Kaufratgeber für WAFs – Die 11 besten Webanwendungs-Firewalls für 2022
Wenn Sie ein Online-Unternehmen haben, müssen Sie Ihre Webseite vor der Zerstörung durch Hacker schützen. Wenn Ihre Website mit Hackercodes infiziert wird, verlinken Suchmaschinen nicht darauf. Schützen Sie Ihr Unternehmen mit einer Webanwendungs-Firewall.
A Webanwendungs-Firewall ( WAF )-Lösung bietet Schutz für Webserver. Ihre WAF überwacht den Datenverkehr zwischen dem Internet und Ihrer Webanwendung und filtert oder blockiert den Datenverkehr dann basierend auf einer Reihe von Regeln/Richtlinien.
Webanwendungs-Firewalls schützen vor Angriffen wie SQL-Injection, Cross-Site-Scripting (XSS) und Cookie-Poisoning und sind ein wesentlicher Bestandteil Ihrer Verteidigungsstrategie.
Hier ist unsere Liste der besten Webanwendungs-Firewalls:
- AppTrana Managed Web Application Firewall WAHL DES REDAKTORS Eine vollständig verwaltete Webanwendungs-Firewall von Indusface mit gebündeltem Anwendungsscanner, CDN und verwalteten benutzerdefinierten Sicherheitsregeln mit Zero WAF False-Positive-Garantie, unterstützt durch SLA und 24×7-Support.
- StackPath Web Application Firewall (KOSTENLOSE TESTVERSION) Eine Cloud-basierte Firewall, die Teil einer „Edge“-Lösung ist.
- Website-Firewall-Safts (MEHR ERFAHREN) Teil einer Suite von Offsite-Anwendungssicherheitsdiensten, die auch DDoS-Schutz umfassen.
- Fortinet FortiWeb Ein Edge-Service-Paket, das eine Webanwendungs-Firewall, einen SSL-Offloader und einen Load Balancer in einem Cloud-Service, einer Appliance oder einer VM bietet.
- Imperva Cloud WAF Eine cloudbasierte Webanwendungs-Firewall mit einer gleichwertigen Appliance vor Ort namens Imperva WAF Gateway.
- Barracuda Web Application Firewall Diese WAF ist als SaaS-System, private Cloud, Appliance oder VM erhältlich und umfasst auch Schwachstellenscans und Datenverlustprävention.
- Prophaze Web Application Firewall Anpassbare All-in-One-WAF auf Multi-/Hybrid-/Privat-/SaaS-/Kubernetes-Basis mit Bot-Schutz, RASP, DDoS und CDN-Lösung. Schnelles Onboarding, unbegrenzte SSL-Zertifikate und Support rund um die Uhr.
- MS Azure Web Application Firewall Eine cloudbasierte WAF, die Webserver überall schützen kann. Dies ist ein gebührenpflichtiger Dienst.
- F5 Essential App Protect Eine cloudbasierte WAF, die sich an technisch nicht versierte Kunden richtet und daher einfach einzurichten und zu verwalten ist.
- Cloudflare WAF Cloudbasierte Lösung, die mit DDoS-Schutz kombiniert werden kann.
- Akamai Kona Site Defender Kombiniert einen Offsite-WAF und DDoS-Schutz.
Die besten Webanwendungs-Firewalls
Viele Web Application Firewall-Anbieter versuchen, einen möglichst großen Marktanteil zu erobern, indem sie ihre WAF-Systeme in möglichst vielen Varianten anbieten Konfigurationen wie möglich. Daher kann dieselbe WAF in vielen Fällen als Softwarepaket bereitgestellt werden, das auf einer virtuellen Maschine, als Netzwerkgerät oder als cloudbasiertes SaaS-System ausgeführt wird. Es ist auch möglich, eine cloudbasierte WAF als vollständig verwalteten Dienst zu beziehen.
Unsere Methodik zur Auswahl einer Web Application Firewall
Wir haben den Markt für WAFs untersucht und die Optionen anhand der folgenden Kriterien analysiert:
- Ein cloudbasiertes System
- Integrierter DDoS-Schutz
- Cloaking für die wahre IP-Adresse eines Unternehmens
- Sicherer Kanal für die Weiterleitung des Datenverkehrs
- Schnelle Datenverarbeitung, die den regulären Datenverkehr nicht verlangsamt
- Eine kostenlose Testversion oder eine Demo-Option, die eine Bewertung ohne Bezahlung ermöglicht
- Preis-Leistungs-Verhältnis eines vielseitigen Schutzsystems zu einem vernünftigen Preis
Anhand dieser Kriterien haben wir nach Edge-Plattformen gesucht, die neben anderen Diensten Web Application Firewall-Funktionen bereitstellen und Abonnementpreise ohne Einrichtungskosten bieten.
1. AppTrana Managed Web Application Firewall (KOSTENLOSE TESTVERSION)
AppTrana von Indusface bietet eine vollständig verwaltete Webanwendungs-Firewall gebündelt mit Inhaltsbeschleunigung und CDN über die Cloud. Sie müssen lediglich Ihren Datenverkehr über den AppTrana-Service leiten, der in mehreren Regionen in AWS-Rechenzentren von Indusface gehostet wird.
Hauptmerkmale:
- Managed-Service
- Content-Delivery-Netzwerk
- Lieferbeschleunigung
- Failover-Schutz
- Sicherheitsbewertungen
AppTrana ist sofort einsatzbereit und verfügt über optimierte verwaltete Kernregelsätze, die sofort in den Sperrmodus versetzt werden können, basierend auf dem optimierten Kernregelsatz, den Indusface durch Sicherheitsbewertungen Tausender anderer Websites entwickelt hat. Nach dem Onboarding können Kunden bei Bedarf eine automatisierte Sicherheitsbewertung der Website durchführen und erhalten sofort Einblick, ob sie bereits durch WAF geschützt sind oder benutzerdefinierte Sicherheitsregeln benötigen.
Diejenigen, die benutzerdefinierte Regeln benötigen, können über das zentrale Portal angefordert werden. Das 24×7-MSS-Team von Indusface erstellt eine benutzerdefinierte Regel mit Zero WAF-Falsch-Positiv-Sicherheit und schützt sie. Die Leistung der Website wird durch ein im Service enthaltenes gebündeltes CDN verbessert.
Vorteile:
- Keine Onboarding-Kosten
- Techniker und Sicherheitsanalysten im Paket enthalten
- Verteiltes Liefersystem
- DDoS-Schutz
- Gehostet auf AWS
Nachteile:
- Sie geben die Kontrolle über Ihre Webpräsenz an ein externes Unternehmen ab
Der AppTrana-Plan ist als Abonnementdienst verfügbar eine 14-tägige kostenlose Testversion . Registrierungen für eine kostenlose Testversion werden automatisch in einen für immer kostenlosen Basic-Plan eingeschrieben, der zweimal im Monat eine automatische Sicherheitsüberprüfung Ihrer Website umfasst.
DIE WAHL DES HERAUSGEBERS
AppTrana verwaltete Webanwendungs-Firewall ist unsere erste Wahl in dieser Zusammenfassung. Es umfasst die Dienste eines Expertenteams, das sich auf dem Gebiet des Netzwerkschutzes auszeichnet. Der Dienst umfasst neben den üblichen Web Application Firewall-Funktionen viele weitere Sicherheitsdienste. Das technische Team von Indusface, das an diesem Service arbeitet, filtert das Gerede über Sicherheitsgeräteberichte heraus und entlastet so die technischen Manager der Kundenunternehmen erheblich.
Da sich dieser Dienst in der Cloud befindet, müssen Sie zum Schutz Ihres Netzwerks auch keine spezielle Hardware vor Ort kaufen und verwalten. Indusface wurde benannt nachDie Wahl der Gartner Peer Insight-Kundenin allen sieben Abschnitten desStimme des Kunden WAAP 2022Bericht.
Starten Sie die 14-tägige kostenlose Testversion:Industry.com/products/application-security/web-application-firewall/
DU:Cloudbasiert
2. StackPath Web Application Firewall (KOSTENLOSE TESTVERSION)
Der Webanwendungs-Firewall gehört zu einer Reihe cloudbasierter Dienste, die von angeboten werden StackPath die sich auf „Edge-Technologie“ spezialisiert hat. Dieser Begriff bezieht sich auf die Technik, verbundene Dienste an den Rand Ihres Netzwerks und dann und noch etwas darüber hinaus zu verlagern. StackPath ist ein abonnementbasierter Cloud-Dienst erfasst Ihren gesamten Datenverkehr, bevor er Ihren Webserver erreicht .
Die Offsite-Konfiguration von StackPath bietet wie jeden anderen Webserver zusätzlichen Schutz Schadcode erhält nicht einmal die Chance, Ihre Ressourcen anzugreifen .
Hauptmerkmale:
- Virus Schutz
- Proxy-Dienst
- DDoS-Schutz
- Bewertung der IP-Adresse
Der Webverkehr, der zu Ihrer Website führt, wird umgeleitet, um zuerst den StackPath-Server zu erreichen. Die drei grundlegenden Verteidigungsmaßnahmen, die dieser Dienst bietet, sind: Bewertung der IP-Adresse , Browservalidierung , und das Verwendung inhaltsbasierter Routingregeln . Diese Methodik konzentriert sich auf die Wahrscheinlichkeit, dass eingehende Anfragen aus zweifelhaften Quellen stammen. Die Quellenfilterung unterbindet außerdem alle DDoS-Angriffsversuche.
Nur validierter Datenverkehr wird an Ihren Webserver weitergeleitet. Die gesamte Verarbeitung erfolgt so schnell, dass normale Benutzer keine Beeinträchtigung der Verbindungsgeschwindigkeit erfahren.
Vorteile:
- Bietet eine Reihe von Bewertungen für eingehende Anfragen
- Browser-Fingerprinting und -Validierung
- Optionales Routing zur Bearbeitung von Anfragen
- Schnelle Beurteilungen
Nachteile:
- Sie benötigen technische Fähigkeiten, um diesen Service optimal nutzen zu können
StackPath bietet das Webanwendungs-Firewall kostenlos für den ersten Monat der Nutzung.
StackPath Web Application Firewall im ersten Monat kostenlos
3. Juices Website Firewall (WEITERE INFORMATIONEN)
Der Sucuri Web Application Firewall ist Teil einer Reihe von Website-Schutzmaßnahmen. Das cloudbasierte Schutzsystem Sucuri ist ein Online-Dienst. Die Adresse Ihrer Website wird auf dem Server von Sucuri gehostet, und Ihr gesamter Webverkehr wird zuerst dorthin geleitet.
Hauptmerkmale:
- Proxy-Dienst
- DDoS-Schutz
- Schnelles Scannen
Der Sucuri-Dienst filtert schädlichen Datenverkehr mithilfe einer Reihe von Techniken heraus. Das Unternehmen unterhält eine Datenbank mit Angriffssignaturen, die ständig aktualisiert wird Ihre Website profitiert von den Schutzstrategien, die Sucuri beim Schutz anderer Websites erlernt hat .
Das Leistungspaket umfasst Leistungsoptimierung und DDoS-Schutz. Der Sucuri-Server blockiert böswilligen Datenverkehr und leitet alle echten Anfragen an Ihren Webserver weiter. Dieser Prozess geschieht so schnell, dass Besucher keine Verlangsamung bemerken bei der Bereitstellung Ihrer Webseiten.
Die Lieferleistung wird durch Caching verbessert, d. h Selbst wenn Ihre Website wegen Wartungsarbeiten nicht verfügbar ist, können Besucher weiterhin auf Ihre Webseiten zugreifen .
Vorteile:
- Eingriff in den Website-Verkehr
- Lieferbeschleunigung
- Bedrohungsinformationen
Nachteile:
- Die Verbindung müssen Sie selbst herstellen
Die Sucuri Web Application Firewall ist als Abonnementdienst erhältlich und die Preise für das Basispaket beginnen bei 9,99 $/Monat. Plandetails finden Sie auf ihrer Website.
Sucuri Web Application Firewall Plandetails anzeigen
4. Fortinet FortiWeb
Der FortiWeb WAF von Fortinet wird als SaaS-System, als VM-basiertes Softwarepaket oder als Appliance angeboten. Die Software für die WAF ist auch für Private Cloud Hosting verfügbar und kann als Container-basiertes System implementiert werden.
Hauptmerkmale:
- Angesehene Marke
- DDoS-Schutz
- Bedrohungsinformationen
Das FortiWeb-System funktioniert ein DDoS-Schutzdienst beim Zugriff als Cloud-Dienst oder als Appliance. Die Webanwendungs-Firewall untersucht den gesamten Datenverkehr im Netzwerk und setzt KI-basiertes maschinelles Lernen ein, um verdächtige Aktivitäten zu erkennen. FortiWeb verwendet auch ein Threat-Intelligence-Feed um sich über die neuesten Hacker-Angriffsstrategien auf dem Laufenden zu halten und nach Verhaltensmustern zu suchen, die von der berechneten Norm abweichen und auf einen typischen Angriff hinzuweisen scheinen.
Der WAF ist kombinierbar mit ein SSL-Offloader Und ein Load Balancer .
Vorteile:
- Holen Sie es sich als virtuelle Appliance, als physisches Gerät oder als SaaS-Paket
- Selbstverwaltet
- Optionen zur Integration anderer Fortinet-Sicherheitssysteme
Nachteile:
- Funktioniert am besten mit einer vollständigen Suite von Fortinet-Systemen
Der Cloud-Dienst wird per Abonnement abgerechnet und auf das Dashboard kann über jeden Standardbrowser von überall aus zugegriffen werden. Die Netzwerk-Appliance-Version ist in acht Modellen erhältlich, deren Kapazität von 25 Mbit/s bis 20 Gbit/s variiert.
5. Imperva Cloud WAF
Imperva ist ein wichtiger Akteur in der Cybersicherheitsbranche und seine WAF-Dienste sind umfassend. Als Funktion fungiert die Online-Version der Webanwendungs-Firewall von Imperva ein Proxyserver , fängt den gesamten eingehenden Datenverkehr ab und bereinigt ihn, bevor er an den geschützten Webserver weitergeleitet wird.
Hauptmerkmale:
- Proxy-Dienst
- Kontinuität der Standortverfügbarkeit
- Sicherheitspatches
Der Imperva Cloud WAF-Dienst wird von anderen Web-Erweiterungsdiensten unterstützt, z ein Content Delivery Network (CDN) , was die Bereitstellung von Webseiten beschleunigt und auch eine ständige Verfügbarkeit gewährleistet, falls der Hauptserver wegen Wartungsarbeiten ausfällt oder auf irgendeine Weise beschädigt wird. Die WAF umfasst a virtuelles Patchen Dienst, der alle erforderlichen Patches auf dem geschützten System anwendet und die Site-Verfügbarkeit gewährleistet, während der Webserver zurückgesendet wird.
Vorteile:
- Systemhärtungsdienst für Webserver
- Schutz vor böswilligen Verkehrsangriffen
- Lieferbeschleunigung
Nachteile:
- Für die Vor-Ort-Version ist der Kauf eines Geräts erforderlich
Imperva bietet eine Managed-Service-Option für seine Cloud WAF, die Spezialisten und Techniker für den Betrieb der Sicherheitssoftware umfasst. Eine Vor-Ort-Version des Imperva-Sicherheitsdienstes ist auf einer Reihe von Netzwerkgeräten verfügbar, genannt Imperva WAF Gateway.
6. Barracuda Web Application Firewall
Der Barracuda Web Application Firewall ist als SaaS-System, Appliance, als virtuelle Appliance oder zur Installation auf einem privaten Cloud-Konto verfügbar. Aufgrund dieser Flexibilität bei der Implementierung könnte die WAF für Unternehmen jeder Größe geeignet sein.
Hauptmerkmale:
- Bereitstellungsoptionen
- Blockiert Malware und infizierte Seiten
- Verkehrsschutz
Die WAF kanalisiert den gesamten Datenverkehr für einen Webserver – sowohl eingehend als auch ausgehend . Es ist in der Lage, verkehrsbasierte Angriffe, Malware und On-Page-Angriffsversuche zu erkennen und zu blockieren. Der Dienst nutzt sowohl Blacklisting, um Hacker zu blockieren, als auch Whitelisting, um gültigen Benutzern den Zugriff nur von bestimmten Geräten aus zu ermöglichen.
Das Verkehrsüberwachungssystem der Barracuda WAF sorgt ebenfalls dafür Verhinderung von Datenverlust . Dadurch können Unternehmen Datenschutzstandards wie PCI DSS einhalten. Eingehender Datenverkehr wird blockiert, wenn fehlerhafte Verbindungsanfragen erkannt werden ein DDoS-Angriff . Unter diesen Umständen absorbiert und verwirft der WAF-Server Volumenangriffe und lässt so echte Verbindungsanfragen durch.
Vorteile:
- SaaS-Plattform, physisches Gerät oder virtuelle Appliance
- Reverse-Firewall auch für den Datenschutz
- DDoS-Schutz
Nachteile:
- Geräte können teuer sein
Die von Barracuda angebotenen Netzwerkgeräte variieren in der Kapazität von 25 Mbit/s bis 10 Gbit/s.
7. Prophaze Web Application Firewall
Propagieren Sie WAF-as-a-Service ist ein cloudbasierter Proxyserver, der als Webanwendungs-Firewall fungiert. Der Prophaze-Service beinhaltet KI-Routinen die Erkennungsregeln verfeinern, indem sie die Grundlinie des Standardverhaltens anpassen. Diese Funktion trägt dazu bei, die Anzahl falscher Alarme zu reduzieren und echten Website-Besuchern uneingeschränkten Zugriff zu gewähren.
Hauptmerkmale:
- Anpassbare All-in-One-WAF auf Multi-/Hybrid-/Privat-/SaaS-/Kubernetes-Basis
- Beinhaltet Bot-Schutz + RASP + DDOS + CDN-Lösung mit unbegrenzten Regeln
- On-Boarding in nur 15 Minuten
- Unbegrenztes kostenloses SSL-Zertifikat
- Support rund um die Uhr für Teams/Zoom/Google mit Datenaufbewahrung von 30 Tagen
- Der Prophaze-Dienst wird im Abonnement berechnet, wobei drei Pläne verfügbar sind. Der höchste Plan, SaaS genannt, verfügt über Mandantenfähigkeiten und eignet sich daher für die Verwendung durch MSPs. Sie können eine bekommen Kostenlose Testphase des Prophaze WAF-as-a-Service.
Das Prophase-System selbst arbeitet mit Kubernetes-Container Darüber hinaus ist es in der Lage, die Leistung und Sicherheit der Kubernetes-Aktivitäten Ihres eigenen Systems zu überwachen und herkömmliche Hacker-Aktivitätserkennungen durchzuführen.
Sie müssen kein Experte sein, um den Prophaze WAF zu verwenden. Das Unternehmen richtet sein Produkt an kleine Unternehmen und ist daher für technisch nicht versierte Benutzer konzipiert. Der Zugriff auf die Bildschirme im Dashboard erfolgt über jeden Standardbrowser und sie sind klar und übersichtlich.
Vorteile:
- Blockiert Viren und infizierte Websites
- Eliminiert Hacker-Verkehr
- Systemhärtung
Nachteile:
- Keine Vor-Ort-Version
Features sind DDoS-Schutz Und virtuelles Patchen . Es stärkt das geschützte System, verhindert Datenverlust und trägt zur Einhaltung von DSGVO, HIPAA, CCPA, PCI-DSS und SOC2 bei.
8. MS Azure Web Application Firewall
Microsoft Azure ist ein bekanntes Hypervisor-System, das zu den erfolgreichsten verfügbaren Cloud-Plattformen zählt. Wie AWS bietet die Azure-Abteilung von Microsoft nicht nur das Plattformsystem für Cloud-Dienste an, sondern produziert auch eine Reihe von Software, die Dienstprogramme für andere Systeme bereitstellt. Die Web Application Firewall ist eines dieser Produkte.
Hauptmerkmale:
- Starke Marke
- Verkehrsfilterung
- Datenschutz
Wie bei jedem WAF ist dieser Service fungiert als Stellvertreter . Ihr gesamter eingehender Datenverkehr fließt zunächst über den Azure-Server, wird überprüft und verdächtiger Datenverkehr blockiert, während der gesamte andere Datenverkehr an Ihren Webserver weitergeleitet wird. Dieses Edge-Service-Modell macht die Azure WAF auch zu einer hervorragenden Einrichtung für DDoS-Schutz und Lastausgleich. Der gesamte ausgehende Datenverkehr von Ihrem Webserver wird auch über die WAF geleitet, die den Datenverkehr auf überprüft Datenverlustereignisse . Es handelt sich also um einen vollständigen bidirektionalen Web-Traffic-Sicherheitsdienst.
Das System verfolgt automatisch die zehn größten Schwachstellen, die vom System protokolliert wurden Öffnen Sie das Web Application Security-Projekt (OWASP). Darin sind Standardregeln eingebettet, aber Ihr Serveradministrator kann diese anpassen und auch benutzerdefinierte Regeln hinzufügen.
Azure unterscheidet sich von den anderen Edge-Diensten in dieser Liste dadurch, dass keine Abonnementgebühren anfallen. Stattdessen ist es so ein gemessener Ladesatz . Diese Tatsache und das Fehlen von Einrichtungsgebühren machen diesen Service zu einem hervorragenden Service für Start-ups und kleine Unternehmen sowie die größten Konzerne der Welt.
Vorteile:
- Bietet Schutz vor Datenverlust durch eine Reverse-Firewall
- Blockiert DDoS-Angriffe
- Scannen von Schwachstellen
Nachteile:
- Eine nachträgliche Abrechnung könnte zu hohen Rechnungen führen
Der Preistarif von Azure WAF wird auf einer Kombination von berechnet ein Stundensatz Und eine Datendurchsatzrate und monatlich im Nachhinein in Rechnung gestellt. Das sind deutlich geringere Vorabkosten als bei anderen Cloud-basierten Abonnement-WAFs, bei denen die Abonnementgebühr im Voraus bezahlt werden muss. Was noch besser ist, ist das Die ersten 10 TB Daten pro Monat sind kostenlos Für alle außer dem niedrigsten Datenverkehr und Unternehmen mit viel Datenverkehr erhalten Sie bis zu 40 TB Durchsatz pro Monat kostenlos. Die Azure Web Application Firewall kann im Rahmen einer Untersuchung untersucht werden 12-monatige kostenlose Azure-Testversion .
9. F5 Essential App Protect
F5 ist ein seit langem etablierter Anbieter von Cybersicherheitsdiensten und besitzt NGINX, Inc , der Hersteller des weit verbreiteten Nginx-Webserversystems. Das Fachwissen von F5 und NGINX trug zur gemeinsamen Produktion des bei F5 Essential App Protect Cloudbasierter Webanwendungsserver.
Hauptmerkmale:
- Mit NGINX verknüpft
- Einfach einzurichten
- Bereitstellungsoptionen
Die Technologie hinter F5 Essential App Protect stammt aus einer Adaption des F5 Anwendungssicherheitsmanager – eine bereits vorhandene WAF, die auf einer Netzwerk-Appliance bereitgestellt wurde. Die Appliance-Version der Firewall existiert noch und heißt jetzt BIG-IP Advanced WAF . Die NGINX-Version ist ein Add-on für Nginx Plus Webserversystem und wird daher als Software-Download geliefert.
F5 Essential App Protect wurde speziell für technisch nicht versierte Benutzer entwickelt einfach einzurichten und verwalten Sie sie über ein Dashboard, auf das Sie über jeden Browser zugreifen können.
Vorteile:
- Optionen für die Bereitstellung vor Ort auf einer Appliance
- Kann als Plug-In für den NGINX-Webserver bereitgestellt werden
- Bedrohungsinformationen
Nachteile:
- Der Service wird derzeit umgestaltet
Zu den Funktionen der Essential App Protect WAF gehören ein Threat-Intelligence-Feed von F5 Labs und umfassender Schutz für APIs, Seiten und Webdienste. F5-Angebote eine 15-tägige kostenlose Testversion von Essential App Protect, für das Verarbeitungsvolumenbeschränkungen gelten.
10. Cloudflare WAF
Wolkenflare ist beim Schutz von Webhosts vor DDoS-Angriffen sehr erfolgreich und erweitert seinen Schutz mit einer Webanwendungs-Firewall. Dabei handelt es sich um einen Onlinedienst, der sehr weit verbreitet ist. Ihre Server verwalten jede Sekunde 2,9 Millionen Anfragen im Namen ihres großen Kundenstamms.
Hauptmerkmale:
- Kostenlose Option
- Content-Delivery-Netzwerk
- Failover-Schutz
Der Vorteil des Abonnements einer weit verbreiteten Cloud-WAF wie Cloudflare besteht darin, dass das Unternehmen Skaleneffekte bei seiner Bedrohungsforschung nutzen kann. Ein Angriffsversuch auf einen Kunden führt sofort zu einem Blacklist-Eintrag für alle durch Cloudflare geschützten Webserver . Wenn Sie über einen cloudbasierten Server im Mittelpunkt Ihres Unternehmens oder als Content-Delivery-System verfügen, das in Ihre Webpräsentation integriert ist, kann Cloudflare auch dies abdecken. Die Integration des vollständigen Cloudflare-DDoS-Schutzes in Ihr WAF-Abonnement ist eine sehr einfache Aufgabe.
Vorteile:
- Ein sehr großer Kundenpool mit gemeinsamer Bedrohungsintelligenz
- DDoS-Schutz
- Lieferbeschleunigung
Nachteile:
- Verwirrende Liste der Optionen
11. Smart Kona Site Defender
Akamai ist weltweit führend in der DDoS-Abwehr und integriert vollständigen DDoS-Schutz in seine Webanwendungs-Firewall in einem Cloud-Dienst namens Site Defender. Ein großer Vorteil der Kombination dieser beiden Dienste in einem Sicherheitsprodukt besteht darin, dass Sie Es ist nicht erforderlich, dass Ihr Datenverkehr über zwei verschiedene Unternehmen geleitet wird um echte Anfragen auf Ihrem Webserver zu erhalten.
Hauptmerkmale:
- DDoS-Schutz
- Bedrohungsinformationen
- Kombinierte Leistungen
Als einer der führenden Anbieter von Online-Sicherheitsprodukten ist Akamai oft der Erste, der neue Exploits entdeckt. Als Kunde von Site Defender profitieren Sie sofort von diesen „vor der Zeit“-Informationen mit strengeren und intelligenteren Blockierungen des Hacker-Verkehrs.
Vorteile:
- Kombiniert Malware-Filterung mit DDoS-Schutz
- Angriffsanalyse
- Gehostetes System
Nachteile:
- Keine selbst gehostete Option
Vor welchen Angriffen schützen WAFs?
Eine Web Application Firewall (WAF) muss Ihren Webserver und seinen Inhalt vor den folgenden Angriffskategorien schützen:
- Cross-Site-Scripting (XSS) – bösartiger HTML-Code, der von einem Hacker in ein Eingabefeld einer Webseite eingefügt wurde
- Verstecktes Feld Manipulation – Hacker schreiben den Quellcode einer Webseite um, um in versteckten Feldern gespeicherte Werte zu ändern, und senden den geänderten Code dann zurück an den Server
- Keksvergiftung – Ändern der in Cookies gespeicherten Parameterwerte, um die zwischen Webseiten übertragenen Daten zu beschädigen
- Web-Scraping – automatisierte Datenextraktion aus Webseiten
- Layer-7-DoS-Angriffe – Überlastung eines Webservers durch rekursive Anwendungsaktivität
- Parametermanipulation – Ändern von Werten in den Parametern eines Webseitenaufrufs
- Pufferüberlauf – Benutzereingabe, die den Code im Speicher überschreibt
- Hintertür oder Debug-Optionen – Entwickler-Feedback-Berichte zum Testen von Webseiten, die von Hackern für den Zugriff auf den Prozessor genutzt werden können
- Stealth-Kommando – ein Angriff auf das Betriebssystem eines Webservers
- Erzwungenes Browsen – Der Hacker erhält Zugriff auf Backup- oder temporäre Ordner auf dem Webserver
- Fehlkonfigurationen von Drittanbietern – Manipulation von Inhaltseinfügungen anderer Unternehmen
- Website Schwachstellen / SQL-Injections – Abfragen, die in Benutzerauthentifizierungsfelder eingegeben werden
Obwohl eine WAF als Front-End für eine Website fungiert, werden eine Reihe wesentlicher Zugriffskontrollfunktionen, die Ihr Webhoster benötigt, von dieser Technologie nicht bereitgestellt. WAFs konzentrieren sich auf HTTP-Code und die Anforderungsverfahren für andere Internetanwendungen, wie z. B. FTP. In diesen Fällen sind die sicheren Versionen dieser Anwendungsprotokolle, HTTPS und SFTP werden ebenfalls abgedeckt .
So funktionieren WAFs
WAFs suchen nach Unregelmäßigkeiten in eingehenden Anfragen und blockieren fehlerhafte oder hinterhältige Konstrukte. Eine WAF ist nicht für den Lastausgleich zwischen einem Servercluster verantwortlich. Obwohl einige Arten von DDoS-Angriffen HTTP verwenden, verwenden die meisten Methoden auf niedrigerer Ebene. Eine WAF schützt Sie also vor HTTP- und FTP-DDoS-Angriffen auf Anwendungsebene/Schicht 7, nicht jedoch vor solchen, die mit anderen Strategien ausgeführt werden.
WAF-Konfigurationen
Eine WAF muss Teil Ihrer Webhosting-Schutzstrategie sein. Es kann als Hardwarelösung oder als Software implementiert werden.
Befürworter von Software-WAFs argumentieren, dass Sie bereits über ausreichend Hardware verfügen und lediglich die Fähigkeiten Ihrer vorhandenen Ausrüstung erweitern müssen, um eine Webanwendungs-Firewall zu erhalten. Der ideale Standort für die WAF ist jedoch vor Ihren Servern und die meisten Softwarelösungen werden direkt auf dem Webserver installiert.
WAF-Platzierung
Platzieren Sie Ihre WAF am besten auf dem Router, der als Gateway zwischen Ihrem Netzwerk (und damit Ihrem Server) und dem Internet fungiert. Diese Strategie impliziert, dass die beste Option ein Router mit integrierter WAF wäre. Dabei handelt es sich um ein eigenständiges Gerät, das schädlichen Datenverkehr oder Hackerangriffe auf Ihren wertvollen Server verhindern würde.
Überlegungen zur Software vs. Hardware-WAF
Was sollten Sie also wählen, um die Kosten zu kontrollieren? Software-WAFs sind günstiger als Hardwarelösungen. Denken Sie jedoch nicht, dass für die Installation der WAF-Software auf Ihren Servern keine Hardwarekosten anfallen. Wahrscheinlich haben Sie die Kapazität Ihrer Server-Hardware geplant, sodass das Hinzufügen einer zusätzlichen Funktion Speicherplatz beansprucht, Arbeitsspeicher belegt und CPU-Prozessoren beansprucht. Möglicherweise müssen Sie Ihre Serverkapazität erweitern, um eine WAF zu hosten, daher fallen Hardwarekosten an.
Auch Kenntnisse vor Ort sind eine Überlegung wert. Es ist wahrscheinlich, dass Ihre Systemadministrationsmitarbeiter alle mit dem Betriebssystem Ihres Servers vertraut sind, sich aber mit der Firmware eines neuen Geräts nicht auskennen. Benutzer von Hardware-WAF neigen dazu, sie als Black Boxes zu behandeln und greifen viel weniger in ihre Abläufe ein als bei Software-WAFs – was eine gute Sache sein könnte.
Sowohl Hardware- als auch Software-WAFS werden mit Patches und Update-Unterstützung geliefert. Allerdings erfordert die Aktualisierung der Softwareversionen in der Regel Ihr Einverständnis und Ihre Verwaltung für jede Installation, wohingegen Hardware-WAFs in der Regel direkt vom Anbieter aktualisiert werden, sodass Sie keine zeitaufwändigen Patch-Management-Probleme haben.
Im Allgemeinen führen sowohl Hardware-WAFs als auch Software-WAFs dieselben Aufgaben aus. Hardware-WAFs entlasten Ihre Server zusätzlich und können auch dann weiterarbeiten, wenn Sie einen Ihrer Server herunterfahren möchten. Eine Hardware-WAF ist zuverlässiger und kann ihrer Arbeit überlassen werden. Obwohl Hardware-WAFs wahrscheinlich bessere Optionen als Software-WAFs sind, bevorzugen Administratoren tendenziell die Zugänglichkeit und Anpassbarkeit von Software-WAFs.
Funktionen der Web Application Firewall
Sie sollten nicht nur alle Benutzeraktivitäten scannen, wenn eine Webseite online ist, sondern Sie müssen auch den Code Ihrer Webseiten überprüfen, einschließlich handelsüblicher Plug-ins, die von externen Unternehmen bereitgestellt werden. Codierungsfehler und Validierungsfehler werden als Zero-Day-Schwachstellen bezeichnet. Dabei handelt es sich um nicht standardmäßige Pfade, die einem Hacker Zugriff auf Ihren Webserver ermöglichen könnten. Wenn Hacker diese Sicherheitslücken entdecken, bevor Sie oder der Anbieter des eingefügten Codes das Problem erkennen, werden Sie einem Zero-Day-Angriff ausgesetzt, der möglicherweise nicht von Ihrer WAF abgedeckt wird.
Der Wert einer WAF liegt in den Regeln, die sie auf Benutzerantworten anwendet. Diese Regeleinstellungen führen Validierungsverfahren aus, die Ihren Webserver vor böswilligen Aktivitäten schützen, indem sie Aktivitäten festlegen, die erkannt werden sollen, und die zu ergreifenden Maßnahmen vorschreiben, wenn ein Exploit entdeckt wird. Es werden Regeln geschrieben, um bekannte Angriffsstrategien gezielt zu blockieren. Allerdings sind zusätzliche, flexiblere Regeln in den WAF-Routinen hilfreich, um Zero-Day-Bedrohungen zu identifizieren.
Siehe auch: Beste kostenlose Port-Scanner
Verwandt: Die besten Sicherheitstools zur Einbruchserkennung
WAF vs. NextGen-Firewalls vs. Intrusion Prevention Systems (IPS)
Hacker werden immer ausgefeilter, und zum Glück auch die Cyber-Abwehrsysteme. Möglicherweise sind Sie jedoch verwirrt über die verschiedenen Kategorien des Netzwerkschutzes, die derzeit verfügbar sind.
Die Unterscheidung zwischen einem Intrusion-Prevention-System (IPS) und jede Art von Firewall ist sehr leicht zu erkennen. Die Firewall verteidigt die Grenzen eines Systems, während das IPS den Verkehr innerhalb des Netzwerks überwacht. Ein IPS ist eine fortgeschrittene Form eines Intrusion Detection System (IDS) . Während ein IDS verdächtige Aktivitäten erkennt, verfügt ein IPS über Verfahren zum Herunterfahren.
Firewalls der nächsten Generation umfassen in der Regel viele der von IPS verwendeten Techniken. Das heißt, sie zeichnen alle Aktivitäten auf, anstatt nur jedes Paket zu untersuchen, während es das Gateway passiert. Allerdings sitzen NGFWs am Gateway zwischen dem Netzwerk und der Außenwelt, während IPSs sich auf den Verkehr innerhalb des Netzwerks konzentrieren. Eine WAF untersucht speziell den Webverkehr, der über die HTTPS- und SSL-Protokolle übertragen wird. Kurz gesagt, die NGFW überwacht den in das Netzwerk eingehenden Datenverkehr, während die WAF den Webserver schützt.
Hardwarebasierte vs. Cloud-basierte WAFs: Vor- und Nachteile
Die Wahl Ihres eigenen Geräts oder einer Cloud-Infrastrukturlösung hängt oft von Ihren eigenen Vorlieben für die jeweilige Konfiguration ab. Manchen Menschen ist es beispielsweise unangenehm, Teile ihres Netzwerks auszulagern, und die Sicherheitsfunktionen eines Webhosts sind besonders sensible Themen.
Cloud-basierte WAFs Nachteile
Die WAF steht vor allen Ihren anderen Geräten und muss daher das Ziel Ihrer URL sein. Das bedeutet, dass Sie keine direkte Kontrolle mehr über Ihren Datenverkehr haben, da alle DNS-Einträge Website-Besucher zuerst zur Cloud-Infrastruktur leiten.
Wenn Cloud-WAFs von Unternehmen angeboten werden, die weitere Front-End-Sicherheitsdienste umfassen, ist es sinnvoll, diese in einem Paket zu kombinieren. Zum Beispiel, Wenn der WAF-Anbieter Ihrer Wahl nicht über einen DDoS-Schutzdienst verfügt, müssen Sie Ihren Datenverkehr an einen zweiten Cloud-Dienst weiterleiten, um vollständig vor allen Bedrohungen geschützt zu sein . Wenn Sie einen WAF-Cloud-Dienst in Anspruch nehmen, können Sie sich für Ihren gesamten Online-Schutz an ein einziges Online-Sicherheitsunternehmen binden und Ihre Möglichkeiten einschränken.
WAFs untersuchen den Inhalt von Paketen, daher müssen sie zunächst den gesamten Verschlüsselungsschutz entfernen, bevor sie ihre Hauptaufgabe erfüllen können. Das bedeutet, dass Sie Ihr SSL-Zertifikat an den Cloud-WAF-Anbieter übergeben müssen und damit praktisch alle Datensicherheitsfunktionen aufgeben, die Ihren Webhost, Ihre Inhalte und die Sicherheit Ihrer Kunden schützen.
Sie müssen großes Vertrauen in Ihren Cloud-WAF-Anbieter haben, um darauf vorbereitet zu sein, dass dieser Drittanbieter zwischen Ihnen und Ihren Kunden steht.
Vorteile cloudbasierter WAFs
Andererseits bedeutet der Ruf und das Fachwissen der führenden Cloud-WAF-Anbieter, dass Sie keine Angst haben müssen, im Stich gelassen zu werden. Die Unternehmen auf unserer Liste sind auf Netzwerk- und Sicherheitsdienste spezialisiert. Ihr gesammeltes Fachwissen ist viel größer, als Sie es für Ihr eigenes Unternehmen intern bekommen könnten. Es besteht wahrscheinlich ein größeres Risiko für die Verfügbarkeit und Sicherheit Ihrer Website, wenn Sie versuchen, alle komplizierten Aufgaben, die diese Probleme mit sich bringen, abzudecken.
Cloudbasierte Lösungen können monatlich bezahlt werden , wodurch die Kosten für die Sicherheit Ihrer Webanwendung verteilt werden. In einigen Fällen wird Ihnen nur Ihr Webdurchsatz in Rechnung gestellt, sodass Sie die Zahlung für Ihren Schutz bis zum Monatsende verschieben können, wenn der Servicelevel berechnet und in Rechnung gestellt wurde.
Wenn Sie bereits Teile Ihres Betriebs auslagern, haben Sie sich bereits mit der cloudbasierten Arbeitsweise arrangiert und es wäre daher nicht allzu schwierig, auch Ihre WAF auszulagern. Möglicherweise müssen Sie von bestehenden Anbietern wechseln, wenn die Kombination anderer Dienste wie DDoS-Schutz und Lastausgleich mit Ihrer neuen WAF logistisch und wirtschaftlich sinnvoller ist.
Nachteile von Hardware-basierten WAFs
Wenn Sie die Kosten einer Hardware-WAF berücksichtigen, müssen Sie die Kosten für Installation, Unterbringung, Schutz und Wartung hinzurechnen. Online-WAFs werden automatisch aktualisiert, sodass sie immer auf dem neuesten Stand sind und bereit sind, die neuste Bedrohung zu bekämpfen. Es kann teuer sein, dieses Maß an Vorbereitung auf Ihrem eigenen WAF-Gerät zu erreichen.
Die meisten Hardware-WAF-Anbieter bieten einen Update-Service an. Die Korrekturen für neue Bedrohungen werden automatisch über das Internet an Ihr WAF-Gerät gesendet und es erneuert seine Firmware ohne Ihr Eingreifen . Im Falle neuer Bedrohungen müssen möglicherweise andere Geräte und Software in Ihrem Netzwerk aktualisiert werden, und der Support Ihres WAF-Anbieters stellt Ihnen diese ebenfalls zur Verfügung.
Dieser Vorgang wird „virtuelles Patchen“ genannt und ist die WAF-Version klassischer Firewall-Datenbank-Updates. Obwohl alle Hardware-Anbieter in unserer Liste virtuelles Patching anbieten, bieten nicht alle diesen Service kostenlos an. Sofern der Update-Service inklusive ist, ist dieser in der Regel nur im ersten Jahr kostenlos. Danach müssen Sie für die Unterstützung Ihrer internen WAF extra bezahlen.
Die Vorabkosten für den Kauf einer Hardware-WAF können eine unbequeme Ausgabe sein, wenn Sie Schwierigkeiten haben, Ihr neues Webunternehmen betriebsbereit zu machen. Wenn Sie zunächst auf diese Anwendungssicherheitslösung verzichten, werden Sie möglicherweise in dem Glauben eingelullt, dass es sich um ein unnötiges Extra handelt, selbst wenn Sie an dem Punkt angelangt sind, an dem Sie Geld übrig haben . Dies ist ein gefährliches Szenario, da Sie erst dann erkennen, dass Sie einen WAF-Schutz benötigen, wenn Sie von einem Angriff getroffen werden. Bis dahin wird Ihre Website von Suchmaschinen blockiert, weil sie bösartigen Code enthält, und Sie werden aus dem Geschäft ausgeschlossen.
Vorteile hardwarebasierter WAFs
Wenn Sie Ihren eigenen Webserver betreiben, wissen Sie wahrscheinlich bereits viel über Netzwerk- und Internetsysteme. Möglicherweise benötigen Sie einen Load Balancer, wenn Sie zusätzliche Server einrichten, um der Nachfrage gerecht zu werden. Wenn das der Fall ist, könnten Sie eine Kombination aus Web-Cache, Load Balancer und WAF kaufen und alle Ihre Front-End-Anforderungen von einem Gerät erledigen lassen.
Wenn Sie über eine eigene WAF verfügen, müssen Sie Ihre Webadresse nicht an Dritte weitergeben. Wenn Sie irgendwann einen umfassenden DDoS-Schutz benötigen, muss Ihre URL an den DDoS-Abwehranbieter gehen. In diesem Fall müssen Sie Ihre Wahl des DDoS-Schutzes jedoch nicht auf den von Ihrem Cloud-WAF-Unternehmen bereitgestellten beschränken. Sie sind nicht verpflichtet, Ihre URL zur Bereitstellung Ihrer WAF weiterzuleiten.
Auswahl einer Webanwendungs-Firewall-Lösung
Unabhängig davon, ob Sie lieber eine eigene WAF in Ihrem Netzwerk haben möchten oder der Meinung sind, dass es besser wäre, sich für eine cloudbasierte WAF-Lösung zu entscheiden, hat Ihnen dieser Test fünf Optionen aufgezeigt, die Sie in Betracht ziehen sollten. Die Auswahl neuer Geräte, Software und Dienstleistungen für Ihr Unternehmen kann sehr zeitaufwändig sein. In diesem Leitfaden haben wir uns um diese erste Phase für Sie gekümmert.
Ihre nächste Aufgabe besteht darin, Ihre Optionen einzugrenzen. Die zusätzlichen Extras, die jeder dieser WAF-Anbieter anbietet, werden Sie zu dieser Wahl führen. Die Kapazität jedes Dienstes ist ebenfalls ein wichtiger Gesichtspunkt und Sie sollten die Skalierbarkeit berücksichtigen, damit Ihre zukünftigen Expansionspläne berücksichtigt werden.
Treffen Sie die Entscheidung, ob Sie sich für eine dedizierte Hardware- oder eine cloudbasierte WAF entscheiden möchten, und sehen Sie sich dann jede der fünf in dieser Kategorie aufgeführten Lösungen an. Es wäre ein Fehler, den Schutz zu übersehen, den eine dedizierte Webanwendungs-Firewall Ihrem Unternehmen bietet. Warten Sie nicht, bis es zu spät ist und Ihre Website bereits angegriffen wurde. Richten Sie jetzt eine WAF ein, um Ihre Website online zu halten.
Häufig gestellte Fragen zur Webanwendungs-Firewall
Was ist der Unterschied zwischen einer normalen Firewall und einer WAF?
Netzwerk- und Endpunkt-Firewalls arbeiten auf einer niedrigeren Stack-Ebene als Webanwendungs-Firewalls. Wie der Name schon sagt, untersuchen WAFs Attribute auf der Anwendungsschicht (Schicht 7), während typische Firewalls auf der Netzwerkschicht (Schicht 3) arbeiten. Daher werden jeweils unterschiedliche Merkmale des eingehenden Datenverkehrs betrachtet. Ein weiterer wesentlicher Unterschied zwischen diesen beiden Diensten besteht darin, dass sich eine typische Firewall in die Architektur eines Netzwerk-Gateways (oder einer Computer-Netzwerkschnittstelle) integriert, WAFs jedoch über eine Reverse-Proxy-Konfiguration verfügen.
Was sind WAF-Regeln?
WAF-Regeln sind eine Liste von Dingen, auf die die Firewall achten muss. Dabei handelt es sich um spezifische Merkmale im Webverkehr und die spezifischen Stellen, an denen im Datenstrom nach ihnen gesucht werden muss. Regeln werden auch „Richtlinien“ genannt. Dazu gehören die Maßnahmen, die bei Erkennung eines Angriffsversuchs ergriffen werden sollen. Dabei geht es in der Regel lediglich darum, den Datenverkehr nicht an den zu schützenden Server weiterzuleiten.
Welche 3 Arten von Firewalls gibt es?
Die drei Arten von Firewalls sindPaketfilter,Stateful Packet Inspection, UndProxy-Server-Firewalls.
- Paketfilter prüfen die technischen Merkmale aller Pakete, die in ein Netzwerk ein- und ausgehen, und verwerfen diejenigen, die nicht einem bestimmten Muster entsprechen oder einer Liste von Merkmalen auf der schwarzen Liste entsprechen.
- Stateful Packet Inspection (SPI), auch dynamische Paketfilterung genannt, arbeitet ebenfalls auf der Netzwerkebene, zeichnet jedoch einzelne Paketeigenschaften auf, um Angriffe zu erkennen, die auf mehrere Pakete verteilt sind.
- Eine WAF ist eine Proxy-Server-Firewall, da der gesamte Datenverkehr auf dem Weg zum Server über die WAF geleitet wird. Es arbeitet auf der Anwendungsschicht und ersetzt die IP-Adresse des geschützten Servers durch seine eigene.