ไฟร์วอลล์ของเว็บแอปพลิเคชัน เสนอการป้องกันสำหรับเว็บเซิร์ฟเวอร์ การส่งมอบแอปพลิเคชันบนเว็บเป็นไปตามรูปแบบของไคลเอ็นต์ – เซิร์ฟเวอร์โดยที่เซิร์ฟเวอร์จะส่งข้อความเพื่อตอบสนองต่อคำขอจากลูกค้าเท่านั้น.
ไฟร์วอลล์ทั่วไปปกป้องไคลเอ็นต์ ไฟร์วอลล์ของเว็บแอปพลิเคชันปกป้องเซิร์ฟเวอร์ เราได้รับรายละเอียดมากมายด้านล่างในเครื่องมือแต่ละตัวที่มีคุณสมบัติด้านล่าง แต่ถ้าคุณมีเวลาอ่านสรุปเท่านั้นนี่คือรายการของ WAFs ที่ดีที่สุดบนคลาวด์:
- ไฟร์วอลล์แอปพลิเคชันเว็บที่มีการจัดการของ AppTrana (ทดลองใช้ฟรี) WAF ที่มีการจัดการอย่างสมบูรณ์ที่จัดทำโดย Indusface พร้อมชุดแอปพลิเคชันสแกนเนอร์ CDN และกฎที่กำหนดเองที่จัดการด้วย Zero WAF การรับประกันที่ผิดพลาดบวกด้วย SLA และการสนับสนุน 24 × 7.
- StackPath Web Application Firewall (ทดลองใช้ฟรี) ไฟร์วอลล์บนคลาวด์ที่เป็นส่วนหนึ่งของโซลูชัน“ edge”.
- Sucuri เว็บไซต์ไฟร์วอลล์ (เรียนรู้เพิ่มเติม) ส่วนหนึ่งของชุดบริการป้องกันนอกสถานที่ซึ่งรวมถึงการป้องกัน DDoS.
- Cloudflare WAF โซลูชันบนคลาวด์ที่สามารถใช้ร่วมกับการป้องกัน DDoS ได้.
- Akamai Kona ผู้พิทักษ์ไซต์ รวมการป้องกัน WAF และ DDoS นอกสถานที่.
- Amazon Web Services WAF ส่วนหน้าสำหรับผู้ที่ทำงานกับ Amazon Web Services รวมถึง Application Load Balancer และเครือข่ายการส่งเนื้อหาของ Amazon.
- Incapsula Web Application Firewall นอกสถานที่ WAF ที่รวมการป้องกัน DDoS จากหนึ่งใน บริษัท รักษาความปลอดภัยทางไซเบอร์ชั้นนำของโลก.
และนี่คือรายชื่อของเรา WAFs ที่ใช้ฮาร์ดแวร์ที่ดีที่สุด:
- Imperva SecureSphere – WAF ฮาร์ดแวร์จากผู้นำในอุตสาหกรรมความปลอดภัยทางไซเบอร์มุ่งเป้าไปที่ธุรกิจขนาดเล็ก.
- Barracuda Web Application Firewall – WAFs ของฮาร์ดแวร์สำหรับ บริษัท ขนาดเล็กถึงขนาดกลาง.
- Citrix Netscaler Application Firewall – กลุ่มฮาร์ดแวร์ WAF ที่มีการทำโหลดบาลานซ์ มีให้บริการในรูปแบบคลาวด์.
- Fortinet FortiWeb – ช่วงของฮาร์ดแวร์ WAFs ที่มีการทำ load balance และ SSL offloader.
- F5 BIG-IP ASM – ฮาร์ดแวร์ WAF ที่มีการถ่าย SSL สำหรับองค์กรขนาดใหญ่.
การโจมตีใดที่ WAFs ป้องกัน?
ไฟร์วอลล์ของเว็บแอปพลิเคชันหรือ WAF จำเป็นต้องปกป้องเว็บเซิร์ฟเวอร์ของคุณและเนื้อหาจากการโจมตีประเภทต่อไปนี้:
- การเขียนสคริปต์ข้ามไซต์ (XSS) – แฮ็กเกอร์ใส่โค้ด HTML ที่เป็นอันตรายลงในฟิลด์ป้อนข้อมูลหน้าเว็บ
- สนามที่ซ่อนอยู่ การจัดการ – แฮ็กเกอร์เขียนซอร์สโค้ดของหน้าเว็บใหม่เพื่อแก้ไขค่าที่เก็บไว้ในฟิลด์ที่ซ่อนไว้แล้วโพสต์โค้ดที่แก้ไขแล้วกลับไปที่เซิร์ฟเวอร์
- พิษคุกกี้ – การแก้ไขค่าพารามิเตอร์ที่เก็บไว้ในคุกกี้เป็นข้อมูลเสียหายที่ส่งผ่านระหว่างหน้าเว็บ
- เว็บขูด – การดึงข้อมูลอัตโนมัติจากหน้าเว็บ
- การโจมตี Layer 7 DoS – ครอบงำเว็บเซิร์ฟเวอร์ด้วยกิจกรรมแอปพลิเคชันแบบเรียกซ้ำ
- พารามิเตอร์การแก้ไขดัดแปลง – การปรับเปลี่ยนค่าในพารามิเตอร์เป็นการเรียกเว็บเพจ
- บัฟเฟอร์ล้น – อินพุตผู้ใช้ที่เขียนทับรหัสในหน่วยความจำ
- ประตูหลัง หรือตัวเลือกการแก้ปัญหา – รายงานข้อเสนอแนะของนักพัฒนาสำหรับการทดสอบหน้าเว็บที่แฮกเกอร์สามารถใช้เพื่อเข้าถึงโปรเซสเซอร์
- ผู้บังคับบัญชาชิงทรัพย์ – การโจมตีระบบปฏิบัติการของเว็บเซิร์ฟเวอร์
- บังคับให้เรียกดู – แฮ็กเกอร์สามารถเข้าถึงโฟลเดอร์สำรองหรือโฟลเดอร์ชั่วคราวบนเว็บเซิร์ฟเวอร์
- การกำหนดค่าผิดพลาดของบุคคลที่สาม – การจัดการของการแทรกเนื้อหาที่ได้รับจาก บริษัท อื่น ๆ
- เว็บไซต์ ช่องโหว่ / การฉีด SQL – คำสั่งที่ป้อนในฟิลด์การตรวจสอบผู้ใช้
แม้ว่า WAF จะทำงานเป็นส่วนหน้าของเว็บไซต์ แต่ฟังก์ชั่นการควบคุมการเข้าถึงที่จำเป็นจำนวนหนึ่งที่เว็บโฮสต์ของคุณต้องการนั้นไม่ได้มีให้โดยเทคโนโลยีนี้. WAFs มุ่งเน้นไปที่รหัส HTTP และขั้นตอนการร้องขอสำหรับแอปพลิเคชั่นอินเทอร์เน็ตอื่น ๆ เช่น FTP ในกรณีเหล่านี้เวอร์ชันที่ปลอดภัยของโปรโตคอลแอปพลิเคชันเหล่านี้, HTTPS และ SFTP ยังรวมถึง.
WAFs ทำงานอย่างไร?
WAFs มองหาความผิดปกติที่มีอยู่ในคำร้องขอที่เข้ามาและบล็อกโครงสร้างที่ผิดปกติหรือคดเคี้ยว WAF จะไม่รับผิดชอบในการทำโหลดบาลานซ์ระหว่างคลัสเตอร์ของเซิร์ฟเวอร์ แม้ว่าการโจมตี DDoS บางประเภทจะใช้ HTTP แต่ส่วนใหญ่ใช้วิธีการระดับล่าง ดังนั้น WAF จะปกป้องคุณจากการโจมตี HTTP และ FTP ระดับแอพพลิเคชัน / เลเยอร์ 7 DDoS แต่ไม่ใช่กลยุทธ์อื่น.
การกำหนดค่า WAF
WAF ต้องเป็นส่วนหนึ่งของกลยุทธ์การป้องกันเว็บโฮสติ้งของคุณ มันสามารถนำมาใช้เป็นโซลูชั่นฮาร์ดแวร์หรือซอฟต์แวร์.
ผู้สนับสนุนของซอฟต์แวร์ WAFs ยืนยันว่าคุณมีฮาร์ดแวร์เพียงพอแล้วคุณเพียงแค่ขยายขีดความสามารถของอุปกรณ์ที่มีอยู่ของคุณเพื่อรับไฟร์วอลล์เว็บแอปพลิเคชัน อย่างไรก็ตามตำแหน่งที่เหมาะสำหรับ WAF นั้นอยู่ต่อหน้าเซิร์ฟเวอร์ของคุณและโซลูชันซอฟต์แวร์ส่วนใหญ่จะถูกติดตั้งบนเว็บเซิร์ฟเวอร์โดยตรง.
ตำแหน่ง WAF
สถานที่ที่ดีที่สุดในการทำให้ WAF ของคุณอยู่บนเราเตอร์ที่ทำหน้าที่เป็นเกตเวย์ระหว่างเครือข่ายของคุณ (เช่นเซิร์ฟเวอร์ของคุณ) และอินเทอร์เน็ต กลยุทธ์นี้บอกเป็นนัยว่าทางเลือกที่ดีที่สุดคือเราเตอร์ที่มี WAF ในตัว นี่จะเป็นอุปกรณ์แบบสแตนด์อโลนและจะป้องกันการเข้าชมที่ไม่เหมาะสมหรือการสำรวจแฮ็กเกอร์ถึงเซิร์ฟเวอร์ที่มีค่าของคุณ.
ข้อควรพิจารณาเกี่ยวกับซอฟต์แวร์และฮาร์ดแวร์ของ WAF
ดังนั้นคุณควรเลือกควบคุมต้นทุนแบบใด ซอฟต์แวร์ WAFs ราคาถูกกว่าโซลูชันฮาร์ดแวร์ อย่างไรก็ตามอย่าคิดว่าไม่มีค่าใช้จ่ายด้านฮาร์ดแวร์ในการติดตั้งซอฟต์แวร์ WAF บนเซิร์ฟเวอร์ของคุณ คุณอาจวางแผนความจุฮาร์ดแวร์เซิร์ฟเวอร์ของคุณดังนั้นการเพิ่มฟังก์ชั่นพิเศษจะใช้พื้นที่ดิสก์ใช้หน่วยความจำและผูกตัวประมวลผล CPU คุณอาจต้องขยายความสามารถของเซิร์ฟเวอร์เพื่อโฮสต์ WAF ดังนั้นจึงมีค่าใช้จ่ายด้านฮาร์ดแวร์ที่เกี่ยวข้อง.
นอกจากนี้ยังมีการพิจารณาชุดทักษะนอกสถานที่ด้วย อาจเป็นไปได้ว่าเจ้าหน้าที่ดูแลระบบของคุณทุกคนคุ้นเคยกับระบบปฏิบัติการของเซิร์ฟเวอร์ แต่จะซุ่มซ่ามรอบเฟิร์มแวร์ของอุปกรณ์ใหม่ ผู้ใช้ฮาร์ดแวร์ WAF มักจะปฏิบัติต่อพวกเขาในฐานะกล่องดำและแทรกแซงการดำเนินงานของพวกเขาน้อยกว่าพวกเขาด้วยซอฟต์แวร์ WAFs – ซึ่งอาจเป็นสิ่งที่ดี.
ทั้งฮาร์ดแวร์และซอฟต์แวร์ WAFS มาพร้อมกับแพตช์และอัปเดตการสนับสนุน อย่างไรก็ตามการอัปเดตเวอร์ชันซอฟต์แวร์มักจะต้องได้รับความยินยอมและการจัดการของคุณสำหรับการติดตั้งแต่ละครั้งในขณะที่ WAFs ของฮาร์ดแวร์มักจะได้รับการอัพเดตโดยตรงจากผู้ให้บริการทำให้คุณไม่มีปัญหาในการจัดการโปรแกรมแก้ไข.
โดยทั่วไปแล้วทั้งฮาร์ดแวร์ WAF และซอฟต์แวร์ WAF จะทำงานเดียวกัน ฮาร์ดแวร์ WAFs ทำให้เซิร์ฟเวอร์ของคุณโหลดเพิ่มเป็นพิเศษและพวกเขาสามารถทำงานต่อไปได้แม้ในขณะที่คุณต้องการให้เซิร์ฟเวอร์ตัวใดตัวหนึ่งของคุณทำงานล้มเหลว ฮาร์ดแวร์ WAF เชื่อถือได้มากขึ้นและสามารถปล่อยให้ทำงานตามลำพังได้ แม้ว่า WAF ของฮาร์ดแวร์อาจเป็นตัวเลือกที่ดีกว่าซอฟต์แวร์ WAFs แต่ผู้ดูแลระบบมักจะชอบความสามารถในการเข้าถึงและปรับแต่งได้ของซอฟต์แวร์ WAFs.
ฟังก์ชั่นไฟร์วอลล์ของเว็บแอปพลิเคชัน
ไม่เพียง แต่คุณควรสแกนกิจกรรมของผู้ใช้ทั้งหมดเมื่อหน้าเว็บยังใช้งานอยู่ แต่คุณต้องตรวจสอบรหัสของหน้าเว็บของคุณรวมถึงปลั๊กอินที่จัดทำโดย บริษัท ภายนอก ข้อผิดพลาดในการเข้ารหัสและการตรวจสอบความถูกต้องเป็นที่รู้จักกันว่าเป็นช่องโหว่แบบ zero-day นี่เป็นเส้นทางที่ไม่ได้มาตรฐานที่จะอนุญาตให้แฮกเกอร์เข้าถึงเว็บเซิร์ฟเวอร์ของคุณ หากแฮกเกอร์ค้นพบข้อบกพร่องเหล่านี้ก่อนที่คุณหรือผู้ให้บริการของรหัสที่แทรกเห็นปัญหาคุณจะถูกโจมตีแบบ zero-day ซึ่งอาจไม่ครอบคลุมโดย WAF ของคุณ.
ค่าของ WAF อยู่ในกฎที่ใช้กับการตอบกลับของผู้ใช้ การตั้งค่ากฎเหล่านี้ดำเนินการขั้นตอนการตรวจสอบความถูกต้องที่ปกป้องเว็บเซิร์ฟเวอร์ของคุณจากกิจกรรมที่เป็นอันตรายโดยการจัดทำกิจกรรมเพื่อระบุและดำเนินการตามที่กำหนดเมื่อค้นพบช่องโหว่ กฎจะถูกเขียนเพื่อบล็อกเฉพาะกลยุทธ์การโจมตีที่รู้จักกันดี อย่างไรก็ตามกฎเพิ่มเติมที่ยืดหยุ่นกว่าในรูทีนของ WAF นั้นมีประโยชน์สำหรับการระบุการคุกคามแบบ zero-day.
ดูสิ่งนี้ด้วย: สุดสแกนเนอร์พอร์ตฟรี
ที่เกี่ยวข้อง: เครื่องมือตรวจจับการบุกรุกที่ดีที่สุด
WAFs ที่ดีที่สุดบนคลาวด์
ซอฟต์แวร์ WAFs ส่วนใหญ่ตอนนี้ใช้งานเป็นบริการคลาวด์ บริการเหล่านี้คิดค่าบริการรายเดือนพร้อมแผนการที่แตกต่างเพื่อให้เหมาะกับเว็บไซต์ที่แตกต่างกัน ที่นี่หมดลงแล้ว WAFs ที่ใช้ระบบคลาวด์ที่ดีที่สุดในตลาดวันนี้:
1. ไฟร์วอลล์แอปพลิเคชันเว็บที่จัดการของ AppTrana (ทดลองใช้ฟรี)
AppTrana จาก Indusface ให้ไฟร์วอลล์เว็บแอพพลิเคชั่นที่ได้รับการจัดการอย่างครบถ้วนซึ่งมาพร้อมกับการเร่งเนื้อหาและ CDN บนคลาวด์ สิ่งที่คุณต้องทำคือกำหนดเส้นทางการรับส่งข้อมูลของคุณผ่านบริการ AppTrana ที่โฮสต์ในหลายภูมิภาคในศูนย์ข้อมูล AWS โดย Indusface.
AppTrana ออกมานอกกรอบพร้อมชุดกฎหลักที่ปรับให้เหมาะสมซึ่งสามารถวางในโหมดบล็อกได้ทันทีตามชุดกฎหลักที่ปรับให้เหมาะสม Indusface ได้พัฒนาขึ้นโดยทำการประเมินความปลอดภัยของเว็บไซต์อื่น ๆ หลายพันแห่ง ลูกค้าสามารถทำการประเมินความปลอดภัยอัตโนมัติตามความต้องการของเว็บไซต์และรับการเปิดเผยทันทีว่าพวกเขาได้รับการคุ้มครองโดย WAF หรือต้องการกฎที่กำหนดเอง.
ผู้ที่ต้องการกฎที่กำหนดเองสามารถขอได้จากพอร์ทัลรวมศูนย์และทีม MSS 24 × 7 จาก Indusface จะสร้างกฎที่กำหนดเองด้วย Zero WAF false-positive และปกป้องพวกเขา ประสิทธิภาพของเว็บไซต์ได้รับการปรับปรุงผ่าน CDN ที่รวมอยู่ในบริการ แผน AppTrana มีให้บริการในรูปแบบของการสมัครสมาชิก ทดลองใช้ฟรี 14 วัน. การลงทะเบียนทดลองใช้ฟรีจะลงทะเบียนโดยอัตโนมัติตลอดไปแผนขั้นพื้นฐานซึ่งรวมถึงการสแกนความปลอดภัยอัตโนมัติสองครั้งต่อเดือนสำหรับเว็บไซต์ของคุณ.
AppTrana Managed Web Application FirewallBeggin ทดลองใช้ฟรี 14 วัน
2. ไฟร์วอลล์แอปพลิเคชัน StackPath เว็บ (ทดลองใช้ฟรี)
เว็บแอพพลิเคชั่นไฟร์วอลล์ เป็นหนึ่งในชุดบริการบนคลาวด์ที่นำเสนอโดย StackPath ผู้ที่เชี่ยวชาญใน“ เทคโนโลยีที่ทันสมัย” คำนี้หมายถึงเทคนิคของการผลักดันบริการออกไปที่ขอบของเครือข่ายของคุณและจากนั้นเป็นต้นไป StackPath เป็นบริการคลาวด์ที่สมัครสมาชิก บันทึกการรับส่งข้อมูลทั้งหมดก่อนที่จะถึงเว็บเซิร์ฟเวอร์ของคุณ.
การกำหนดค่าภายนอกของ StackPath ให้การป้องกันเพิ่มเติมสำหรับเว็บเซิร์ฟเวอร์ของคุณเป็นแบบใดก็ได้ รหัสที่เป็นอันตรายไม่ได้มีโอกาสสัมผัสทรัพยากรของคุณ.
การรับส่งข้อมูลเว็บที่มุ่งหน้าไปยังเว็บไซต์ของคุณจะถูกเบี่ยงเบนเพื่อมาถึงเซิร์ฟเวอร์ StackPath ก่อน การป้องกันพื้นฐานสามประการที่นำเสนอโดยบริการนี้คือ: การประเมินที่อยู่ IP, การตรวจสอบเบราว์เซอร์, และ การใช้กฎของเนื้อหา. วิธีการนี้มุ่งเน้นไปที่ความน่าจะเป็นของคำขอที่เข้ามาจากแหล่งที่น่าสงสัย การกรองแหล่งที่มายังปิดความพยายามโจมตี DDoS ใด ๆ.
การรับส่งข้อมูลที่ผ่านการตรวจสอบเท่านั้นจะถูกส่งต่อไปยังเว็บเซิร์ฟเวอร์ของคุณ. การประมวลผลทั้งหมดนั้นเกิดขึ้นอย่างรวดเร็วจนผู้ใช้ทั่วไปไม่พบกับการด้อยค่าของความเร็วในการเชื่อมต่อ StackPath เสนอ เว็บแอพพลิเคชั่นไฟร์วอลล์ ฟรีสำหรับเดือนแรกของการบริการ.
StackPath Web Application Firewall ฟรีเดือนแรก
3. เว็บไซต์ไฟร์วอลล์ Sucuri (เรียนรู้เพิ่มเติม)
Sucuri Web Application Firewall เป็นส่วนหนึ่งของชุดมาตรการป้องกันเว็บไซต์ ระบบป้องกันบนคลาวด์ของ Sucuri เป็นบริการออนไลน์ ที่อยู่เว็บไซต์ของคุณโฮสต์ที่เซิร์ฟเวอร์ของ Sucuri รวมถึงปริมาณการใช้เว็บทั้งหมดของคุณก่อน.
บริการ Sucuri กรองปริมาณการใช้งานที่เป็นอันตรายผ่านเทคนิคต่างๆ บริษัท รักษาฐานข้อมูลของลายเซ็นการโจมตีซึ่งมีการปรับปรุงอย่างต่อเนื่องดังนั้น เว็บไซต์ของคุณได้รับประโยชน์จากกลยุทธ์การป้องกันที่เรียนรู้โดย Sucuri เมื่อมีการปกป้องเว็บไซต์อื่น.
แพ็คเกจบริการประกอบด้วยการปรับแต่งประสิทธิภาพและการป้องกัน DDoS เซิร์ฟเวอร์ Sucuri บล็อกทราฟฟิกที่เป็นอันตรายและส่งต่อคำร้องขอโดยสุจริตทั้งหมดไปยังเว็บเซิร์ฟเวอร์ของคุณ กระบวนการนี้ เกิดขึ้นอย่างรวดเร็วว่าผู้เข้าชมจะไม่สังเกตเห็นความล่าช้าใด ๆ ในการส่งมอบเว็บเพจของคุณ.
ประสิทธิภาพการจัดส่งถูกปรับปรุงโดยการแคชซึ่งหมายถึง แม้ว่าเว็บไซต์ของคุณจะปิดเพื่อการบำรุงรักษาผู้เข้าชมจะยังสามารถเข้าถึงเว็บเพจของคุณได้. Sucuri Web Application Firewall มีให้บริการในรูปแบบสมัครสมาชิกและราคาเริ่มต้นที่ $ 9.99 ต่อเดือนสำหรับแพ็คเกจพื้นฐาน ดูรายละเอียดแผนบนเว็บไซต์ของพวกเขา.
Sucuri Web Application FirewallView รายละเอียดแผน
4. Cloudflare WAF
Cloudflare ประสบความสำเร็จอย่างมากในการปกป้องโฮสต์เว็บจากการโจมตี DDoS และพวกเขาขยายการป้องกันด้วยไฟร์วอลล์เว็บแอพพลิเคชัน นี่คือบริการออนไลน์ที่ใช้กันอย่างแพร่หลาย เซิร์ฟเวอร์ของพวกเขาจัดการ 2.9 ล้านคำขอทุก ๆ วินาทีในนามของฐานลูกค้าขนาดใหญ่ของพวกเขา.
ประโยชน์ของการสมัครสมาชิก WAF ที่ใช้กันอย่างแพร่หลายเช่น Cloudflare คือ บริษัท สามารถนำเศรษฐศาสตร์ไปใช้ในการวิจัยภัยคุกคาม. ความพยายามในการโจมตีลูกค้ารายหนึ่งกระเพื่อมผ่านไปยังบัญชีดำสำหรับทุกเว็บเซิร์ฟเวอร์ที่ได้รับการปกป้องโดย Cloudflare. หากคุณมีเซิร์ฟเวอร์บนคลาวด์เป็นศูนย์กลางสำหรับองค์กรของคุณหรือเป็นระบบการนำส่งเนื้อหาที่รวมอยู่ในการนำเสนอเว็บของคุณ Cloudflare ก็สามารถครอบคลุมได้เช่นกัน การผสานรวมการป้องกัน DDoS ของ Cloudflare เข้ากับการสมัคร WAF ของคุณเป็นเรื่องง่ายมาก.
5. Akamai Kona ผู้พิทักษ์ไซต์
Akamai เป็นผู้นำระดับโลกในการลด DDoS และรวมการป้องกัน DDoS อย่างสมบูรณ์เข้ากับไฟร์วอลล์เว็บแอปพลิเคชันในบริการคลาวด์ที่เรียกว่า Site Defender ประโยชน์ที่ยอดเยี่ยมของการรวมบริการทั้งสองนี้ไว้ในผลิตภัณฑ์เดียวคือคุณ ไม่จำเป็นต้องมีการรับส่งข้อมูลของคุณผ่าน บริษัท ที่แตกต่างกันสองแห่ง เพื่อรับคำขอของแท้มาถึงที่เว็บเซิร์ฟเวอร์ของคุณ.
ในฐานะหนึ่งในผู้นำด้านความปลอดภัยออนไลน์ Akamai มักเป็นคนแรกที่ค้นพบช่องโหว่ใหม่ ๆ ในฐานะลูกค้าของ Site Defender คุณจะได้รับประโยชน์จากข้อมูล “นำหน้าของเส้นโค้ง” นี้ทันทีด้วยบล็อกที่กระชับและชาญฉลาดยิ่งขึ้นเกี่ยวกับปริมาณข้อมูลของแฮ็กเกอร์.
6. Amazon AWS WAF
ไฟร์วอลล์เว็บแอปพลิเคชัน Amazon AWS (หรือ AWS WAF) ให้บริการเฉพาะลูกค้าของบริการบนเว็บของ บริษัท ซึ่งรวมถึง Application Load Balancer และเครือข่ายการส่งเนื้อหาของ Amazon เนื่องจาก Amazon Web Services ใช้ระบบคลาวด์ WAF นี้จึงเป็นส่วนเสริมสำหรับการสมัครสมาชิกที่มีอยู่ของคุณ รูปแบบราคาน่าดึงดูดมาก. คุณไม่ต้องจ่ายเงินก้อนในแต่ละเดือน. แต่คุณจะถูกเรียกเก็บเงินสำหรับกฎความปลอดภัยแต่ละข้อที่คุณตั้งค่าและจำนวนคำขอเว็บที่เซิร์ฟเวอร์ของคุณได้รับในหนึ่งเดือน.
7. Incapsula Web Application Firewall
Incapsula เป็นผู้นำในการป้องกัน DDoS และ บริษัท ได้เพิ่มการกรอง DDoS แบบเต็มใน WAF ไม่ใช่เพียงแค่การปกป้องเลเยอร์แอปพลิเคชัน บริษัท มีศูนย์ข้อมูล 25 แห่งทั่วโลกซึ่งทำให้มั่นใจได้ว่า WAF บนคลาวด์นี้จะถูกตรวจสอบตลอดเวลา.
แผน WAF ที่ถูกที่สุดที่เสนอโดย Incapsula ใช้งานได้ที่ $ 300 ต่อเดือน อยู่ที่อื่นการปรับปรุงฐานข้อมูลภัยคุกคามไม่ใช่ปัญหาของคุณ Incapsula ดูแลสิ่งนั้น บริษัท จะส่งแพตช์ให้คุณเพื่อช่วยคุณปกป้องเว็บแอปพลิเคชันของคุณซึ่งคุณสามารถกำหนดเวลาที่จะใช้งานในช่วงเวลาที่เงียบสงบของเซิร์ฟเวอร์ของคุณ.
WAFs ที่ใช้ฮาร์ดแวร์ที่ดีที่สุด
โซลูชันฮาร์ดแวร์สำหรับไฟร์วอลล์ของเว็บแอปพลิเคชันเกี่ยวข้องกับอุปกรณ์เครือข่ายที่จำเป็นต้องอยู่ด้านหน้าโครงสร้างพื้นฐานของเว็บ.
เนื่องจากการรับส่งข้อมูลทั้งสองทิศทางจะผ่านอุปกรณ์นี้ก่อนคุณจึงต้อง ตรวจสอบให้แน่ใจว่าแบบจำลองที่คุณเลือกมีความสามารถในการจัดการอัตราการรับส่งข้อมูลตามคำขอของเว็บเซิร์ฟเวอร์. เมื่อประเมินเครื่องใช้ WAF คุณควรวัดความต้องการของเซิร์ฟเวอร์ในแง่ของปริมาณข้อมูลทั้งในหน่วย Mbps และจำนวนธุรกรรม เนื่องจากธุรกรรม SSL ใช้เวลาในการประมวลผลมากขึ้นคุณควรดูจำนวนธุรกรรม SSL สูงสุดต่อวินาที (TPS).
1. Imperva SecureSphere
WAF นี้มีวัตถุประสงค์เพื่อธุรกิจขนาดเล็กที่มีหน่วยงานที่มีปริมาณงาน 100 Mbps ที่รองรับกับ SSL TPS 440 ขึ้นไปจนถึงรุ่นที่สามารถประมวลผล 10 Gbps และ 9,000 SSL TPS เป็นตัวอย่างของช่วงลองดูที่ X[year] ซึ่งให้ปริมาณงาน 500 เมกะบิตต่อวินาทีในราคา 4,200 เหรียญ หน่วยนี้สามารถจัดการกับ 2,200 SSL TPS.
รุ่นที่สูงกว่าในช่วงสามารถใช้งานร่วมกันได้ คุณสามารถซื้อ X85210 ซึ่งมีอัตราการรับส่งข้อมูล 5 Gbps แล้วอัพเกรดในภายหลังผ่านซอฟต์แวร์แพตช์เพื่อเปลี่ยนเป็นรุ่น X10K ซึ่งอนุญาตให้รับส่งข้อมูล 10 Gbps คุณยังสามารถเลือกใช้ SecureSphere เวอร์ชันคลาวด์.
2. Barracuda Web Application Firewall
Barracuda เป็นทางออกที่ดีสำหรับธุรกิจขนาดเล็กถึงขนาดกลาง อุปกรณ์นี้มีราคาแพงเล็กน้อย แต่ราคาซื้อรวมถึงการอัปเดตระบบทั้งปี กล่อง Barracuda จะได้รับการอัพเดตโดยอัตโนมัติเมื่อ บริษัท ตรวจพบภัยคุกคามและการหาประโยชน์ใหม่ กล่อง Barracuda มีคุณสมบัติพิเศษบางอย่างซึ่งรวมถึงการแคชเพื่อการจัดส่งเนื้อหาที่รวดเร็วขึ้นและการทำโหลดบาลานซ์ คุณสามารถเพิ่มการป้องกัน DDoS แบบเต็มได้โดยเสียค่าธรรมเนียม.
Barracuda WAF มีให้เลือกหลายขนาดแต่ละแบบมีความจุแตกต่างกัน ตัวอย่างเช่น Model 360 จะให้ปริมาณงาน 25 Mbps และสามารถรองรับ SSL TPS 2000 การซื้อ 360 จะทำให้คุณกลับมาที่ $ 6,350 รวมถึงปีแรกของการแพตช์เสมือน การสนับสนุนสำหรับปีต่อ ๆ ไปมีค่าใช้จ่าย $ 1,350 ต่อปี.
3. Citrix Netscaler แอพพลิเคชั่นไฟร์วอลล์
กลุ่มผลิตภัณฑ์ Netscaler MPX มีความจุตั้งแต่ 500 Mbps ถึง 200 Gbps รุ่นที่ถูกที่สุดคือ MXP 5550 ซึ่งให้ปริมาณงาน 500 Mbps และสามารถรับมือกับ 1,500 SSL TPS หน่วยนี้มีค่าใช้จ่าย $ 4,000 แต่ราคาดังกล่าวไม่รวมสัญญาการแพตช์เสมือนซึ่งเป็นการเพิ่มเติมพิเศษ.
อุปกรณ์ Citrix Netscaler ยังทำหน้าที่เป็นตัวปรับสมดุลโหลดสำหรับองค์กรขนาดเล็ก Netscaler มีให้บริการในรูปแบบคลาวด์.
4. Fortinet FortiWeb
หากคุณมีองค์กรเว็บขนาดเล็กและคุณเปลี่ยนไปสู่ลีกขนาดกลางคุณจะต้องอัพเกรดอุปกรณ์จำนวนมาก นี่อาจเป็นโอกาสที่ดีสำหรับคุณที่จะลองใช้เครื่อง Fortinet FortiWeb. อุปกรณ์นี้รวม WAF เข้ากับ load balancer และ SSL offloader. หากคุณกำลังขยายออกไปยังเซิร์ฟเวอร์หลายตัวคุณจะต้องมี load balancer อยู่แล้วดังนั้นในขณะที่คุณอยู่ในตลาดสำหรับชุดใหม่มันสมเหตุสมผลที่จะทำให้ไฟร์วอลล์เว็บแอปพลิเคชันของคุณไม่อยู่ในรายการสิ่งที่ควรซื้อเช่น ได้ดีและได้ทั้งสองอย่างไว้ในกล่องเดียวกัน.
กลุ่มผลิตภัณฑ์ FortiWeb ประกอบด้วยโมเดลแปดรุ่นที่เพิ่มความสามารถในการรับส่งข้อมูล รูปแบบรายการระดับคือ 100D มีอัตราความเร็ว 25 Mbps รุ่นสูงสุดของช่วงคือ 4000E นี่คือปริมาณงาน 20Gbps FortiWeb ยังทำงานกับบริการไฟร์วอลล์ของเว็บแอพพลิเคชันบนคลาวด์.
5. F5 BIG-IP ASM
BIG-IP ASM มุ่งเป้าไปที่ บริษัท ขนาดใหญ่ น่าเสียดายที่ F5 ไม่ได้ให้อัตรา SSL TPS สำหรับรุ่น แต่เป็น HTTP แทน โมเดล 10200 สามารถประมวลผล HTTP 75,000 TPS และมีปริมาณงาน 5 Gbps.
BIG-IP ASM ช่วยให้เซิร์ฟเวอร์ของคุณทำงานได้เร็วขึ้นด้วยการจัดการกับการเข้ารหัส SSL ของ HTTPS และ SFTP ฟังก์ชั่นนี้เรียกว่า“ SSL offloading” แพ็คเกจ F5 ประกอบด้วยการป้องกันภัยคุกคามที่ได้รับประโยชน์จากการวิเคราะห์ภัยคุกคามที่ลึกและการเรียนรู้แบบไดนามิกดังนั้นคุณไม่ต้องลงทุนเวลามากเกินไปในการอ่านผ่านรายงานเพื่อหาที่อยู่ในบัญชีดำ เครื่องใช้จะทำเพื่อคุณ.
WAFs ที่ใช้ฮาร์ดแวร์เทียบกับ Cloud: ข้อดีและข้อเสีย
ทางเลือกของอุปกรณ์หรือคลาวด์โซลูชั่นที่คุณสามารถเลือกได้ตามความต้องการสำหรับการกำหนดค่าแต่ละครั้ง ตัวอย่างเช่นบางคนมีองค์ประกอบที่ไม่สะดวกในการเอาท์ซอร์สของเครือข่ายและหน้าที่ความปลอดภัยของเว็บโฮสต์นั้นเป็นหัวข้อที่ละเอียดอ่อนเป็นพิเศษ.
ข้อด้อยของ WAFs บนคลาวด์
WAF ยืนอยู่หน้าอุปกรณ์อื่น ๆ ทั้งหมดของคุณดังนั้นจึงต้องเป็นเป้าหมายของ URL ของคุณ นั่นหมายความว่าคุณไม่สามารถควบคุมปริมาณการใช้งานของคุณได้โดยตรงเพราะระเบียน DNS ทั้งหมดจะนำผู้เข้าชมเว็บไซต์ไปยังบริการคลาวด์ก่อน.
ในกรณีที่ บริษัท ต่างๆที่ให้บริการด้านความปลอดภัยส่วนหน้ามีการเสนอบริการ WAFs บนคลาวด์ ตัวอย่างเช่น, หากผู้ให้บริการ WAF ที่คุณเลือกไม่มีบริการป้องกัน DDoS คุณจะต้องส่งต่อปริมาณข้อมูลของคุณไปยังบริการคลาวด์ที่สองเพื่อรับการคุ้มครองอย่างเต็มที่จากภัยคุกคามทั้งหมด. การออกบริการคลาวด์ WAF สามารถล็อคคุณไว้ใน บริษัท รักษาความปลอดภัยออนไลน์แห่งหนึ่งสำหรับการป้องกันออนไลน์ทั้งหมดของคุณและ จำกัด ตัวเลือกของคุณ.
WAFs ตรวจสอบเนื้อหาของแพ็คเก็ตดังนั้นพวกเขาจึงจำเป็นต้องตัดการป้องกันการเข้ารหัสทั้งหมดออกก่อนที่จะสามารถทำงานหลักได้ ซึ่งหมายความว่าคุณต้องมอบใบรับรอง SSL ของคุณให้กับผู้ให้บริการคลาวด์ WAF อย่างมีประสิทธิภาพยอมจำนนทุกฟังก์ชั่นความปลอดภัยที่ปกป้องเว็บโฮสต์ของคุณเนื้อหาของคุณและความปลอดภัยของลูกค้าของคุณ.
คุณต้องมีความเชื่อมั่นในผู้ให้บริการคลาวด์ WAF มากเพื่อเตรียมพร้อมที่จะให้บุคคลที่สามยืนอยู่ระหว่างคุณและลูกค้าของคุณ.
ข้อดี WAFs บนคลาวด์
ในทางกลับกันชื่อเสียงและความเชี่ยวชาญของผู้ให้บริการ WAF บนคลาวด์หมายความว่าคุณไม่จำเป็นต้องกังวลเกี่ยวกับการถูกทำลาย บริษัท ในรายการของเรามีความเชี่ยวชาญในการให้บริการเครือข่ายและความปลอดภัย ความเชี่ยวชาญที่สะสมของพวกเขานั้นยิ่งใหญ่กว่าที่คุณจะได้รับจาก บริษัท ของคุณเอง อาจมีความเสี่ยงต่อความพร้อมใช้งานและความปลอดภัยของเว็บไซต์ของคุณหากคุณพยายามครอบคลุมงานที่ซับซ้อนทั้งหมดที่เกี่ยวข้องกับปัญหาเหล่านี้.
สามารถชำระค่าบริการบนคลาวด์เป็นรายเดือน, กระจายค่าใช้จ่ายของการป้องกันเว็บแอปพลิเคชันของคุณ ในบางกรณีคุณจะถูกเรียกเก็บเงินสำหรับปริมาณงานทางเว็บเท่านั้นดังนั้นคุณสามารถเลื่อนการชำระเงินเพื่อการป้องกันของคุณไปจนถึงสิ้นเดือนเมื่อระดับการบริการได้รับการคำนวณและออกใบแจ้งหนี้.
หากคุณว่าจ้างบุคคลภายนอกในการดำเนินงานของคุณแล้วคุณได้ตกลงกับวิธีการดำเนินการบนระบบคลาวด์อยู่แล้วดังนั้นจึงไม่ใช่เรื่องยากที่จะเอาท์ซอร์ส WAF ของคุณไปด้วย คุณอาจจำเป็นต้องเปลี่ยนจากผู้ให้บริการที่มีอยู่หากรวมบริการอื่น ๆ เช่นการป้องกัน DDoS และการปรับสมดุลภาระด้วย WAF ใหม่ของคุณจะทำให้การขนส่งและเศรษฐกิจดีขึ้น.
จุดด้อยของฮาร์ดแวร์ที่ใช้ WAFs
เมื่อพิจารณาถึงต้นทุนของฮาร์ดแวร์ WAF คุณจะต้องเพิ่มค่าใช้จ่ายในการติดตั้งการป้องกันและการบำรุงรักษา Online WAFs ได้รับการอัพเดตโดยอัตโนมัติดังนั้นพวกเขาจึงเป็นแบบล่าสุดและพร้อมที่จะรับมือกับภัยคุกคามที่เกิดขึ้นล่าสุด การเตรียมความพร้อมระดับนั้นบนอุปกรณ์ WAF ของคุณเองอาจมีราคาแพง.
ผู้จำหน่ายฮาร์ดแวร์ WAF ส่วนใหญ่เสนอบริการอัพเดท. การแก้ไขภัยคุกคามใหม่จะถูกส่งไปยังอุปกรณ์ WAF ของคุณผ่านอินเทอร์เน็ตโดยอัตโนมัติและจะทำการต่ออายุเฟิร์มแวร์โดยไม่ต้องดำเนินการใด ๆ. ในกรณีที่มีภัยคุกคามใหม่ ๆ อุปกรณ์และซอฟต์แวร์อื่น ๆ ในเครือข่ายของคุณอาจต้องมีการอัพเดตและบริการสนับสนุนของผู้ให้บริการ WAF ของคุณจะให้สิ่งเหล่านั้นแก่คุณเช่นกัน.
กระบวนการนี้เรียกว่า “virtual patching” และเป็นอัปเดตฐานข้อมูลไฟร์วอลล์คลาสสิกของ WAF อย่างไรก็ตามแม้ว่าซัพพลายเออร์ฮาร์ดแวร์ทั้งหมดในรายการของเราจะมีการปะแก้แบบเสมือน แต่ผู้ให้บริการบางรายก็ไม่รวมบริการดังกล่าวฟรี ในกรณีที่มีการรวมบริการอัปเดตมักจะให้บริการฟรีในปีแรกเท่านั้น หลังจากนั้นคุณต้องจ่ายเพิ่มสำหรับการสนับสนุน WAF ในบ้านของคุณ.
ค่าใช้จ่ายล่วงหน้าในการซื้อฮาร์ดแวร์ WAF อาจเป็นค่าใช้จ่ายที่ไม่สะดวกเมื่อต้องดิ้นรนเพื่อให้ บริษัท เว็บใหม่ของคุณทำงานได้. หากคุณไม่ได้รับการปกป้องในขั้นแรกคุณอาจได้รับความเชื่อมั่นว่าเป็นสิ่งที่ไม่จำเป็นแม้เมื่อคุณไปถึงจุดที่คุณมีเงินสดสำรอง. นี่เป็นสถานการณ์ที่อันตรายเพราะคุณจะตระหนักได้ว่าคุณต้องการการป้องกัน WAF เมื่อคุณถูกโจมตี จากนั้นเว็บไซต์ของคุณจะถูกบล็อกโดยเครื่องมือค้นหาที่มีรหัสที่เป็นอันตรายและคุณจะถูกส่งออกไปจากธุรกิจ.
ข้อดีของ WAFs ที่ใช้ฮาร์ดแวร์
หากคุณใช้งานเว็บเซิร์ฟเวอร์ของคุณเองคุณอาจรู้จักระบบเครือข่ายและอินเทอร์เน็ตเป็นจำนวนมาก คุณอาจต้องใช้ load balancer เมื่อคุณวางเซิร์ฟเวอร์เพิ่มเติมเพื่อจัดการกับความต้องการ หากเป็นกรณีนี้คุณสามารถซื้อเว็บแคชรวม, load balancer และ WAF รวมกันและรับข้อกำหนด front-end ทั้งหมดของคุณที่เกี่ยวข้องกับอุปกรณ์หนึ่งชิ้น.
การมี WAF ของคุณเองหมายความว่าคุณไม่จำเป็นต้องมอบที่อยู่เว็บของคุณให้กับบุคคลที่สาม หากในบางจุดคุณต้องการการป้องกัน DDoS อย่างกว้างขวางดังนั้น URL ของคุณจะต้องไปที่ผู้ให้บริการบรรเทาสาธารณภัย DDoS อย่างไรก็ตามในกรณีนี้คุณไม่จำเป็นต้อง จำกัด ตัวเลือกการป้องกัน DDoS ของคุณตามที่ บริษัท WAF คลาวด์ของคุณมอบให้ คุณจะไม่ได้มุ่งมั่นที่จะนำ URL ของคุณเพื่อให้ WAF ของคุณ.
การเลือกไฟร์วอลล์เว็บแอปพลิเคชัน
ไม่ว่าคุณจะต้องการมี WAF ของคุณเองบนเครือข่ายของคุณหรือคุณคิดว่าเป็นการดีกว่าที่จะใช้โซลูชัน WAF บนคลาวด์บทวิจารณ์นี้มีตัวเลือกห้าข้อให้คุณพิจารณา การเลือกอุปกรณ์ซอฟต์แวร์และบริการใหม่สำหรับ บริษัท ของคุณอาจใช้เวลานานมาก ในคู่มือนี้เราได้ดูแลช่วงแรกนั้นสำหรับคุณ.
งานต่อไปของคุณคือการ จำกัด ทางเลือกของคุณ สิ่งที่เพิ่มเข้ามาซึ่งผู้ให้บริการ WAF เหล่านี้เสนอจะนำคุณไปสู่ทางเลือกนั้น ความสามารถของแต่ละบริการก็เป็นสิ่งสำคัญเช่นกันและคุณควรคำนึงถึงความสามารถในการปรับขนาดเพื่อให้แผนการขยายในอนาคตของคุณได้รับการพิจารณา.
ตัดสินใจว่าจะไปใช้ฮาร์ดแวร์หรือ WAF บนคลาวด์หรือไม่จากนั้นตรวจสอบห้ารายการที่ระบุไว้ในหมวดหมู่นั้น มองว่าการป้องกันที่ไฟร์วอลล์ของเว็บแอปพลิเคชั่นนำเสนอให้องค์กรของคุณนั้นเป็นความผิดพลาด อย่ารอจนกว่าจะสายเกินไปและไซต์ของคุณถูกโจมตีแล้ว รับ WAF ทันทีเพื่อให้เว็บไซต์ของคุณออนไลน์อยู่เสมอ.
ภาพ: ไฟร์วอลล์โดย frankieleon ผ่าน Flickr.com ได้รับอนุญาตภายใต้ CC BY 2.0