Брандмауэр веб-приложений, что это такое
Обновлено: 03.07.2024
Брандмауэр веб-приложений, или WAF, – это инструмент безопасности для мониторинга, фильтрации и блокировки входящих и исходящих пакетов данных из веб-приложения или веб-сайта. WAF могут быть хостовыми, сетевыми или облачными и обычно развертываются через обратные прокси-серверы и размещаются перед приложением или веб-сайтом (или несколькими приложениями и сайтами).
WAF могут работать как сетевые устройства, подключаемые модули сервера или облачные службы, проверяя каждый пакет и анализируя логику прикладного уровня (уровень 7) в соответствии с правилами для фильтрации подозрительного или опасного трафика.
Почему важна безопасность WAF?
WAF важны для растущего числа организаций, которые предлагают продукты или услуги в Интернете, включая разработчиков мобильных приложений, поставщиков социальных сетей и цифровых банкиров. WAF может помочь вам защитить конфиденциальные данные, такие как записи клиентов и данные платежных карт, и предотвратить утечку.
Организации обычно хранят большую часть своих конфиденциальных данных во внутренней базе данных, к которой можно получить доступ через веб-приложения. Компании все чаще используют мобильные приложения и устройства IoT для облегчения делового взаимодействия, при этом многие онлайн-транзакции происходят на уровне приложений. Злоумышленники часто используют приложения для доступа к этим данным.
Использование WAF может помочь вам соответствовать требованиям соответствия, таким как PCI DSS (Стандарт безопасности данных индустрии платежных карт), который применяется к любой организации, обрабатывающей данные о держателях карт, и требует установки брандмауэра. Таким образом, WAF является важным компонентом модели безопасности организации.
Важно иметь WAF, но рекомендуется комбинировать его с другими мерами безопасности, такими как системы обнаружения вторжений (IDS), системы предотвращения вторжений (IPS) и традиционные брандмауэры, чтобы обеспечить защиту на месте. модель глубокой безопасности.
Типы брандмауэров веб-приложений
Существует три основных способа реализации WAF:
- Сетевой WAF — обычно аппаратный, он устанавливается локально, чтобы свести к минимуму задержку. Однако это самый дорогой тип WAF, который требует хранения и обслуживания физического оборудования.
- WAF на базе хоста — может быть полностью интегрирован в программное обеспечение приложения. Этот вариант дешевле, чем сетевые WAF, и его легче настраивать, но он потребляет значительные ресурсы локального сервера, сложен в реализации и может быть дорогим в обслуживании. Компьютер, используемый для запуска WAF на основе хоста, часто нуждается в усилении защиты и настройке, что может занять время и быть дорогостоящим.
- Облачный WAF — доступное, простое в реализации решение, обычно не требующее первоначальных вложений, при котором пользователи оплачивают ежемесячную или годовую подписку на «безопасность как услугу». Облачный WAF можно регулярно обновлять без дополнительных затрат и усилий со стороны пользователя. Однако, поскольку вы полагаетесь на третье лицо для управления своим WAF, важно убедиться, что облачные WAF имеют достаточные параметры настройки в соответствии с бизнес-правилами вашей организации.
Безопасность API: Демистификация рисков следующего крупного вектора атаки
Функции и возможности WAF
Брандмауэры веб-приложений обычно предлагают следующие функции и возможности:
| Базы данных сигнатур атак | Сигнатуры атак — это шаблоны, которые могут указывать на вредоносный трафик, включая типы запросов, аномальные ответы сервера, и известные вредоносные IP-адреса. Раньше WAF полагались преимущественно на базы данных шаблонов атак, которые были менее эффективны против новых или неизвестных атак. | |
| Анализ шаблонов трафика с помощью ИИ | Алгоритмы искусственного интеллекта позволяют проводить поведенческий анализ шаблонов трафика, используя базовые поведенческие показатели для различных типов трафика для обнаружения аномалий, указывающих на атаку. Это позволяет обнаруживать атаки, которые не соответствуют известным вредоносным шаблонам. | |
| Профилирование приложений | Включает анализ структуры приложения, включая типичные запросы, URL-адреса, значения и разрешенные типы данных. Это позволяет WAF идентифицировать и блокировать потенциально вредоносные запросы. | |
| Настройка | Операторы могут определять правила безопасности, применяемые к приложению. трафик. Это позволяет организациям настраивать поведение WAF в соответствии со своими потребностями и предотвращать блокировку законного трафика. | |
| Модули корреляции | Они анализируют входящий трафик и сортируют его с помощью известных сигнатур атак, профилирования приложений, анализа ИИ и настраиваемых правил, чтобы определить, следует ли его блокировать. | |
| Платформы защиты от DDoS-атак | Вы можете интегрировать облачную платформу, которая защищает против распределенных атак типа «отказ в обслуживании» (DDoS). Если WAF обнаруживает DDoS-атаку, он может перенаправить трафик на платформу защиты от DDoS-атак, которая может справиться с большим объемом атак. | |
| Содержание сети доставки (CDN) | WAF развертываются на границе сети, поэтому WAF, размещенный в облаке, может предоставить CDN для кэширования веб-сайта и сокращения времени его загрузки. WAF развертывает CDN в нескольких точках присутствия (PoP), распределенных по всему миру, поэтому пользователи обслуживаются из ближайшей точки присутствия. |
Технология WAF
Функция WAF может быть встроена в серверные программные плагины или аппаратные устройства или может предлагаться как услуга для фильтрации трафика. WAF могут защищать веб-приложения от вредоносных или скомпрометированных конечных точек и функционировать как обратные прокси-серверы (в отличие от прокси-сервера, который защищает пользователей от вредоносных веб-сайтов).
В WAF предварительно загружены правила безопасности, которые могут обнаруживать и блокировать многие известные шаблоны атак. Обычно они включают основные уязвимости безопасности веб-приложений, поддерживаемые Open Web Application Security Project (OWASP).
Кроме того, организация может определить собственные правила и политики безопасности в соответствии с бизнес-логикой своего приложения. Для настройки и настройки WAF могут потребоваться специальные знания.
Модели безопасности WAF
WAF могут использовать положительную или отрицательную модель безопасности или их комбинацию:
- Позитивная модель безопасности. Позитивная модель безопасности WAF включает белый список, который фильтрует трафик в соответствии со списком разрешенных элементов и действий — все, что не входит в список, блокируется. Преимущество этой модели в том, что она может блокировать новые или неизвестные атаки, которые разработчик не предвидел.
- Негативная модель безопасности – негативная модель включает черный список (или запрещенный список), который блокирует только определенные элементы — все, что не входит в список, разрешено. Эту модель легче внедрить, но она не может гарантировать устранение всех угроз. Это также требует ведения потенциально длинного списка вредоносных сигнатур. Уровень безопасности зависит от количества реализованных ограничений.
WAF с Imperva
Imperva предоставляет лучший в отрасли брандмауэр веб-приложений, который предотвращает атаки с помощью анализа веб-трафика, поступающего к вашим приложениям, на уровне мировых стандартов.
Помимо WAF, Imperva обеспечивает комплексную защиту приложений, API и микросервисов:
Самозащита приложений во время выполнения (RASP) — обнаружение и предотвращение атак в режиме реального времени из среды выполнения вашего приложения, где бы ни находились ваши приложения. Остановите внешние атаки и инъекции и уменьшите количество уязвимостей.
Безопасность API. Автоматическая защита API обеспечивает защиту конечных точек API в момент их публикации, защищая ваши приложения от несанкционированного доступа.
Расширенная защита от ботов. Предотвращайте атаки на бизнес-логику со всех точек доступа: веб-сайтов, мобильных приложений и API. Обеспечьте полную видимость и контроль над трафиком ботов, чтобы остановить интернет-мошенничество путем захвата аккаунта или кражи конкурентных цен.
Защита от DDoS-атак: блокируйте атакующий трафик на периферии, чтобы обеспечить непрерывность бизнеса с гарантированным временем безотказной работы и без снижения производительности. Защитите свои локальные или облачные ресурсы независимо от того, размещены ли вы в AWS, Microsoft Azure или Google Public Cloud.
Аналитика атак. Благодаря машинному обучению и экспертным знаниям в предметной области обеспечивается полная прозрачность стека безопасности приложений, что позволяет выявлять закономерности и обнаруживать атаки на приложения, что позволяет изолировать и предотвращать кампании атак.
Защита на стороне клиента. Получите видимость и контроль над сторонним кодом JavaScript, чтобы снизить риск мошенничества в цепочке поставок, предотвратить утечку данных и атаки на стороне клиента.
Брандмауэр веб-приложений (WAF) защищает веб-приложения от различных атак на уровне приложений, таких как межсайтовый скриптинг (XSS), внедрение SQL и отравление файлов cookie. Атаки на приложения являются основной причиной утечек — они являются воротами к вашим ценным данным. При наличии правильного WAF вы можете заблокировать множество атак, направленных на кражу этих данных путем компрометации ваших систем.
Как работает брандмауэр веб-приложений (WAF)?
WAF могут поставляться в виде программного обеспечения, устройства или предоставляться как услуга. Политики можно настроить в соответствии с уникальными потребностями вашего веб-приложения или набора веб-приложений.Хотя многие WAF требуют регулярного обновления политик для устранения новых уязвимостей, достижения в области машинного обучения позволяют некоторым WAF обновляться автоматически. Эта автоматизация становится все более важной, поскольку ландшафт угроз продолжает становиться все более сложным и неоднозначным.
Разница между брандмауэром веб-приложений (WAF), системой предотвращения вторжений (IPS) и брандмауэром следующего поколения (NGFW)
IPS – это система предотвращения вторжений, WAF – брандмауэр веб-приложений, а NGFW – брандмауэр нового поколения. Какая между ними разница?
Система предотвращения вторжений — это более широкий продукт для обеспечения безопасности. Как правило, он основан на сигнатурах и политиках — это означает, что он может проверять известные уязвимости и векторы атак на основе базы данных сигнатур и установленных политик. IPS устанавливает стандарт на основе базы данных и политик, а затем отправляет предупреждения, когда любой трафик отклоняется от стандарта. Количество сигнатур и политик со временем увеличивается по мере появления новых уязвимостей. В целом, IPS защищает трафик различных типов протоколов, таких как DNS, SMTP, TELNET, RDP, SSH и FTP. IPS обычно работает и защищает уровни 3 и 4. Сетевой и сеансовый уровни, хотя некоторые из них могут обеспечивать ограниченную защиту на прикладном уровне (уровень 7).
Посмотрите это короткое видео о IPS и WAF
Брандмауэр нового поколения (NGFW) отслеживает трафик, исходящий из Интернета, между веб-сайтами, учетными записями электронной почты и SaaS. Проще говоря, это защита пользователя (по сравнению с веб-приложением). NGFW будет применять политики на основе пользователей и добавлять контекст к политикам безопасности в дополнение к таким функциям, как фильтрация URL-адресов, защита от вирусов и вредоносных программ и, возможно, собственные системы предотвращения вторжений (IPS). В то время как WAF обычно является обратным прокси-сервером (используемым серверами), NGFW часто являются прямыми прокси-серверами (используемыми клиентами, такими как браузер).
Различные способы развертывания WAF
WAF можно развернуть несколькими способами — все зависит от того, где развернуты ваши приложения, какие службы необходимы, как вы хотите управлять ими, а также от требуемого уровня архитектурной гибкости и производительности. Вы хотите управлять им самостоятельно или хотите отдать это управление на аутсорсинг? Будет ли лучше иметь облачный вариант или вы хотите, чтобы ваш WAF располагался локально? То, как вы хотите развернуть, поможет определить, какой WAF вам подходит. Ниже приведены ваши варианты.
Режимы развертывания WAF:
- Облако + полностью управляемое как услуга — это отличный вариант, если вам нужен самый быстрый и простой способ получить WAF перед вашими приложениями (особенно если у вас ограничены внутренние ресурсы безопасности/ИТ). )
- Облако + самоуправляемые. Получите всю гибкость и переносимость политик безопасности в облаке, сохраняя при этом контроль над управлением трафиком и настройками политик безопасности.
- Облачная + автоматическая подготовка — это самый простой способ начать работу с WAF в облаке, развертывая политику безопасности простым и экономичным способом.
- Расширенный WAF в локальной среде (виртуальное или аппаратное устройство) — это решение отвечает самым строгим требованиям развертывания, где гибкость, производительность и более сложные проблемы безопасности являются критически важными.
Узнайте больше о WAF и о том, как защитить свои приложения с помощью технологии Advanced WAF от F5
Брандмауэр веб-приложений или WAF обеспечивает защиту веб-приложений для онлайн-сервисов от вредоносного интернет-трафика. WAF обнаруживают и отфильтровывают угрозы, такие как OWASP Top 10, которые могут ухудшить, скомпрометировать или вывести из строя онлайн-приложения.
Часто задаваемые вопросы
Что такое брандмауэры веб-приложений?
Совет по стандартам безопасности PCI определяет брандмауэр веб-приложений как «точку применения политики безопасности, расположенную между веб-приложением и конечной точкой клиента. Эта функциональность может быть реализована в программном или аппаратном обеспечении, работать на устройстве или на обычном сервере, работающем под управлением обычной операционной системы. Безопасность WAF может быть реализована с помощью автономного устройства или интегрирована в другие сетевые компоненты».
Как работает брандмауэр веб-приложений?
WAF следуют правилам или политикам, адаптированным к конкретным уязвимостям. В результате именно так WAF предотвращает DDoS-атаки. Создание правил в традиционном WAF может быть сложным и требует квалифицированного администрирования. Проект Open Web Application Security Project ведет список основных недостатков безопасности веб-приложений OWASP, которые необходимо устранить с помощью политик WAF.
WAF представляют собой аппаратные устройства, программное обеспечение на стороне сервера или фильтруют трафик как услугу.WAF можно рассматривать как обратные прокси, то есть противоположность прокси-сервера. Прокси-серверы защищают устройства от вредоносных приложений, а WAF защищают веб-приложения от вредоносных конечных точек.
Каковы некоторые преимущества брандмауэра веб-приложений?
Брандмауэр веб-приложений (WAF) предотвращает атаки, пытающиеся воспользоваться уязвимостями в веб-приложениях. Уязвимости распространены в устаревших приложениях или приложениях с плохим кодом или дизайном. WAF устраняют недостатки кода с помощью настраиваемых правил или политик.
Интеллектуальные WAF предоставляют информацию о трафике приложений, производительности, безопасности и угрозах в режиме реального времени. Такая видимость дает администраторам возможность реагировать на самые изощренные атаки на защищенные приложения.
Когда проект Open Web Application Security Project выявляет основные уязвимости OWASP, WAF позволяют администраторам создавать собственные правила безопасности для борьбы со списком потенциальных методов атак. Интеллектуальный WAF анализирует правила безопасности, соответствующие конкретной транзакции, и предоставляет представление в режиме реального времени по мере развития шаблонов атак. Основываясь на этих сведениях, WAF может уменьшить количество ложных срабатываний.
В чем разница между брандмауэром и брандмауэром веб-приложений?
Традиционный брандмауэр защищает поток информации между серверами, а брандмауэр веб-приложения может фильтровать трафик для определенного веб-приложения. Сетевые брандмауэры и брандмауэры веб-приложений дополняют друг друга и могут работать вместе.
Когда следует использовать брандмауэр веб-приложений?
Любая компания, которая использует веб-сайт для получения дохода, должна использовать брандмауэр веб-приложений для защиты бизнес-данных и сервисов. Организациям, использующим интернет-поставщиков, особенно следует развертывать брандмауэры веб-приложений, поскольку безопасность внешних групп нельзя контролировать или доверять.
Как вы используете брандмауэр веб-приложений?
Брандмауэр веб-приложений требует правильного размещения, настройки, администрирования и мониторинга. Установка брандмауэра веб-приложений должна включать следующие четыре шага: защита, мониторинг, тестирование и улучшение. Это должен быть непрерывный процесс для обеспечения защиты конкретного приложения.
Конфигурация брандмауэра должна определяться бизнес-правилами и правилами безопасности компании. Такой подход позволит определять правила и фильтры в брандмауэре веб-приложений самостоятельно.
Предлагает ли Avi брандмауэр для веб-приложений?
Да. Брандмауэр веб-приложений Avi (WAF) обеспечивает высокоэффективную защиту веб-приложений с простотой «укажи и щелкни». Это позволяет настраивать конфигурации политик и помогает обеспечить соответствие требованиям GDPR, HIPAA и PCI DSS. Он упрощает правила безопасности, сводит к минимуму ложные срабатывания с помощью расширенной аналитики и защищает приложения от DDoS-атак и угроз OWASP Top 10 с помощью аналитических данных в реальном времени.
Чтобы узнать больше о реальном внедрении балансировки нагрузки, приложений безопасности и брандмауэров веб-приложений, ознакомьтесь с нашими обучающими видеороликами по доставке приложений.
Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .
Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.
Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .
Cradlepoint и Extreme Networks объединят маршрутизаторы 5G первой компании с сетевой структурой второй для создания беспроводной глобальной сети 5G.
Израильский стартап OneLayer запустился незаметно с начальным финансированием в размере 8,2 млн долларов США и программной платформой для защиты Интернета вещей.
Российско-украинская война, которая затрагивает все, от инфляции до доступности чипов, оставила половину корпоративных технических лидеров.
ИТ-руководители начали год с ветерком в спину, опираясь на инвестиции, сделанные во время пандемии, и вновь сосредоточившись на .
Определения метавселенной различаются, как и прогнозы относительно того, когда она появится. Но умные ИТ-директора должны ознакомиться с .
Компании, привлекающие украинских программистов, работают над переводом сотрудников, желающих переехать. Технологические компании в долгосрочной перспективе могут .
ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .
Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .
Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.
Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.
Amazon ECS и EKS похожи, но их различий достаточно, чтобы выделить их для пользователей AWS. Узнайте, что лучше всего подходит для вашего .
Новые дополнения к системам хранения, такие как гибкие блочные тома и высокая доступность для ZFS, делают облачную платформу Oracle более конкурентоспособной.
Университет сотрудничает с Oracle в проведении исследований по наблюдению за цветущими фруктовыми деревьями весной
Оператор мобильной связи добился самого значительного прироста клиентов с потребительскими контрактами с 2012 года и увеличения EBITDA на 10 % с постепенным увеличением.
Внедрение систем EPR в организациях NHS поможет активизировать усилия по цифровой трансформации и является ключом к достижению результатов.
Читайте также: