12种最佳Web应用程序防火墙(WAF)

一种 Web应用程序防火墙 为Web服务器提供保护。 Web应用程序的交付遵循客户端-服务器模型,其中服务器仅响应于来自客户端的请求发出消息.

典型的防火墙可以保护客户端。 Web应用程序防火墙可保护服务器。下面,我们将详细介绍以下每个功能,但是,如果您只有时间阅读摘要,以下是其中的列表 最佳的基于云的WAF:

  1. AppTrana托管的Web应用程序防火墙(免费试用) 由Indusface提供的完全托管的WAF,具有捆绑的应用程序扫描程序,CDN和托管的自定义规则,具有零WAF虚假肯定保证,并提供SLA和24×7支持.
  2. StackPath Web应用程序防火墙(免费试用) 作为“边缘”解决方案一部分的基于云的防火墙.
  3. Sucuri网站防火墙(了解更多信息) 一套离线保护服务的一部分,还包括DDoS保护.
  4. Cloudflare WAF 可与DDoS保护结合使用的基于云的解决方案.
  5. Akamai Kona网站防御者 结合异地WAF和DDoS保护.
  6. 亚马逊网络服务WAF 适用于那些操作Amazon Web Services的前端,包括Application Load Balancer和Amazon Content Delivery Network.
  7. 封装Web应用程序防火墙 离线WAF,结合了来自世界领先的网络安全公司之一的DDoS保护.

这是我们的清单 最好的基于硬件的WAF:

  1. Imperva SecureSphere –来自网络安全行业领导者的针对小型企业的硬件WAF.
  2. 梭子鱼Web应用防火墙 –适用于中小型公司的一系列硬件WAF.
  3. Citrix Netscaler应用防火墙 –包含负载平衡的硬件WAF范围;也可以作为云服务使用.
  4. Fortinet FortiWeb –一系列硬件WAF,包括负载平衡和SSL卸载程序.
  5. F5 BIG-IP ASM –包含SSL卸载的硬件WAF;适用于大型企业.

WAF可以防御哪些攻击?

Web应用程序防火墙或WAF需要保护您的Web服务器及其内容免受以下类别的攻击:

  • 跨站脚本 (XSS)  –黑客将恶意HTML代码插入网页输入字段
  • 隐藏的领域 操纵 –黑客重写网页的源代码以更改隐藏字段中保存的值,然后将修改后的代码发布回服务器
  • 饼干中毒  –更改cookie中保存的参数值以破坏网页之间传递的数据
  • 网页抓取  –从网页自动提取数据
  • 第7层DoS攻击 –通过递归应用程序活动使Web服务器不堪重负
  • 参数篡改 –更改网页调用的参数值
  • 缓冲区溢出 –覆盖内存中代码的用户输入
  • 后门 或Debug选项 –用于网页测试的开发人员反馈报告,黑客可以使用这些报告来访问处理器
  • 隐形指挥 –对Web服务器操作系统的攻击
  • 强制浏览 –黑客可以访问Web服务器上的备份或临时文件夹
  • 第三方配置错误 –处理其他公司提供的内容插入
  • 现场 漏洞/ SQL注入 –在用户身份验证字段中输入的查询

尽管WAF充当网站的前端,但是此技术并未提供您的Web主机所需的许多基本访问控制功能. WAF专注于HTTP代码 以及其他Internet应用程序(例如FTP)的请求过程。在这些情况下,这些应用程序协议的安全版本, 还包括HTTPS和SFTP.

WAF如何工作?

Web应用程序防火墙图

WAF查找传入请求中包含的不规则性,并阻止格式错误或弯曲的构造。 WAF不负责服务器群集之间的负载平衡。尽管某些类型的DDoS攻击使用HTTP,但大多数都使用较低级别的方法。因此,WAF可以保护您免受HTTP和FTP应用程序级别/第7层DDoS攻击的侵害,但不会受到其他策略的攻击.

WAF配置

WAF必须成为您的Web托管保护策略的一部分。它可以实现为硬件解决方案或软件.

软件WAF的支持者认为,您已经有足够的可用硬件,您只需要扩展现有设备的功能即可获得Web应用程序防火墙。但是,WAF的理想位置是服务器的前面,并且大多数软件解决方案都直接安装在Web服务器上.

WAF放置

放置WAF的最佳位置是路由器,该路由器充当网络(进而是服务器)与Internet之间的网关。这种策略意味着最好的选择是具有集成WAF的路由器。这将是一台独立的设备,并且可以防止破坏性的流量或黑客入侵您的宝贵服务器.

软件与硬件WAF注意事项

那么,您应该选择哪个来控制成本?软件WAF比硬件解决方案便宜。但是,不要以为在服务器上安装WAF软件不会产生硬件成本。您可能已经计划了服务器的硬件容量,因此添加额外的功能将占用磁盘空间,使用内存并占用CPU处理器。您可能必须扩展服务器容量才能托管WAF,因此涉及硬件成本.

现场技能也是一个考虑因素。您的系统管理人员很可能都熟悉服务器的操作系统,但是对新设备的固件比较笨拙。硬件WAF的用户倾向于将其视为黑匣子,并对其操作进行干预的程度远不如对软件WAF进行干预-这可能是一件好事.

硬件和软件WAFS都附带补丁程序和更新支持。但是,更新软件版本通常需要您的同意并需要对每个安装进行管理,而硬件WAF往往会由提供商直接进行更新,从而使您不会遇到耗时的补丁程序管理问题.

一般来说,硬件WAF和软件WAF都执行相同的任务。硬件WAF可以减轻服务器的负担,即使您要关闭其中一台服务器,它们也可以继续工作。硬件WAF更可靠,可以任其独立工作。尽管硬件WAF可能比软件WAF更好,但是管理员倾向于偏爱软件WAF的可访问性和可定制性。.

Web应用程序防火墙功能

您不但应该在网页处于活动状态时扫描所有用户活动,还需要检查网页代码,包括外部公司提供的现成插件。编码错误和现场验证过度被称为零日漏洞。它们是非标准路径,可能允许黑客访问您的Web服务器。如果黑客在您或插入的代码提供者发现问题之前发现了这些缺陷,则您将受到WAF可能未涵盖的零日攻击.

WAF的价值在于它适用于用户响应的规则。这些规则设置执行验证过程,通过布置活动来发现并确定发现漏洞时要采取的措施,从而保护Web服务器免受恶意活动的侵害。将编写规则以专门阻止众所周知的攻击策略。但是,WAF例程中额外的,更灵活的规则对于识别零时差威胁很有用.

也可以看看: 最好的免费端口扫描仪

有关: 最好的入侵检测工具

最佳的基于云的WAF

现在,大多数软件WAF都已实现为云服务。这些服务按照不同的计划按月收费,以适合不同的网站。这是一个破败 当今市场上最好的基于云的WAF:

1. AppTrana托管的Web应用程序防火墙(免费试用)


AppTrana 来自Indusface的产品提供了完全托管的Web应用程序防火墙,并与云上的内容加速和CDN捆绑在一起。您所需要做的就是通过Indusface通过AWS数据中心多个区域中托管的AppTrana服务路由流量.

AppTrana开箱即用,具有优化的核心规则集,可基于Indusface通过对数千个其他网站进行安全评估而开发的优化核心规则集,立即将其置于阻止模式。一旦上线,客户就可以对网站进行按需自动安全评估,并即时了解他们是否已受WAF保护或需要自定义规则.

可以从集中门户请求那些需要自定义规则的人,Indusface的24×7 MSS团队将创建一个零WAF误报保证的自定义规则并对其进行保护。通过服务中包含的捆绑CDN可以增强网站性能。 AppTrana计划与订阅服务一起提供 14天免费试用.  免费试用注册会自动注册为永久免费的基本计划,其中包括每月两次为您的网站进行自动安全扫描.

AppTrana托管的Web应用程序FirewallBeggin 14天免费试用

2. StackPath Web应用防火墙(免费试用)

StackPath-WAF

Web应用防火墙 是以下人员提供的一套基于云的服务之一 栈路径 专门研究“边缘技术”的人。该术语指的是将服务推送到网络边缘,然后再进一步扩展的技术。 StackPath是基于订阅的云服务, 在到达网络服务器之前捕获所有流量.

StackPath的异地配置为您的Web服务器提供了额外的保护 恶意代码甚至没有机会接触您的资源.

前往您的网站的Web流量首先被转移到StackPath服务器。此服务提供的三个基本防御是: IP地址评估, 浏览器验证, 和 内容规则的使用. 这种方法侧重于来自可疑来源的传入请求的可能性。源过滤还会关闭任何DDoS攻击尝试.

仅将经过验证的流量转发到您的Web服务器. 所有这些处理过程是如此之快,以至于普通用户不会受到任何连接速度的损害。 StackPath提供了 Web应用防火墙 服务第一个月免费.

StackPath Web应用程序防火墙第一个月免费

3. Sucuri网站防火墙(了解更多信息)

Sucuri网站防火墙

Sucuri Web应用程序防火墙 是一系列网站保护措施的一部分。 Sucuri基于云的保护系统是一项在线服务。您网站的地址托管在Sucuri的服务器上,所有网络流量也都首先到达该地址.

Sucuri服务通过多种技术过滤掉恶意流量。该公司维护攻击特征码的数据库,该数据库会不断更新,因此 您的网站可以从Sucuri捍卫其他网站时获得的保护策略中受益.

该服务包包括性能优化和DDoS保护。 Sucuri服务器阻止恶意流量,并将所有善意请求转发到您的Web服务器上。这个流程 发生得如此之快,以至于访客不会注意到任何减速 在您的网页交付中.

通过缓存增强了交付性能,这意味着 即使您的网站需要维护,访客仍然可以访问您的网页. Suucuri Web应用防火墙可作为订阅服务使用,其基本套餐的价格从每月9.99美元起。在其网站上查看计划详细信息.

Sucuri Web应用程序防火墙查看计划详细信息

4. Cloudflare WAF

Cloudflare WAF

Cloudflare在保护Web主机免受DDoS攻击方面已经非常成功,并且它们通过Web应用程序防火墙扩展了其保护范围。这是一种非常广泛使用的在线服务。他们的服务器代表大型客户群每秒处理290万个请求.

订阅Cloudflare等广泛使用的云WAF的好处在于,该公司可以将规模经济应用于其威胁研究. 对一名客户的攻击尝试立即波及到受Cloudflare保护的所有Web服务器的黑名单条目. 如果您有一个基于云的服务器对您的企业来说是中心服务器,或者作为Web演示文稿中包含的内容交付系统,那么Cloudflare也可以解决这一问题。将完整的Cloudflare DDoS保护与WAF订阅集成在一起是一项非常简单的任务.

5. Akamai Kona网站防御者

Kona Site Defender

Akamai是DDoS缓解方面的全球领导者,它在名为Site Defender的云服务中将完整的DDoS防护与其Web应用程序防火墙集成在一起。将这两项服务结合到一个产品中的一个巨大好处是,您可以 无需将您的流量路由到两个不同的公司 为了使真正的请求到达您的Web服务器.

作为在线安全领域的领导者之一,Akamai通常是第一个发现新漏洞的人。作为Site Defender的客户,您可以通过更紧密,更智能的黑客流量阻止功能,立即从此“超前”信息中受益。.

6.亚马逊AWS WAF

Amazon AWS Web应用程序防火墙

Amazon AWS Web应用程序防火墙(或AWS WAF)仅对公司Web服务的客户可用。其中包括应用程序负载平衡器和Amazon内容交付网络。由于Amazon Web Services基于云,因此该WAF是您现有订阅的附加组件。价格模型很诱人. 您不必每个月一次付清. 相反,您需要为所设置的每个安全规则以及服务器在一个月内收到的Web请求数付费.

7.封装Web应用程序防火墙

封装Web应用程序防火墙

Incapsula是DDoS保护的领导者,该公司在其WAF中增加了完整的DDoS过滤功能,而不仅仅是应用层保护。该公司在全球拥有25个数据中心,以确保全天候监控基于云的WAF.

Incapsula提供的最便宜的WAF计划每月收费300美元。位于其他地方,保持威胁数据库更新不是您的问题。封装负责。该公司还将通过修补程序向您发送补丁,以帮助您保护Web应用程序,您可以安排将其安排在服务器的安静时间使用.

最佳的基于硬件的WAF

Web应用程序防火墙的硬件解决方案涉及需要放在Web基础结构前面的一部分网络设备.

由于双向的所有流量都将首先通过此设备,因此您需要 确保您选择的模型能够处理Web服务器的典型请求吞吐率. 在评估WAF设备时,您首先应该根据Mbps的数据吞吐量和事务数量来衡量服务器的需求。随着SSL事务处理量的增加,您应该查看每秒最大SSL事务数(TPS).

1. Imperva SecureSphere

Imperva SecureSphere

该WAF的目标对象是小型企业,其吞吐量为100 Mbps,可处理440 SSL TPS,而其型号则可以处理10 Gbps和9,000 SSL TPS。作为该范围的示例,请看一下X2023,它以4,200美元的价格为您提供了500 Mbps的吞吐量。这个单位可以处理2,200个SSL TPS.

该范围内的较高型号相互兼容。您可以购买吞吐量为5 Gbps的X85210,然后通过软件补丁对其进行升级,以将其转换为X10K型号,从而实现10 Gbps的吞吐量。您还可以选择基于云的SecureSphere版本.

2.梭子鱼Web应用程序防火墙

Baracuda Web应用程序防火墙

梭子鱼对于中小型基于Web的企业是一个很好的解决方案。该设备价格稍高,但是购买价格包括整年的系统更新。当公司检测到新的威胁和漏洞时,梭子鱼框会自动更新。梭子鱼盒具有一些额外的功能,包括缓存以加快内容交付和负载平衡。您可以付费添加完整的DDoS保护.

梭子鱼WAF有各种尺寸,每种都有不同的容量。例如,Model 360将为您提供25 Mbps的吞吐量,并且可以处理2000 SSL TPS。您购买的360套件将为您带来6,350美元的收入,包括虚拟补丁程序的第一年。随后几年的支持费用为每年1,350美元.

3. Citrix Netscaler应用防火墙

思杰Netscaler

Netscaler MPX系列的容量从500 Mbps到200 Gbps不等。最便宜的型号是MXP 5550,它可以为您提供500 Mbps的吞吐量,并且可以应对1,500个SSL TPS。这个单元的价格为4,000美元,但该价格不包括虚拟补丁合同,这是额外的费用.

Citrix Netscaler设备还充当小型企业的负载平衡器。 Netscaler也可以作为云服务使用.

4. Fortinet FortiWeb

Fortinet FortiWeb

如果您的网络企业规模较小,并且要升级到中型企业,则需要升级很多设备。这可能是您检查Fortinet FortiWeb设备的好机会. 该设备将WAF与负载均衡器和SSL卸载程序集成在一起. 如果要扩展到多台服务器,无论如何都将需要一个负载平衡器,因此,在市场上需要一整套新套件时,将Web应用程序防火墙从购买清单中删除是很有意义的。好,并把它们都装在同一个盒子里.

FortiWeb系列包括八种增加吞吐量的型号。入门级型号为100D。这具有25 Mbps的吞吐率。顶级型号是4000E。这具有20Gbps的吞吐量。 FortiWeb还运行其Web应用程序防火墙服务的云版本。.

5. F5 BIG-IP ASM

F5 BIG-IP ASM

BIG-IP ASM是针对大型公司的。不幸的是,F5并未为其模型提供SSL TPS速率,而是提供了HTTP TPS速率。 10200型可以处理75,000个HTTP TPS,吞吐量为5 Gbps.

BIG-IP ASM通过处理HTTPS和SFTP的SSL加密来帮助您的服务器更快地执行。此功能称为“ SSL卸载”。F5软件包包括可从深度威胁分析和动态学习中受益的威胁防护,因此您无需花费太多时间阅读报告即可确定要列入黑名单的地址,因为设备将为您做到这一点.

基于硬件的与基于云的WAF:优点和缺点

您自己选择的设备或云解决方案通常取决于您对每种配置的偏好。例如,某些人不舒服地将其网络外包,而Web主机的安全功能是特别敏感的话题.

基于云的WAF缺点

WAF站在您所有其他设备的前面,因此它必须是URL的目标。这意味着您不再直接控制流量,因为所有DNS记录都会首先将网站访问者定向到云服务.

如果包含其他前端安全服务的公司提供云WAF,则将它们组合到一个软件包中是有意义的。例如, 如果您选择的WAF提供商没有DDoS防护服务,则您需要将流量转发到第二个云服务,以完全覆盖所有威胁. 提取WAF云服务可以将您锁定在一家在线安全公司中,以提供所有在线保护,并限制您的选择范围.

WAF检查数据包的内容,因此它们必须先剥离所有加密保护,然后才能执行其主要任务。这意味着您必须将SSL证书移交给云WAF提供程序,以有效地放弃所有保护Web主机,内容和客户安全的安全功能。.

您需要对云WAF提供商抱有很大的信心,以便准备让该第三方站在您和您的客户之间.

基于云的WAF专家

另一方面,顶级云WAF提供程序的声誉和专业知识意味着您无需担心被失望。我们名单上的公司专门从事网络和安全服务。他们积累的专业知识远远超过您自己在内部公司所能获得的知识。如果您尝试涵盖这些问题涉及的所有复杂任务,则可能会增加网站的可用性和安全性风险.

基于云的解决方案可以按月付费, 分散您的Web应用程序保护成本。在某些情况下,您只需要为Web吞吐量付费,因此可以将保护费用的支付时间推迟到计算和开具发票的服务水平的月底.

如果您已经将部分运营外包,那么您已经熟悉了基于云的运营方法,因此将WAF外包也不会太困难。如果将其他服务(例如DDoS保护和负载平衡)与新的WAF结合使用,则从物流和经济角度出发更有意义,则可能需要从现有的提供商处切换。.

基于硬件的WAF缺点

考虑硬件WAF的成本时,您需要增加安装,安装,保护和维护它的费用。在线WAF会自动更新,因此它们始终是最新的,随时可以应对最新出现的威胁。在您自己的WAF设备上进行这种准备可能很昂贵.

大多数硬件WAF供应商提供更新服务. 新威胁的修复程序会自动通过Internet发送到您的WAF设备,并且无需您的干预即可更新其固件。. 在某些新威胁的情况下,您网络上的其他设备和软件可能需要更新,并且WAF提供程序的支持服务也会为您提供这些服务.

此过程称为“虚拟补丁程序”,它是经典防火墙数据库更新的WAF版本。但是,尽管我们列表中的所有硬件供应商都提供了虚拟补丁程序,但并非所有人都免费提供了该服务。包含更新服务的地方,通常仅在第一年免费。之后,您必须额外支付内部WAF的支持费用.

购买硬件WAF的前期成本在努力使新的Web公司运营时可能是不便的费用. 如果您一开始就放弃了这种保护,那么您可能会陷入一种沉迷的信念,那就是即使您已经拥有足够的现金来备用,这也是不必要的. 这是一种危险的情况,因为一旦受到攻击,您将只会意识到需要WAF保护。届时,您的网站将被搜索引擎阻止,因为其中包含恶意代码,您将因此而倒闭。.

基于硬件的WAF专家

如果您正在运行自己的Web服务器,则可能已经对网络和Internet系统了解很多。一旦安装了额外的服务器来满足需求,您可能需要一个负载平衡器。在这种情况下,您可以购买组合的Web缓存,负载均衡器和WAF,并通过一台设备处理所有前端需求。.

拥有自己的WAF意味着您不必将您的网址交还给第三方。如果您确实需要全面的DDoS保护,则您的URL将必须转到DDoS缓解提供程序。但是,在这种情况下,您无需将DDoS保护的选择限制为您的云WAF公司提供的保护。您将不会致力于通过URL来提供WAF.

选择Web应用程序防火墙

无论您是希望在网络上拥有自己的WAF,还是您认为采用基于云的WAF解决方案都更好,此评估为您提供了五个可供选择的选择。为公司选择新设备,软件和服务可能非常耗时。在本指南中,我们已为您完成了第一阶段的工作.

您的下一个任务是缩小选择范围。这些WAF提供程序提供的附加功能将引导您选择该产品。每个服务的容量也是一个重要的考虑因素,您应该考虑可扩展性,以便考虑到您将来的扩展计划.

确定要使用硬件还是基于云的WAF,然后检查该类别中列出的五个。忽略Web应用程序防火墙为您的组织提供的保护将是一个错误。不要等到为时已晚并且您的网站已遭到攻击。立即获取WAF以使您的网站保持在线.

图片:frankieleon的防火墙,通过Flickr.com获CC BY 2.0许可

1 thought on “12种最佳Web应用程序防火墙(WAF)

  1. 影响。 StackPath还提供了一个易于使用的控制面板,以便管理员可以轻松管理其Web应用程序防火墙设置。 StackPath Web应用程序防火墙提供免费试用,以便管理员可以在购买之前测试其功能.

    3. Sucuri网站防火墙(了解更多信息) Sucuri是一家专门从事网站安全的公司,提供一系列安全解决方案,包括Web应用程序防火墙。 Sucuri的Web应用程序防火墙是基于云的,可以保护您的网站免受各种攻击,包括DDoS攻击,SQL注入和XSS攻击等. Sucuri的Web应用程序防火墙还提供了实时流量监控和日志记录功能,以便管理员可以随时了解其网站的安全状况。 Sucuri还提供了一个易于使用的控制面板,以便管理员可以轻松管理其Web应用程序防火墙设置.

    4. Cloudflare WAF Cloudflare是一家知名的云安全公司,提供一系列安全解决方案,包括Web应用程序防火墙。 Cloudflare的Web应用程序防火墙可以保护您的网站免受各种攻击,包括DDoS攻击,SQL注入和XSS攻击等。 Cloudflare的Web应用程序防火墙还提供了实时流量监控和日志记录功能,以便管理员可以随时了解其网站的安全状况。 Cloudflare还提供了一个易于使用的控制面板,以便管理员可以轻松管理其Web应用程序防火墙设置。 Cloudflare的Web应用程序防火墙可以与其DDoS保护服务结合使用,以提供

Comments are closed.