12 สุดยอดเว็บแอพพลิเคชันไฟร์วอลล์ (WAFs)

ไฟร์วอลล์ของเว็บแอปพลิเคชัน เสนอการป้องกันสำหรับเว็บเซิร์ฟเวอร์ การส่งมอบแอปพลิเคชันบนเว็บเป็นไปตามรูปแบบของไคลเอ็นต์ – เซิร์ฟเวอร์โดยที่เซิร์ฟเวอร์จะส่งข้อความเพื่อตอบสนองต่อคำขอจากลูกค้าเท่านั้น.

ไฟร์วอลล์ทั่วไปปกป้องไคลเอ็นต์ ไฟร์วอลล์ของเว็บแอปพลิเคชันปกป้องเซิร์ฟเวอร์ เราได้รับรายละเอียดมากมายด้านล่างในเครื่องมือแต่ละตัวที่มีคุณสมบัติด้านล่าง แต่ถ้าคุณมีเวลาอ่านสรุปเท่านั้นนี่คือรายการของ WAFs ที่ดีที่สุดบนคลาวด์:

  1. ไฟร์วอลล์แอปพลิเคชันเว็บที่มีการจัดการของ AppTrana (ทดลองใช้ฟรี) WAF ที่มีการจัดการอย่างสมบูรณ์ที่จัดทำโดย Indusface พร้อมชุดแอปพลิเคชันสแกนเนอร์ CDN และกฎที่กำหนดเองที่จัดการด้วย Zero WAF การรับประกันที่ผิดพลาดบวกด้วย SLA และการสนับสนุน 24 × 7.
  2. StackPath Web Application Firewall (ทดลองใช้ฟรี) ไฟร์วอลล์บนคลาวด์ที่เป็นส่วนหนึ่งของโซลูชัน“ edge”.
  3. Sucuri เว็บไซต์ไฟร์วอลล์ (เรียนรู้เพิ่มเติม) ส่วนหนึ่งของชุดบริการป้องกันนอกสถานที่ซึ่งรวมถึงการป้องกัน DDoS.
  4. Cloudflare WAF โซลูชันบนคลาวด์ที่สามารถใช้ร่วมกับการป้องกัน DDoS ได้.
  5. Akamai Kona ผู้พิทักษ์ไซต์ รวมการป้องกัน WAF และ DDoS นอกสถานที่.
  6. Amazon Web Services WAF ส่วนหน้าสำหรับผู้ที่ทำงานกับ Amazon Web Services รวมถึง Application Load Balancer และเครือข่ายการส่งเนื้อหาของ Amazon.
  7. Incapsula Web Application Firewall นอกสถานที่ WAF ที่รวมการป้องกัน DDoS จากหนึ่งใน บริษัท รักษาความปลอดภัยทางไซเบอร์ชั้นนำของโลก.

และนี่คือรายชื่อของเรา WAFs ที่ใช้ฮาร์ดแวร์ที่ดีที่สุด:

  1. Imperva SecureSphere – WAF ฮาร์ดแวร์จากผู้นำในอุตสาหกรรมความปลอดภัยทางไซเบอร์มุ่งเป้าไปที่ธุรกิจขนาดเล็ก.
  2. Barracuda Web Application Firewall – WAFs ของฮาร์ดแวร์สำหรับ บริษัท ขนาดเล็กถึงขนาดกลาง.
  3. Citrix Netscaler Application Firewall – กลุ่มฮาร์ดแวร์ WAF ที่มีการทำโหลดบาลานซ์ มีให้บริการในรูปแบบคลาวด์.
  4. Fortinet FortiWeb – ช่วงของฮาร์ดแวร์ WAFs ที่มีการทำ load balance และ SSL offloader.
  5. F5 BIG-IP ASM – ฮาร์ดแวร์ WAF ที่มีการถ่าย SSL สำหรับองค์กรขนาดใหญ่.

การโจมตีใดที่ WAFs ป้องกัน?

ไฟร์วอลล์ของเว็บแอปพลิเคชันหรือ WAF จำเป็นต้องปกป้องเว็บเซิร์ฟเวอร์ของคุณและเนื้อหาจากการโจมตีประเภทต่อไปนี้:

  • การเขียนสคริปต์ข้ามไซต์ (XSS)  – แฮ็กเกอร์ใส่โค้ด HTML ที่เป็นอันตรายลงในฟิลด์ป้อนข้อมูลหน้าเว็บ
  • สนามที่ซ่อนอยู่ การจัดการ – แฮ็กเกอร์เขียนซอร์สโค้ดของหน้าเว็บใหม่เพื่อแก้ไขค่าที่เก็บไว้ในฟิลด์ที่ซ่อนไว้แล้วโพสต์โค้ดที่แก้ไขแล้วกลับไปที่เซิร์ฟเวอร์
  • พิษคุกกี้  – การแก้ไขค่าพารามิเตอร์ที่เก็บไว้ในคุกกี้เป็นข้อมูลเสียหายที่ส่งผ่านระหว่างหน้าเว็บ
  • เว็บขูด  – การดึงข้อมูลอัตโนมัติจากหน้าเว็บ
  • การโจมตี Layer 7 DoS – ครอบงำเว็บเซิร์ฟเวอร์ด้วยกิจกรรมแอปพลิเคชันแบบเรียกซ้ำ
  • พารามิเตอร์การแก้ไขดัดแปลง – การปรับเปลี่ยนค่าในพารามิเตอร์เป็นการเรียกเว็บเพจ
  • บัฟเฟอร์ล้น – อินพุตผู้ใช้ที่เขียนทับรหัสในหน่วยความจำ
  • ประตูหลัง หรือตัวเลือกการแก้ปัญหา – รายงานข้อเสนอแนะของนักพัฒนาสำหรับการทดสอบหน้าเว็บที่แฮกเกอร์สามารถใช้เพื่อเข้าถึงโปรเซสเซอร์
  • ผู้บังคับบัญชาชิงทรัพย์ – การโจมตีระบบปฏิบัติการของเว็บเซิร์ฟเวอร์
  • บังคับให้เรียกดู – แฮ็กเกอร์สามารถเข้าถึงโฟลเดอร์สำรองหรือโฟลเดอร์ชั่วคราวบนเว็บเซิร์ฟเวอร์
  • การกำหนดค่าผิดพลาดของบุคคลที่สาม – การจัดการของการแทรกเนื้อหาที่ได้รับจาก บริษัท อื่น ๆ
  • เว็บไซต์ ช่องโหว่ / การฉีด SQL – คำสั่งที่ป้อนในฟิลด์การตรวจสอบผู้ใช้

แม้ว่า WAF จะทำงานเป็นส่วนหน้าของเว็บไซต์ แต่ฟังก์ชั่นการควบคุมการเข้าถึงที่จำเป็นจำนวนหนึ่งที่เว็บโฮสต์ของคุณต้องการนั้นไม่ได้มีให้โดยเทคโนโลยีนี้. WAFs มุ่งเน้นไปที่รหัส HTTP และขั้นตอนการร้องขอสำหรับแอปพลิเคชั่นอินเทอร์เน็ตอื่น ๆ เช่น FTP ในกรณีเหล่านี้เวอร์ชันที่ปลอดภัยของโปรโตคอลแอปพลิเคชันเหล่านี้, HTTPS และ SFTP ยังรวมถึง.

WAFs ทำงานอย่างไร?

แผนภาพไฟร์วอลล์ของเว็บแอปพลิเคชัน

WAFs มองหาความผิดปกติที่มีอยู่ในคำร้องขอที่เข้ามาและบล็อกโครงสร้างที่ผิดปกติหรือคดเคี้ยว WAF จะไม่รับผิดชอบในการทำโหลดบาลานซ์ระหว่างคลัสเตอร์ของเซิร์ฟเวอร์ แม้ว่าการโจมตี DDoS บางประเภทจะใช้ HTTP แต่ส่วนใหญ่ใช้วิธีการระดับล่าง ดังนั้น WAF จะปกป้องคุณจากการโจมตี HTTP และ FTP ระดับแอพพลิเคชัน / เลเยอร์ 7 DDoS แต่ไม่ใช่กลยุทธ์อื่น.

การกำหนดค่า WAF

WAF ต้องเป็นส่วนหนึ่งของกลยุทธ์การป้องกันเว็บโฮสติ้งของคุณ มันสามารถนำมาใช้เป็นโซลูชั่นฮาร์ดแวร์หรือซอฟต์แวร์.

ผู้สนับสนุนของซอฟต์แวร์ WAFs ยืนยันว่าคุณมีฮาร์ดแวร์เพียงพอแล้วคุณเพียงแค่ขยายขีดความสามารถของอุปกรณ์ที่มีอยู่ของคุณเพื่อรับไฟร์วอลล์เว็บแอปพลิเคชัน อย่างไรก็ตามตำแหน่งที่เหมาะสำหรับ WAF นั้นอยู่ต่อหน้าเซิร์ฟเวอร์ของคุณและโซลูชันซอฟต์แวร์ส่วนใหญ่จะถูกติดตั้งบนเว็บเซิร์ฟเวอร์โดยตรง.

ตำแหน่ง WAF

สถานที่ที่ดีที่สุดในการทำให้ WAF ของคุณอยู่บนเราเตอร์ที่ทำหน้าที่เป็นเกตเวย์ระหว่างเครือข่ายของคุณ (เช่นเซิร์ฟเวอร์ของคุณ) และอินเทอร์เน็ต กลยุทธ์นี้บอกเป็นนัยว่าทางเลือกที่ดีที่สุดคือเราเตอร์ที่มี WAF ในตัว นี่จะเป็นอุปกรณ์แบบสแตนด์อโลนและจะป้องกันการเข้าชมที่ไม่เหมาะสมหรือการสำรวจแฮ็กเกอร์ถึงเซิร์ฟเวอร์ที่มีค่าของคุณ.

ข้อควรพิจารณาเกี่ยวกับซอฟต์แวร์และฮาร์ดแวร์ของ WAF

ดังนั้นคุณควรเลือกควบคุมต้นทุนแบบใด ซอฟต์แวร์ WAFs ราคาถูกกว่าโซลูชันฮาร์ดแวร์ อย่างไรก็ตามอย่าคิดว่าไม่มีค่าใช้จ่ายด้านฮาร์ดแวร์ในการติดตั้งซอฟต์แวร์ WAF บนเซิร์ฟเวอร์ของคุณ คุณอาจวางแผนความจุฮาร์ดแวร์เซิร์ฟเวอร์ของคุณดังนั้นการเพิ่มฟังก์ชั่นพิเศษจะใช้พื้นที่ดิสก์ใช้หน่วยความจำและผูกตัวประมวลผล CPU คุณอาจต้องขยายความสามารถของเซิร์ฟเวอร์เพื่อโฮสต์ WAF ดังนั้นจึงมีค่าใช้จ่ายด้านฮาร์ดแวร์ที่เกี่ยวข้อง.

นอกจากนี้ยังมีการพิจารณาชุดทักษะนอกสถานที่ด้วย อาจเป็นไปได้ว่าเจ้าหน้าที่ดูแลระบบของคุณทุกคนคุ้นเคยกับระบบปฏิบัติการของเซิร์ฟเวอร์ แต่จะซุ่มซ่ามรอบเฟิร์มแวร์ของอุปกรณ์ใหม่ ผู้ใช้ฮาร์ดแวร์ WAF มักจะปฏิบัติต่อพวกเขาในฐานะกล่องดำและแทรกแซงการดำเนินงานของพวกเขาน้อยกว่าพวกเขาด้วยซอฟต์แวร์ WAFs – ซึ่งอาจเป็นสิ่งที่ดี.

ทั้งฮาร์ดแวร์และซอฟต์แวร์ WAFS มาพร้อมกับแพตช์และอัปเดตการสนับสนุน อย่างไรก็ตามการอัปเดตเวอร์ชันซอฟต์แวร์มักจะต้องได้รับความยินยอมและการจัดการของคุณสำหรับการติดตั้งแต่ละครั้งในขณะที่ WAFs ของฮาร์ดแวร์มักจะได้รับการอัพเดตโดยตรงจากผู้ให้บริการทำให้คุณไม่มีปัญหาในการจัดการโปรแกรมแก้ไข.

โดยทั่วไปแล้วทั้งฮาร์ดแวร์ WAF และซอฟต์แวร์ WAF จะทำงานเดียวกัน ฮาร์ดแวร์ WAFs ทำให้เซิร์ฟเวอร์ของคุณโหลดเพิ่มเป็นพิเศษและพวกเขาสามารถทำงานต่อไปได้แม้ในขณะที่คุณต้องการให้เซิร์ฟเวอร์ตัวใดตัวหนึ่งของคุณทำงานล้มเหลว ฮาร์ดแวร์ WAF เชื่อถือได้มากขึ้นและสามารถปล่อยให้ทำงานตามลำพังได้ แม้ว่า WAF ของฮาร์ดแวร์อาจเป็นตัวเลือกที่ดีกว่าซอฟต์แวร์ WAFs แต่ผู้ดูแลระบบมักจะชอบความสามารถในการเข้าถึงและปรับแต่งได้ของซอฟต์แวร์ WAFs.

ฟังก์ชั่นไฟร์วอลล์ของเว็บแอปพลิเคชัน

ไม่เพียง แต่คุณควรสแกนกิจกรรมของผู้ใช้ทั้งหมดเมื่อหน้าเว็บยังใช้งานอยู่ แต่คุณต้องตรวจสอบรหัสของหน้าเว็บของคุณรวมถึงปลั๊กอินที่จัดทำโดย บริษัท ภายนอก ข้อผิดพลาดในการเข้ารหัสและการตรวจสอบความถูกต้องเป็นที่รู้จักกันว่าเป็นช่องโหว่แบบ zero-day นี่เป็นเส้นทางที่ไม่ได้มาตรฐานที่จะอนุญาตให้แฮกเกอร์เข้าถึงเว็บเซิร์ฟเวอร์ของคุณ หากแฮกเกอร์ค้นพบข้อบกพร่องเหล่านี้ก่อนที่คุณหรือผู้ให้บริการของรหัสที่แทรกเห็นปัญหาคุณจะถูกโจมตีแบบ zero-day ซึ่งอาจไม่ครอบคลุมโดย WAF ของคุณ.

ค่าของ WAF อยู่ในกฎที่ใช้กับการตอบกลับของผู้ใช้ การตั้งค่ากฎเหล่านี้ดำเนินการขั้นตอนการตรวจสอบความถูกต้องที่ปกป้องเว็บเซิร์ฟเวอร์ของคุณจากกิจกรรมที่เป็นอันตรายโดยการจัดทำกิจกรรมเพื่อระบุและดำเนินการตามที่กำหนดเมื่อค้นพบช่องโหว่ กฎจะถูกเขียนเพื่อบล็อกเฉพาะกลยุทธ์การโจมตีที่รู้จักกันดี อย่างไรก็ตามกฎเพิ่มเติมที่ยืดหยุ่นกว่าในรูทีนของ WAF นั้นมีประโยชน์สำหรับการระบุการคุกคามแบบ zero-day.

ดูสิ่งนี้ด้วย: สุดสแกนเนอร์พอร์ตฟรี

ที่เกี่ยวข้อง: เครื่องมือตรวจจับการบุกรุกที่ดีที่สุด

WAFs ที่ดีที่สุดบนคลาวด์

ซอฟต์แวร์ WAFs ส่วนใหญ่ตอนนี้ใช้งานเป็นบริการคลาวด์ บริการเหล่านี้คิดค่าบริการรายเดือนพร้อมแผนการที่แตกต่างเพื่อให้เหมาะกับเว็บไซต์ที่แตกต่างกัน ที่นี่หมดลงแล้ว WAFs ที่ใช้ระบบคลาวด์ที่ดีที่สุดในตลาดวันนี้:

1. ไฟร์วอลล์แอปพลิเคชันเว็บที่จัดการของ AppTrana (ทดลองใช้ฟรี)


AppTrana จาก Indusface ให้ไฟร์วอลล์เว็บแอพพลิเคชั่นที่ได้รับการจัดการอย่างครบถ้วนซึ่งมาพร้อมกับการเร่งเนื้อหาและ CDN บนคลาวด์ สิ่งที่คุณต้องทำคือกำหนดเส้นทางการรับส่งข้อมูลของคุณผ่านบริการ AppTrana ที่โฮสต์ในหลายภูมิภาคในศูนย์ข้อมูล AWS โดย Indusface.

AppTrana ออกมานอกกรอบพร้อมชุดกฎหลักที่ปรับให้เหมาะสมซึ่งสามารถวางในโหมดบล็อกได้ทันทีตามชุดกฎหลักที่ปรับให้เหมาะสม Indusface ได้พัฒนาขึ้นโดยทำการประเมินความปลอดภัยของเว็บไซต์อื่น ๆ หลายพันแห่ง ลูกค้าสามารถทำการประเมินความปลอดภัยอัตโนมัติตามความต้องการของเว็บไซต์และรับการเปิดเผยทันทีว่าพวกเขาได้รับการคุ้มครองโดย WAF หรือต้องการกฎที่กำหนดเอง.

ผู้ที่ต้องการกฎที่กำหนดเองสามารถขอได้จากพอร์ทัลรวมศูนย์และทีม MSS 24 × 7 จาก Indusface จะสร้างกฎที่กำหนดเองด้วย Zero WAF false-positive และปกป้องพวกเขา ประสิทธิภาพของเว็บไซต์ได้รับการปรับปรุงผ่าน CDN ที่รวมอยู่ในบริการ แผน AppTrana มีให้บริการในรูปแบบของการสมัครสมาชิก ทดลองใช้ฟรี 14 วัน.  การลงทะเบียนทดลองใช้ฟรีจะลงทะเบียนโดยอัตโนมัติตลอดไปแผนขั้นพื้นฐานซึ่งรวมถึงการสแกนความปลอดภัยอัตโนมัติสองครั้งต่อเดือนสำหรับเว็บไซต์ของคุณ.

AppTrana Managed Web Application FirewallBeggin ทดลองใช้ฟรี 14 วัน

2. ไฟร์วอลล์แอปพลิเคชัน StackPath เว็บ (ทดลองใช้ฟรี)

StackPath-WAF

เว็บแอพพลิเคชั่นไฟร์วอลล์ เป็นหนึ่งในชุดบริการบนคลาวด์ที่นำเสนอโดย StackPath ผู้ที่เชี่ยวชาญใน“ เทคโนโลยีที่ทันสมัย” คำนี้หมายถึงเทคนิคของการผลักดันบริการออกไปที่ขอบของเครือข่ายของคุณและจากนั้นเป็นต้นไป StackPath เป็นบริการคลาวด์ที่สมัครสมาชิก บันทึกการรับส่งข้อมูลทั้งหมดก่อนที่จะถึงเว็บเซิร์ฟเวอร์ของคุณ.

การกำหนดค่าภายนอกของ StackPath ให้การป้องกันเพิ่มเติมสำหรับเว็บเซิร์ฟเวอร์ของคุณเป็นแบบใดก็ได้ รหัสที่เป็นอันตรายไม่ได้มีโอกาสสัมผัสทรัพยากรของคุณ.

การรับส่งข้อมูลเว็บที่มุ่งหน้าไปยังเว็บไซต์ของคุณจะถูกเบี่ยงเบนเพื่อมาถึงเซิร์ฟเวอร์ StackPath ก่อน การป้องกันพื้นฐานสามประการที่นำเสนอโดยบริการนี้คือ: การประเมินที่อยู่ IP, การตรวจสอบเบราว์เซอร์, และ การใช้กฎของเนื้อหา. วิธีการนี้มุ่งเน้นไปที่ความน่าจะเป็นของคำขอที่เข้ามาจากแหล่งที่น่าสงสัย การกรองแหล่งที่มายังปิดความพยายามโจมตี DDoS ใด ๆ.

การรับส่งข้อมูลที่ผ่านการตรวจสอบเท่านั้นจะถูกส่งต่อไปยังเว็บเซิร์ฟเวอร์ของคุณ. การประมวลผลทั้งหมดนั้นเกิดขึ้นอย่างรวดเร็วจนผู้ใช้ทั่วไปไม่พบกับการด้อยค่าของความเร็วในการเชื่อมต่อ StackPath เสนอ เว็บแอพพลิเคชั่นไฟร์วอลล์ ฟรีสำหรับเดือนแรกของการบริการ.

StackPath Web Application Firewall ฟรีเดือนแรก

3. เว็บไซต์ไฟร์วอลล์ Sucuri (เรียนรู้เพิ่มเติม)

Sucuri เว็บไซต์ไฟร์วอลล์

Sucuri Web Application Firewall เป็นส่วนหนึ่งของชุดมาตรการป้องกันเว็บไซต์ ระบบป้องกันบนคลาวด์ของ Sucuri เป็นบริการออนไลน์ ที่อยู่เว็บไซต์ของคุณโฮสต์ที่เซิร์ฟเวอร์ของ Sucuri รวมถึงปริมาณการใช้เว็บทั้งหมดของคุณก่อน.

บริการ Sucuri กรองปริมาณการใช้งานที่เป็นอันตรายผ่านเทคนิคต่างๆ บริษัท รักษาฐานข้อมูลของลายเซ็นการโจมตีซึ่งมีการปรับปรุงอย่างต่อเนื่องดังนั้น เว็บไซต์ของคุณได้รับประโยชน์จากกลยุทธ์การป้องกันที่เรียนรู้โดย Sucuri เมื่อมีการปกป้องเว็บไซต์อื่น.

แพ็คเกจบริการประกอบด้วยการปรับแต่งประสิทธิภาพและการป้องกัน DDoS เซิร์ฟเวอร์ Sucuri บล็อกทราฟฟิกที่เป็นอันตรายและส่งต่อคำร้องขอโดยสุจริตทั้งหมดไปยังเว็บเซิร์ฟเวอร์ของคุณ กระบวนการนี้ เกิดขึ้นอย่างรวดเร็วว่าผู้เข้าชมจะไม่สังเกตเห็นความล่าช้าใด ๆ ในการส่งมอบเว็บเพจของคุณ.

ประสิทธิภาพการจัดส่งถูกปรับปรุงโดยการแคชซึ่งหมายถึง แม้ว่าเว็บไซต์ของคุณจะปิดเพื่อการบำรุงรักษาผู้เข้าชมจะยังสามารถเข้าถึงเว็บเพจของคุณได้. Sucuri Web Application Firewall มีให้บริการในรูปแบบสมัครสมาชิกและราคาเริ่มต้นที่ $ 9.99 ต่อเดือนสำหรับแพ็คเกจพื้นฐาน ดูรายละเอียดแผนบนเว็บไซต์ของพวกเขา.

Sucuri Web Application FirewallView รายละเอียดแผน

4. Cloudflare WAF

Cloudflare WAF

Cloudflare ประสบความสำเร็จอย่างมากในการปกป้องโฮสต์เว็บจากการโจมตี DDoS และพวกเขาขยายการป้องกันด้วยไฟร์วอลล์เว็บแอพพลิเคชัน นี่คือบริการออนไลน์ที่ใช้กันอย่างแพร่หลาย เซิร์ฟเวอร์ของพวกเขาจัดการ 2.9 ล้านคำขอทุก ๆ วินาทีในนามของฐานลูกค้าขนาดใหญ่ของพวกเขา.

ประโยชน์ของการสมัครสมาชิก WAF ที่ใช้กันอย่างแพร่หลายเช่น Cloudflare คือ บริษัท สามารถนำเศรษฐศาสตร์ไปใช้ในการวิจัยภัยคุกคาม. ความพยายามในการโจมตีลูกค้ารายหนึ่งกระเพื่อมผ่านไปยังบัญชีดำสำหรับทุกเว็บเซิร์ฟเวอร์ที่ได้รับการปกป้องโดย Cloudflare. หากคุณมีเซิร์ฟเวอร์บนคลาวด์เป็นศูนย์กลางสำหรับองค์กรของคุณหรือเป็นระบบการนำส่งเนื้อหาที่รวมอยู่ในการนำเสนอเว็บของคุณ Cloudflare ก็สามารถครอบคลุมได้เช่นกัน การผสานรวมการป้องกัน DDoS ของ Cloudflare เข้ากับการสมัคร WAF ของคุณเป็นเรื่องง่ายมาก.

5. Akamai Kona ผู้พิทักษ์ไซต์

Kona ผู้พิทักษ์ไซต์

Akamai เป็นผู้นำระดับโลกในการลด DDoS และรวมการป้องกัน DDoS อย่างสมบูรณ์เข้ากับไฟร์วอลล์เว็บแอปพลิเคชันในบริการคลาวด์ที่เรียกว่า Site Defender ประโยชน์ที่ยอดเยี่ยมของการรวมบริการทั้งสองนี้ไว้ในผลิตภัณฑ์เดียวคือคุณ ไม่จำเป็นต้องมีการรับส่งข้อมูลของคุณผ่าน บริษัท ที่แตกต่างกันสองแห่ง เพื่อรับคำขอของแท้มาถึงที่เว็บเซิร์ฟเวอร์ของคุณ.

ในฐานะหนึ่งในผู้นำด้านความปลอดภัยออนไลน์ Akamai มักเป็นคนแรกที่ค้นพบช่องโหว่ใหม่ ๆ ในฐานะลูกค้าของ Site Defender คุณจะได้รับประโยชน์จากข้อมูล “นำหน้าของเส้นโค้ง” นี้ทันทีด้วยบล็อกที่กระชับและชาญฉลาดยิ่งขึ้นเกี่ยวกับปริมาณข้อมูลของแฮ็กเกอร์.

6. Amazon AWS WAF

ไฟร์วอลล์แอปพลิเคชันเว็บ Amazon AWS

ไฟร์วอลล์เว็บแอปพลิเคชัน Amazon AWS (หรือ AWS WAF) ให้บริการเฉพาะลูกค้าของบริการบนเว็บของ บริษัท ซึ่งรวมถึง Application Load Balancer และเครือข่ายการส่งเนื้อหาของ Amazon เนื่องจาก Amazon Web Services ใช้ระบบคลาวด์ WAF นี้จึงเป็นส่วนเสริมสำหรับการสมัครสมาชิกที่มีอยู่ของคุณ รูปแบบราคาน่าดึงดูดมาก. คุณไม่ต้องจ่ายเงินก้อนในแต่ละเดือน. แต่คุณจะถูกเรียกเก็บเงินสำหรับกฎความปลอดภัยแต่ละข้อที่คุณตั้งค่าและจำนวนคำขอเว็บที่เซิร์ฟเวอร์ของคุณได้รับในหนึ่งเดือน.

7. Incapsula Web Application Firewall

ไฟร์วอลล์ของแอปพลิเคชันเว็บที่ไม่สมบูรณ์

Incapsula เป็นผู้นำในการป้องกัน DDoS และ บริษัท ได้เพิ่มการกรอง DDoS แบบเต็มใน WAF ไม่ใช่เพียงแค่การปกป้องเลเยอร์แอปพลิเคชัน บริษัท มีศูนย์ข้อมูล 25 แห่งทั่วโลกซึ่งทำให้มั่นใจได้ว่า WAF บนคลาวด์นี้จะถูกตรวจสอบตลอดเวลา.

แผน WAF ที่ถูกที่สุดที่เสนอโดย Incapsula ใช้งานได้ที่ $ 300 ต่อเดือน อยู่ที่อื่นการปรับปรุงฐานข้อมูลภัยคุกคามไม่ใช่ปัญหาของคุณ Incapsula ดูแลสิ่งนั้น บริษัท จะส่งแพตช์ให้คุณเพื่อช่วยคุณปกป้องเว็บแอปพลิเคชันของคุณซึ่งคุณสามารถกำหนดเวลาที่จะใช้งานในช่วงเวลาที่เงียบสงบของเซิร์ฟเวอร์ของคุณ.

WAFs ที่ใช้ฮาร์ดแวร์ที่ดีที่สุด

โซลูชันฮาร์ดแวร์สำหรับไฟร์วอลล์ของเว็บแอปพลิเคชันเกี่ยวข้องกับอุปกรณ์เครือข่ายที่จำเป็นต้องอยู่ด้านหน้าโครงสร้างพื้นฐานของเว็บ.

เนื่องจากการรับส่งข้อมูลทั้งสองทิศทางจะผ่านอุปกรณ์นี้ก่อนคุณจึงต้อง ตรวจสอบให้แน่ใจว่าแบบจำลองที่คุณเลือกมีความสามารถในการจัดการอัตราการรับส่งข้อมูลตามคำขอของเว็บเซิร์ฟเวอร์. เมื่อประเมินเครื่องใช้ WAF คุณควรวัดความต้องการของเซิร์ฟเวอร์ในแง่ของปริมาณข้อมูลทั้งในหน่วย Mbps และจำนวนธุรกรรม เนื่องจากธุรกรรม SSL ใช้เวลาในการประมวลผลมากขึ้นคุณควรดูจำนวนธุรกรรม SSL สูงสุดต่อวินาที (TPS).

1. Imperva SecureSphere

Imperva SecureSphere

WAF นี้มีวัตถุประสงค์เพื่อธุรกิจขนาดเล็กที่มีหน่วยงานที่มีปริมาณงาน 100 Mbps ที่รองรับกับ SSL TPS 440 ขึ้นไปจนถึงรุ่นที่สามารถประมวลผล 10 Gbps และ 9,000 SSL TPS เป็นตัวอย่างของช่วงลองดูที่ X[year] ซึ่งให้ปริมาณงาน 500 เมกะบิตต่อวินาทีในราคา 4,200 เหรียญ หน่วยนี้สามารถจัดการกับ 2,200 SSL TPS.

รุ่นที่สูงกว่าในช่วงสามารถใช้งานร่วมกันได้ คุณสามารถซื้อ X85210 ซึ่งมีอัตราการรับส่งข้อมูล 5 Gbps แล้วอัพเกรดในภายหลังผ่านซอฟต์แวร์แพตช์เพื่อเปลี่ยนเป็นรุ่น X10K ซึ่งอนุญาตให้รับส่งข้อมูล 10 Gbps คุณยังสามารถเลือกใช้ SecureSphere เวอร์ชันคลาวด์.

2. Barracuda Web Application Firewall

ไฟร์วอลล์แอปพลิเคชันเว็บ Baracuda

Barracuda เป็นทางออกที่ดีสำหรับธุรกิจขนาดเล็กถึงขนาดกลาง อุปกรณ์นี้มีราคาแพงเล็กน้อย แต่ราคาซื้อรวมถึงการอัปเดตระบบทั้งปี กล่อง Barracuda จะได้รับการอัพเดตโดยอัตโนมัติเมื่อ บริษัท ตรวจพบภัยคุกคามและการหาประโยชน์ใหม่ กล่อง Barracuda มีคุณสมบัติพิเศษบางอย่างซึ่งรวมถึงการแคชเพื่อการจัดส่งเนื้อหาที่รวดเร็วขึ้นและการทำโหลดบาลานซ์ คุณสามารถเพิ่มการป้องกัน DDoS แบบเต็มได้โดยเสียค่าธรรมเนียม.

Barracuda WAF มีให้เลือกหลายขนาดแต่ละแบบมีความจุแตกต่างกัน ตัวอย่างเช่น Model 360 จะให้ปริมาณงาน 25 Mbps และสามารถรองรับ SSL TPS 2000 การซื้อ 360 จะทำให้คุณกลับมาที่ $ 6,350 รวมถึงปีแรกของการแพตช์เสมือน การสนับสนุนสำหรับปีต่อ ๆ ไปมีค่าใช้จ่าย $ 1,350 ต่อปี.

3. Citrix Netscaler แอพพลิเคชั่นไฟร์วอลล์

Citrix Netscaler

กลุ่มผลิตภัณฑ์ Netscaler MPX มีความจุตั้งแต่ 500 Mbps ถึง 200 Gbps รุ่นที่ถูกที่สุดคือ MXP 5550 ซึ่งให้ปริมาณงาน 500 Mbps และสามารถรับมือกับ 1,500 SSL TPS หน่วยนี้มีค่าใช้จ่าย $ 4,000 แต่ราคาดังกล่าวไม่รวมสัญญาการแพตช์เสมือนซึ่งเป็นการเพิ่มเติมพิเศษ.

อุปกรณ์ Citrix Netscaler ยังทำหน้าที่เป็นตัวปรับสมดุลโหลดสำหรับองค์กรขนาดเล็ก Netscaler มีให้บริการในรูปแบบคลาวด์.

4. Fortinet FortiWeb

Fortinet FortiWeb

หากคุณมีองค์กรเว็บขนาดเล็กและคุณเปลี่ยนไปสู่ลีกขนาดกลางคุณจะต้องอัพเกรดอุปกรณ์จำนวนมาก นี่อาจเป็นโอกาสที่ดีสำหรับคุณที่จะลองใช้เครื่อง Fortinet FortiWeb. อุปกรณ์นี้รวม WAF เข้ากับ load balancer และ SSL offloader. หากคุณกำลังขยายออกไปยังเซิร์ฟเวอร์หลายตัวคุณจะต้องมี load balancer อยู่แล้วดังนั้นในขณะที่คุณอยู่ในตลาดสำหรับชุดใหม่มันสมเหตุสมผลที่จะทำให้ไฟร์วอลล์เว็บแอปพลิเคชันของคุณไม่อยู่ในรายการสิ่งที่ควรซื้อเช่น ได้ดีและได้ทั้งสองอย่างไว้ในกล่องเดียวกัน.

กลุ่มผลิตภัณฑ์ FortiWeb ประกอบด้วยโมเดลแปดรุ่นที่เพิ่มความสามารถในการรับส่งข้อมูล รูปแบบรายการระดับคือ 100D มีอัตราความเร็ว 25 Mbps รุ่นสูงสุดของช่วงคือ 4000E นี่คือปริมาณงาน 20Gbps FortiWeb ยังทำงานกับบริการไฟร์วอลล์ของเว็บแอพพลิเคชันบนคลาวด์.

5. F5 BIG-IP ASM

F5 BIG-IP ASM

BIG-IP ASM มุ่งเป้าไปที่ บริษัท ขนาดใหญ่ น่าเสียดายที่ F5 ไม่ได้ให้อัตรา SSL TPS สำหรับรุ่น แต่เป็น HTTP แทน โมเดล 10200 สามารถประมวลผล HTTP 75,000 TPS และมีปริมาณงาน 5 Gbps.

BIG-IP ASM ช่วยให้เซิร์ฟเวอร์ของคุณทำงานได้เร็วขึ้นด้วยการจัดการกับการเข้ารหัส SSL ของ HTTPS และ SFTP ฟังก์ชั่นนี้เรียกว่า“ SSL offloading” แพ็คเกจ F5 ประกอบด้วยการป้องกันภัยคุกคามที่ได้รับประโยชน์จากการวิเคราะห์ภัยคุกคามที่ลึกและการเรียนรู้แบบไดนามิกดังนั้นคุณไม่ต้องลงทุนเวลามากเกินไปในการอ่านผ่านรายงานเพื่อหาที่อยู่ในบัญชีดำ เครื่องใช้จะทำเพื่อคุณ.

WAFs ที่ใช้ฮาร์ดแวร์เทียบกับ Cloud: ข้อดีและข้อเสีย

ทางเลือกของอุปกรณ์หรือคลาวด์โซลูชั่นที่คุณสามารถเลือกได้ตามความต้องการสำหรับการกำหนดค่าแต่ละครั้ง ตัวอย่างเช่นบางคนมีองค์ประกอบที่ไม่สะดวกในการเอาท์ซอร์สของเครือข่ายและหน้าที่ความปลอดภัยของเว็บโฮสต์นั้นเป็นหัวข้อที่ละเอียดอ่อนเป็นพิเศษ.

ข้อด้อยของ WAFs บนคลาวด์

WAF ยืนอยู่หน้าอุปกรณ์อื่น ๆ ทั้งหมดของคุณดังนั้นจึงต้องเป็นเป้าหมายของ URL ของคุณ นั่นหมายความว่าคุณไม่สามารถควบคุมปริมาณการใช้งานของคุณได้โดยตรงเพราะระเบียน DNS ทั้งหมดจะนำผู้เข้าชมเว็บไซต์ไปยังบริการคลาวด์ก่อน.

ในกรณีที่ บริษัท ต่างๆที่ให้บริการด้านความปลอดภัยส่วนหน้ามีการเสนอบริการ WAFs บนคลาวด์ ตัวอย่างเช่น, หากผู้ให้บริการ WAF ที่คุณเลือกไม่มีบริการป้องกัน DDoS คุณจะต้องส่งต่อปริมาณข้อมูลของคุณไปยังบริการคลาวด์ที่สองเพื่อรับการคุ้มครองอย่างเต็มที่จากภัยคุกคามทั้งหมด. การออกบริการคลาวด์ WAF สามารถล็อคคุณไว้ใน บริษัท รักษาความปลอดภัยออนไลน์แห่งหนึ่งสำหรับการป้องกันออนไลน์ทั้งหมดของคุณและ จำกัด ตัวเลือกของคุณ.

WAFs ตรวจสอบเนื้อหาของแพ็คเก็ตดังนั้นพวกเขาจึงจำเป็นต้องตัดการป้องกันการเข้ารหัสทั้งหมดออกก่อนที่จะสามารถทำงานหลักได้ ซึ่งหมายความว่าคุณต้องมอบใบรับรอง SSL ของคุณให้กับผู้ให้บริการคลาวด์ WAF อย่างมีประสิทธิภาพยอมจำนนทุกฟังก์ชั่นความปลอดภัยที่ปกป้องเว็บโฮสต์ของคุณเนื้อหาของคุณและความปลอดภัยของลูกค้าของคุณ.

คุณต้องมีความเชื่อมั่นในผู้ให้บริการคลาวด์ WAF มากเพื่อเตรียมพร้อมที่จะให้บุคคลที่สามยืนอยู่ระหว่างคุณและลูกค้าของคุณ.

ข้อดี WAFs บนคลาวด์

ในทางกลับกันชื่อเสียงและความเชี่ยวชาญของผู้ให้บริการ WAF บนคลาวด์หมายความว่าคุณไม่จำเป็นต้องกังวลเกี่ยวกับการถูกทำลาย บริษัท ในรายการของเรามีความเชี่ยวชาญในการให้บริการเครือข่ายและความปลอดภัย ความเชี่ยวชาญที่สะสมของพวกเขานั้นยิ่งใหญ่กว่าที่คุณจะได้รับจาก บริษัท ของคุณเอง อาจมีความเสี่ยงต่อความพร้อมใช้งานและความปลอดภัยของเว็บไซต์ของคุณหากคุณพยายามครอบคลุมงานที่ซับซ้อนทั้งหมดที่เกี่ยวข้องกับปัญหาเหล่านี้.

สามารถชำระค่าบริการบนคลาวด์เป็นรายเดือน, กระจายค่าใช้จ่ายของการป้องกันเว็บแอปพลิเคชันของคุณ ในบางกรณีคุณจะถูกเรียกเก็บเงินสำหรับปริมาณงานทางเว็บเท่านั้นดังนั้นคุณสามารถเลื่อนการชำระเงินเพื่อการป้องกันของคุณไปจนถึงสิ้นเดือนเมื่อระดับการบริการได้รับการคำนวณและออกใบแจ้งหนี้.

หากคุณว่าจ้างบุคคลภายนอกในการดำเนินงานของคุณแล้วคุณได้ตกลงกับวิธีการดำเนินการบนระบบคลาวด์อยู่แล้วดังนั้นจึงไม่ใช่เรื่องยากที่จะเอาท์ซอร์ส WAF ของคุณไปด้วย คุณอาจจำเป็นต้องเปลี่ยนจากผู้ให้บริการที่มีอยู่หากรวมบริการอื่น ๆ เช่นการป้องกัน DDoS และการปรับสมดุลภาระด้วย WAF ใหม่ของคุณจะทำให้การขนส่งและเศรษฐกิจดีขึ้น.

จุดด้อยของฮาร์ดแวร์ที่ใช้ WAFs

เมื่อพิจารณาถึงต้นทุนของฮาร์ดแวร์ WAF คุณจะต้องเพิ่มค่าใช้จ่ายในการติดตั้งการป้องกันและการบำรุงรักษา Online WAFs ได้รับการอัพเดตโดยอัตโนมัติดังนั้นพวกเขาจึงเป็นแบบล่าสุดและพร้อมที่จะรับมือกับภัยคุกคามที่เกิดขึ้นล่าสุด การเตรียมความพร้อมระดับนั้นบนอุปกรณ์ WAF ของคุณเองอาจมีราคาแพง.

ผู้จำหน่ายฮาร์ดแวร์ WAF ส่วนใหญ่เสนอบริการอัพเดท. การแก้ไขภัยคุกคามใหม่จะถูกส่งไปยังอุปกรณ์ WAF ของคุณผ่านอินเทอร์เน็ตโดยอัตโนมัติและจะทำการต่ออายุเฟิร์มแวร์โดยไม่ต้องดำเนินการใด ๆ. ในกรณีที่มีภัยคุกคามใหม่ ๆ อุปกรณ์และซอฟต์แวร์อื่น ๆ ในเครือข่ายของคุณอาจต้องมีการอัพเดตและบริการสนับสนุนของผู้ให้บริการ WAF ของคุณจะให้สิ่งเหล่านั้นแก่คุณเช่นกัน.

กระบวนการนี้เรียกว่า “virtual patching” และเป็นอัปเดตฐานข้อมูลไฟร์วอลล์คลาสสิกของ WAF อย่างไรก็ตามแม้ว่าซัพพลายเออร์ฮาร์ดแวร์ทั้งหมดในรายการของเราจะมีการปะแก้แบบเสมือน แต่ผู้ให้บริการบางรายก็ไม่รวมบริการดังกล่าวฟรี ในกรณีที่มีการรวมบริการอัปเดตมักจะให้บริการฟรีในปีแรกเท่านั้น หลังจากนั้นคุณต้องจ่ายเพิ่มสำหรับการสนับสนุน WAF ในบ้านของคุณ.

ค่าใช้จ่ายล่วงหน้าในการซื้อฮาร์ดแวร์ WAF อาจเป็นค่าใช้จ่ายที่ไม่สะดวกเมื่อต้องดิ้นรนเพื่อให้ บริษัท เว็บใหม่ของคุณทำงานได้. หากคุณไม่ได้รับการปกป้องในขั้นแรกคุณอาจได้รับความเชื่อมั่นว่าเป็นสิ่งที่ไม่จำเป็นแม้เมื่อคุณไปถึงจุดที่คุณมีเงินสดสำรอง. นี่เป็นสถานการณ์ที่อันตรายเพราะคุณจะตระหนักได้ว่าคุณต้องการการป้องกัน WAF เมื่อคุณถูกโจมตี จากนั้นเว็บไซต์ของคุณจะถูกบล็อกโดยเครื่องมือค้นหาที่มีรหัสที่เป็นอันตรายและคุณจะถูกส่งออกไปจากธุรกิจ.

ข้อดีของ WAFs ที่ใช้ฮาร์ดแวร์

หากคุณใช้งานเว็บเซิร์ฟเวอร์ของคุณเองคุณอาจรู้จักระบบเครือข่ายและอินเทอร์เน็ตเป็นจำนวนมาก คุณอาจต้องใช้ load balancer เมื่อคุณวางเซิร์ฟเวอร์เพิ่มเติมเพื่อจัดการกับความต้องการ หากเป็นกรณีนี้คุณสามารถซื้อเว็บแคชรวม, load balancer และ WAF รวมกันและรับข้อกำหนด front-end ทั้งหมดของคุณที่เกี่ยวข้องกับอุปกรณ์หนึ่งชิ้น.

การมี WAF ของคุณเองหมายความว่าคุณไม่จำเป็นต้องมอบที่อยู่เว็บของคุณให้กับบุคคลที่สาม หากในบางจุดคุณต้องการการป้องกัน DDoS อย่างกว้างขวางดังนั้น URL ของคุณจะต้องไปที่ผู้ให้บริการบรรเทาสาธารณภัย DDoS อย่างไรก็ตามในกรณีนี้คุณไม่จำเป็นต้อง จำกัด ตัวเลือกการป้องกัน DDoS ของคุณตามที่ บริษัท WAF คลาวด์ของคุณมอบให้ คุณจะไม่ได้มุ่งมั่นที่จะนำ URL ของคุณเพื่อให้ WAF ของคุณ.

การเลือกไฟร์วอลล์เว็บแอปพลิเคชัน

ไม่ว่าคุณจะต้องการมี WAF ของคุณเองบนเครือข่ายของคุณหรือคุณคิดว่าเป็นการดีกว่าที่จะใช้โซลูชัน WAF บนคลาวด์บทวิจารณ์นี้มีตัวเลือกห้าข้อให้คุณพิจารณา การเลือกอุปกรณ์ซอฟต์แวร์และบริการใหม่สำหรับ บริษัท ของคุณอาจใช้เวลานานมาก ในคู่มือนี้เราได้ดูแลช่วงแรกนั้นสำหรับคุณ.

งานต่อไปของคุณคือการ จำกัด ทางเลือกของคุณ สิ่งที่เพิ่มเข้ามาซึ่งผู้ให้บริการ WAF เหล่านี้เสนอจะนำคุณไปสู่ทางเลือกนั้น ความสามารถของแต่ละบริการก็เป็นสิ่งสำคัญเช่นกันและคุณควรคำนึงถึงความสามารถในการปรับขนาดเพื่อให้แผนการขยายในอนาคตของคุณได้รับการพิจารณา.

ตัดสินใจว่าจะไปใช้ฮาร์ดแวร์หรือ WAF บนคลาวด์หรือไม่จากนั้นตรวจสอบห้ารายการที่ระบุไว้ในหมวดหมู่นั้น มองว่าการป้องกันที่ไฟร์วอลล์ของเว็บแอปพลิเคชั่นนำเสนอให้องค์กรของคุณนั้นเป็นความผิดพลาด อย่ารอจนกว่าจะสายเกินไปและไซต์ของคุณถูกโจมตีแล้ว รับ WAF ทันทีเพื่อให้เว็บไซต์ของคุณออนไลน์อยู่เสมอ.

ภาพ: ไฟร์วอลล์โดย frankieleon ผ่าน Flickr.com ได้รับอนุญาตภายใต้ CC BY 2.0

About the author