng iyong mga kahilingan sa harap na dulo na hinarap ng isang aparato.

Ang pagkakaroon ng iyong sariling WAF ay nangangahulugang hindi mo kailangang isuko ang iyong web address sa isang third party. Kung sa ilang oras kailangan mo ng malawak na proteksyon ng DDoS, pagkatapos ang iyong URL ay kailangang pumunta sa provider ng pagpapagaan ng DDoS. Gayunpaman, sa kasong ito, hindi mo kailangang limitahan ang iyong pagpili ng proteksyon ng DDoS sa ibinigay ng iyong kumpanya ng ulap na WAF. Hindi ka nakatuon sa pagdidirekta ng iyong URL upang maibigay ang iyong WAF.

Pagpili ng isang web application ng firewall

Mas gusto mo bang magkaroon ng iyong sariling WAF sa iyong network, o sa palagay mo ay mas mahusay na pumunta para sa isang solusyon na batay sa ulap na WAF, binigyan ka ng pagsusuri na ito ng limang mga pagpipilian upang isaalang-alang. Ang pagpili ng mga bagong kagamitan, software, at serbisyo para sa iyong kumpanya ay maaaring maging napapanahon. Sa gabay na ito, inaalagaan namin ang unang yugto para sa iyo.

Ang iyong susunod na gawain ay upang paliitin ang iyong mga pagpipilian. Ang idinagdag na mga extra na inaalok ng bawat isa sa mga tagapagbigay ng WAF na ito ay magdidirekta sa iyo patungo sa napiling pagpipilian. Ang kapasidad ng bawat serbisyo ay isa ring mahalagang pagsasaalang-alang at dapat mong salikin ang kakayahang sumukat upang ang iyong mga plano sa pagpapalawak sa hinaharap ay isinasaalang-alang.

Gumawa ng desisyon kung pupunta para sa isang hardware o naka-based na WAF at pagkatapos ay suriin ang bawat isa sa limang nakalista sa kategoryang iyon. Ang pagtatanaw ng proteksyon na nag-aalok ng isang application ng firewall sa iyong samahan ay magiging isang pagkakamali. Huwag maghintay hanggang huli na at ang iyong site ay naatake na. Kumuha ng isang WAF sa lugar ngayon upang mapanatili ang iyong website sa online.

Larawan: Firewall ni frankieleon sa pamamagitan ng Flickr.com Licensado sa ilalim ng CC BY 2.0