Guide d’achat des WAF – 11 meilleurs pare-feu d’applications Web pour 2022
Si vous possédez une entreprise en ligne, vous devez protéger votre page Web contre la destruction par les pirates. Si votre site est infecté par des codes de pirate informatique, les moteurs de recherche n’y accéderont pas. Protégez votre entreprise avec un pare-feu d'applications Web.
UN Firewall d'applications Web ( WAF ) la solution offre une protection aux serveurs web. Votre WAF surveillera le trafic entre Internet et votre application Web, puis filtrera ou bloquera le trafic en fonction d'un ensemble de règles/politiques.
Les pare-feu d'applications Web protègent contre les attaques telles que l'injection SQL, le cross-site-scripting (XSS) et l'empoisonnement des cookies et constituent un élément essentiel de votre stratégie défensive.
Voici notre liste des meilleurs pare-feu d’applications Web :
- Pare-feu d'application Web géré par AppTrana CHOIX DE L'ÉDITEUR Un pare-feu d'applications Web entièrement géré fourni par Indusface avec un scanner d'applications intégré, un CDN et des règles de sécurité personnalisées gérées avec une assurance faux positif Zero WAF soutenue par un SLA et une prise en charge 24h/24 et 7j/7.
- Pare-feu d'application Web StackPath (ESSAI GRATUIT) Un pare-feu basé sur le cloud qui fait partie d'une solution « Edge ».
- Jus de pare-feu de site Web (EN SAVOIR PLUS) Fait partie d'une suite de services de sécurité des applications hors site qui inclut également une protection DDoS.
- Fortinet FortiWeb Un ensemble de services Edge qui offre un pare-feu d'application Web, un déchargeur SSL et un équilibreur de charge dans un service cloud, une appliance ou une VM.
- Imperva Cloud WAF Un pare-feu d'application Web basé sur le cloud avec une appliance équivalente sur site appelée Imperva WAF Gateway.
- Pare-feu d'applications Web Barracuda Disponible sous forme de système SaaS, de cloud privé, d'appliance ou de VM, ce WAF inclut également l'analyse des vulnérabilités et la prévention des pertes de données.
- Pare-feu d'applications Web Prophaze WAF personnalisable tout-en-un multi/hybride/privé/SaaS/Kubernetes avec protection contre les robots, RASP, DDoS, solution CDN. Intégration rapide, certificats SSL illimités et assistance 24h/24 et 7j/7.
- Pare-feu d'applications Web MS Azure Un WAF basé sur le cloud qui peut protéger les serveurs Web n'importe où. Il s'agit d'un service payant.
- Protection des applications essentielles F5 Un WAF basé sur le cloud destiné aux clients non techniques, il est donc facile à configurer et à gérer.
- WAF Cloudflare Solution basée sur le cloud pouvant être combinée avec une protection DDoS.
- Défenseur de site Akamai Kona Combine une protection WAF et DDoS hors site.
Les meilleurs pare-feu d'applications Web
De nombreux fournisseurs de pare-feu d'applications Web tentent de conquérir la plus grande part possible du marché en proposant leurs systèmes WAF dans autant de formats que possible. configurations que possible. Ainsi, dans de nombreux cas, le même WAF peut être fourni sous forme de progiciel s’exécutant sur une machine virtuelle, en tant qu’appliance réseau ou en tant que système SaaS basé sur le cloud. Il est également possible d'obtenir un WAF basé sur le cloud en tant que service entièrement géré.
Notre méthodologie de sélection d'un pare-feu d'application Web
Nous avons examiné le marché des WAF et analysé les options en fonction des critères suivants :
- Un système basé sur le cloud
- Protection DDoS intégrée
- Masquage de la véritable adresse IP d’une entreprise
- Canal sécurisé pour la redirection du trafic
- Traitement des données rapide qui ne ralentit pas le trafic régulier
- Un essai gratuit ou une option démo qui permet une évaluation sans paiement
- Rapport qualité/prix d'un système de protection polyvalent à un prix raisonnable
À l’aide de cet ensemble de critères, nous avons recherché des plates-formes de pointe fournissant, entre autres services, des fonctions de pare-feu d’applications Web et proposant des tarifs d’abonnement sans frais d’installation.
1. Pare-feu d'applications Web gérées AppTrana (ESSAI GRATUIT)
AppTrana d'Indusface fournit un pare-feu d'application Web entièrement géré, associé à une accélération de contenu et à un CDN sur le cloud. Tout ce que vous aurez à faire est d'acheminer votre trafic via le service AppTrana hébergé dans plusieurs régions dans les centres de données AWS par Indusface.
Principales caractéristiques:
- Service géré
- Réseau de diffusion de contenu
- Accélération de la livraison
- Protection contre le basculement
- Évaluations de sécurité
AppTrana est livré avec des ensembles de règles gérés de base optimisés qui peuvent être mis instantanément en mode bloqué sur la base de l'ensemble de règles de base optimisé qu'Indusface a développé en effectuant des évaluations de sécurité de milliers d'autres sites Web. Une fois intégrés, les clients peuvent effectuer une évaluation automatisée de la sécurité du site Web à la demande et savoir instantanément s'ils sont déjà protégés par WAF ou s'ils ont besoin de règles de sécurité personnalisées.
Ceux qui nécessitent des règles personnalisées peuvent être demandés à partir du portail centralisé et l'équipe MSS 24h/24 et 7j/7 d'Indusface créera une règle personnalisée avec une assurance faux positif Zero WAF et les protégera. Les performances du site Web sont améliorées via un CDN groupé inclus dans le service.
Avantages:
- Pas de frais d'intégration
- Techniciens et analystes de sécurité inclus dans le package
- Système de livraison distribué
- Protection contre les attaques DDoS
- Hébergé sur AWS
Les inconvénients:
- Vous confiez le contrôle de votre présence Web à une entreprise externe
Le plan AppTrana est disponible sous forme de service d'abonnement avec un essai gratuit de 14 jours . Les inscriptions à l'essai gratuit sont automatiquement inscrites dans un plan de base gratuit pour toujours qui comprend une analyse de sécurité automatisée deux fois par mois pour votre site Web.
LE CHOIX DES ÉDITEURS
Pare-feu d'applications Web gérées AppTrana est notre premier choix dans cette synthèse. Il comprend les services d’une équipe d’experts qui excellent dans le domaine de la protection des réseaux. Le service comprend de nombreux autres services de sécurité en plus des fonctions habituelles de pare-feu d'application Web. L'équipe technique d'Indusface qui travaille sur ce service filtre les bavardages des rapports sur les dispositifs de sécurité, allégeant ainsi une grande charge des responsables techniques des entreprises clientes.
L'emplacement de ce service dans le cloud vous évite également d'avoir à acheter et à gérer du matériel spécialisé sur site pour protéger votre réseau. Indusface a été nommé parChoix des clients Gartner Peer Insightdans les sept sections duVoix du client WAAP 2022rapport.
Commencez l'essai gratuit de 14 jours :Industry.com/products/application-security/web-application-firewall/
TOI:Basé sur le cloud
2. Pare-feu d'application Web StackPath (ESSAI GRATUIT)
Le Firewall d'applications Web fait partie d'une suite de services basés sur le cloud proposés par Chemin de la pile spécialisée dans les « technologies de pointe ». Ce terme fait référence à la technique consistant à pousser les services connectés jusqu'à la périphérie de votre réseau, puis un peu au-delà. StackPath est un service Cloud par abonnement qui capture tout votre trafic avant qu'il n'atteigne votre serveur Web .
La configuration hors site de StackPath offre une protection supplémentaire à votre serveur Web comme n'importe quel autre le code malveillant n’a même pas la possibilité d’accéder à vos ressources .
Principales caractéristiques:
- Protection contre le virus
- Service proxy
- Protection contre les attaques DDoS
- Évaluation de l'adresse IP
Le trafic Web se dirigeant vers votre site Web est détourné pour arriver en premier sur le serveur StackPath. Les trois défenses fondamentales offertes par ce service sont : Évaluation de l'adresse IP , validation du navigateur , et le utilisation de règles de routage basées sur le contenu . Cette méthodologie se concentre sur la probabilité que les demandes entrantes proviennent de sources douteuses. Le filtrage des sources bloque également toute tentative d’attaque DDoS.
Seul le trafic validé est transmis à votre serveur Web. Tout ce traitement s’effectue si rapidement que les utilisateurs réguliers ne subissent aucune diminution de la vitesse de connexion.
Avantages:
- Offre une gamme d’évaluations pour les demandes entrantes
- Empreinte digitale et validation du navigateur
- Routage facultatif pour répondre aux demandes
- Évaluations rapides
Les inconvénients:
- Vous devez avoir des compétences techniques pour tirer le meilleur parti de ce service
StackPath offre le Firewall d'applications Web gratuitement pendant le premier mois de service.
StackPath Web Application Firewall premier mois gratuit
3. Pare-feu de site Web Juices (EN SAVOIR PLUS)
Le Pare-feu d'applications Web Sucuri fait partie d’une suite de mesures de protection des sites Web. Le système de protection basé sur le cloud Sucuri est un service en ligne. L’adresse de votre site Web est hébergée sur le serveur de Sucuri, et tout votre trafic Web y va également en premier.
Principales caractéristiques:
- Service proxy
- Protection contre les attaques DDoS
- Numérisation rapide
Le service Sucuri filtre le trafic malveillant grâce à une gamme de techniques. La société gère une base de données de signatures d'attaques, constamment mise à jour. votre site Web bénéficie des stratégies de protection apprises par Sucuri lorsqu'il défend d'autres sites .
Le package de services comprend l’optimisation des performances et la protection DDoS. Le serveur Sucuri bloque le trafic malveillant et transmet toutes les requêtes authentiques sur votre serveur Web. Ce processus se produit si rapidement que les visiteurs ne remarqueront aucun ralentissement dans la livraison de vos pages Web.
Les performances de livraison sont améliorées par la mise en cache, ce qui signifie même si votre site est en maintenance, les visiteurs pourront toujours accéder à vos pages Web .
Avantages:
- Intervention sur le trafic du site Web
- Accélération de la livraison
- Renseignements sur les menaces
Les inconvénients:
- Vous devez établir la connexion vous-même
Le pare-feu d'application Web Sucuri est disponible sous forme de service d'abonnement et le prix commence à partir de 9,99 $/mois pour leur forfait de base. Consultez les détails du plan sur leur site Web.
Pare-feu d'application Web Sucuri Afficher les détails du plan
4. Fortinet FortiWeb
Le FortiWeb WAF de Fortinet est proposé sous forme de système SaaS, de progiciel basé sur VM ou d'appliance. Le logiciel pour le WAF est également disponible pour l'hébergement dans un cloud privé et peut être implémenté sous forme de système basé sur des conteneurs.
Principales caractéristiques:
- Marque respectée
- Protection contre les attaques DDoS
- Renseignements sur les menaces
Le système FortiWeb fonctionne un service de protection DDoS lorsqu'il est accessible en tant que service cloud ou en tant qu'appliance. Le pare-feu d'application Web examine tout le trafic circulant vers le réseau et déploie un apprentissage automatique basé sur l'IA pour détecter les activités suspectes. FortiWeb utilise également un flux de renseignements sur les menaces pour se tenir au courant des dernières stratégies d'attaque des pirates informatiques et recherche des modèles de comportement qui s'écartent de la norme calculée et semblent conduire vers une attaque typique.
Le WAF peut être combiné avec un déchargeur SSL et un équilibreur de charge .
Avantages:
- Obtenez-le sous forme d'appliance virtuelle, de périphérique physique ou de package SaaS
- Autogéré
- Options pour intégrer d'autres systèmes de sécurité Fortinet
Les inconvénients:
- Fonctionne mieux avec une suite complète de systèmes Fortinet
Le service cloud est facturé par abonnement et son tableau de bord est accessible via n'importe quel navigateur standard depuis n'importe où. La version de l'appliance réseau est disponible en huit modèles dont la capacité varie de 25 Mbps à 20 Gbps.
5. Imperva CloudWAF
Imperva est un acteur majeur du secteur de la cybersécurité et ses services WAF sont complets. La version en ligne du pare-feu d'application Web d'Imperva fait office de un serveur proxy , capturant tout le trafic entrant et le nettoyant avant de le transmettre au serveur Web protégé.
Principales caractéristiques:
- Service proxy
- Continuité de la disponibilité du site
- Correctifs de sécurité
Le service Imperva Cloud WAF est associé à d'autres services d'amélioration Web, tels que un réseau de diffusion de contenu (CDN) , qui accélère la livraison des pages Web et offre également une disponibilité constante en cas de panne du serveur principal pour maintenance ou de dommages d'une manière ou d'une autre. Le WAF comprend un correctif virtuel service, qui applique tous les correctifs nécessaires sur le système protégé et assure la disponibilité du site pendant que le serveur Web est renvoyé.
Avantages:
- Service de renforcement du système pour les serveurs Web
- Protection contre les attaques de trafic malveillant
- Accélération de la livraison
Les inconvénients:
- La version sur site nécessite l'achat d'un appareil
Offres Imperva une option de service géré pour son Cloud WAF, qui comprend des spécialistes et des techniciens pour exécuter le logiciel de sécurité. Une version sur site du service de sécurité Imperva est disponible sur une gamme d'appliances réseau, appelée Imperva WAF Gateway.
6. Pare-feu d'applications Web Barracuda
Le Pare-feu d'applications Web Barracuda est disponible sous forme de système SaaS, d'appliance, d'appliance virtuelle ou pour une installation sur un compte cloud privé. Cette flexibilité de mise en œuvre signifie que le WAF pourrait convenir aux entreprises de toute taille.
Principales caractéristiques:
- Options de déploiement
- Bloque les logiciels malveillants et les pages infectées
- Protection du trafic
Le WAF canalise tout le trafic vers un serveur Web – à la fois entrant et sortant . Il est capable de détecter et de bloquer les attaques basées sur le trafic, les logiciels malveillants et les tentatives d'attaque sur la page. Le service utilise à la fois la liste noire pour bloquer les pirates informatiques et la liste blanche pour permettre l'accès à des utilisateurs valides uniquement à partir d'appareils spécifiques.
Le système de surveillance du trafic du Barracuda WAF fournit également prévention contre la perte de données . Cela permet aux entreprises de se conformer aux normes de protection des données, telles que PCI DSS. Le trafic entrant est bloqué si des demandes de connexion mal formées sont détectées, ce qui signifie une attaque DDoS . Dans ces circonstances, le serveur WAF absorbe et rejette les attaques en volume, permettant ainsi le passage de véritables demandes de connexion.
Avantages:
- Plateforme SaaS, appareil physique ou appareil virtuel
- Pare-feu inversé pour la protection des données également
- Protection contre les attaques DDoS
Les inconvénients:
- Les appareils électroménagers peuvent coûter cher
Les appareils réseau proposés par Barracuda varient en capacité de 25 Mbps à 10 Gbps.
7. Pare-feu d'applications Web Prophaze
Prophaze WAF en tant que service est un serveur proxy basé sur le cloud qui agit comme un pare-feu d'application Web. Le service Prophaze comprend AI routines qui affinent les règles de détection en ajustant la ligne de base du comportement standard. Cette fonctionnalité permet de réduire le nombre de fausses alarmes et de donner aux véritables visiteurs du site un accès illimité.
Principales caractéristiques:
- WAF tout-en-un personnalisable multi/hybride/privé/SaaS/basé sur Kubernetes
- Comprend la solution Bot Protection + RASP + DDOS + CDN avec règles illimitées
- Embarquement en seulement 15 minutes
- Certificat SSL gratuit et illimité
- Assistance 24h/24 et 7j/7 sur Teams/Zoom/Google avec conservation des données de 30 jours
- Le service Prophaze est facturé par abonnement avec trois forfaits disponibles. Le plan le plus élevé, appelé SaaS, possède des capacités multi-tenant, ce qui le rend adapté à une utilisation par les MSP. Vous pouvez obtenir un essai gratuit du WAF-as-a-Service de Prophaze.
Le système Prophase lui-même fonctionne avec Conteneurs Kubernetes et est également capable de surveiller les performances et la sécurité des activités Kubernetes de votre propre système, ainsi que d'effectuer une détection traditionnelle des activités de piraterie.
Vous n'avez pas besoin d'être un expert pour utiliser le Prophaze WAF. La société oriente son produit vers les petites entreprises, il est donc conçu pour les utilisateurs non techniques. Les écrans du tableau de bord sont accessibles via n'importe quel navigateur standard et ils sont clairs et bien présentés.
Avantages:
- Bloque les virus et les sites infectés
- Élimine le trafic des pirates informatiques
- Durcissement du système
Les inconvénients:
- Pas de version sur site
Les fonctionnalités incluent Protection contre les attaques DDoS et correctif virtuel . Il renforce le système protégé et empêche la perte de données, contribuant ainsi à la conformité au RGPD, HIPAA, CCPA, PCI-DSS et SOC2.
8. Pare-feu d'applications Web MS Azure
Microsoft Azure est un système d'hyperviseur bien connu qui est l'une des plates-formes cloud les plus performantes disponibles. Comme AWS, la division Azure de Microsoft ne propose pas seulement le système de plate-forme pour les services cloud, elle produit également une gamme de logiciels fournissant des utilitaires à d'autres systèmes. Le pare-feu d'application Web est l'un de ces produits.
Principales caractéristiques:
- Marque forte
- Filtrage du trafic
- Protection des données
Comme pour tout WAF, ce service agit comme mandataire . Tout votre trafic entrant transite d'abord par le serveur Azure, il est inspecté et le trafic suspect est bloqué, tandis que tout le reste du trafic est transmis à votre serveur Web. Ce modèle de service Edge fait également d’Azure WAF une excellente installation pour la protection DDoS et l’équilibrage de charge. Tout le trafic sortant de votre serveur Web est également acheminé via le WAF, qui examine le trafic pour événements de perte de données . Il s’agit donc d’un service complet de sécurité du trafic Web bidirectionnel.
Le système suit automatiquement les dix principales vulnérabilités enregistrées par le Projet de sécurité des applications Web ouvertes (OWASP). Il contient des règles standards intégrées, mais votre administrateur de serveur peut les ajuster et ajouter des règles personnalisées également.
Ce qui différencie Azure des autres services Edge de cette liste, c’est qu’il n’est pas facturé par abonnement. Au lieu de cela, il a un tarif facturé au compteur . Ce fait et l'absence de frais d'installation en font un excellent service pour les startups et les petites entreprises ainsi que pour les plus grandes entreprises du monde.
Avantages:
- Offre une prévention contre la perte de données via un pare-feu inversé
- Bloque les attaques DDoS
- Analyse des vulnérabilités
Les inconvénients:
- La facturation rétrospective pourrait donner lieu à des factures importantes
Le tarif d’Azure WAF est calculé sur une combinaison de un taux horaire et un débit de données et facturé mensuellement à terme échu. Il s’agit d’un coût initial bien inférieur à celui des autres WAF d’abonnement basés sur le cloud, qui s’attendent à ce que les frais d’abonnement soient payés à l’avance. Ce qui est encore mieux c'est que les 10 premiers To de données par mois sont gratuits pour tous, sauf les niveaux de trafic les plus faibles et les entreprises avec beaucoup de trafic, obtenez gratuitement jusqu'à 40 To de débit par mois. Le pare-feu d'applications Web Azure peut être examiné dans le cadre d'un Essai gratuit d'Azure de 12 mois .
9. Protection des applications essentielles F5
F5 est un fournisseur de services de cybersécurité établi de longue date et possède NGINX, Inc. , le producteur du système de serveur Web Nginx largement utilisé. L'expertise de F5 et NGINX a contribué à la production conjointe du Protection des applications essentielles F5 serveur d'applications Web basé sur le cloud.
Principales caractéristiques:
- Lié à NGINX
- Facile à mettre en place
- Options de déploiement
La technologie derrière F5 Essential App Protect est issue d'une adaptation du Gestionnaire de sécurité des applications F5 – un WAF préexistant qui a été fourni sur une appliance réseau. La version appliance du pare-feu existe toujours et elle s'appelle désormais la WAF avancé BIG-IP . La version NGINX est un module complémentaire pour le NginxPlus système de serveur Web et est donc fourni sous forme de téléchargement de logiciel.
F5 Essential App Protect a été conçu pour les utilisateurs non techniques, il est donc facile à mettre en place et gérez via un tableau de bord accessible via n'importe quel navigateur.
Avantages:
- Options de déploiement sur site sur une appliance
- Peut être fourni sous forme de plug-in pour le serveur Web NGINX
- Renseignements sur les menaces
Les inconvénients:
- Le service est en pleine rénovation
Les fonctionnalités d'Essential App Protect WAF incluent un flux de renseignements sur les menaces de F5 Labs et une protection complète des API, des pages et des services Web. Offres F5 un essai gratuit de 15 jours d'Essential App Protect qui est soumis à des limites de volume de traitement.
10. WAF Cloudflare
Flare nuageuse est devenu très efficace dans la protection des hébergeurs Web contre les attaques DDoS et ils étendent leur protection avec un pare-feu d'application Web. Il s’agit d’un service en ligne très largement utilisé. Leurs serveurs gèrent 2,9 millions de requêtes chaque seconde pour le compte de leur vaste clientèle.
Principales caractéristiques:
- Option gratuite
- Réseau de diffusion de contenu
- Protection contre le basculement
L’avantage de s’abonner à un WAF cloud largement utilisé comme Cloudflare est que l’entreprise peut appliquer des économies d’échelle à sa recherche sur les menaces. Une tentative d'attaque contre un client se répercute instantanément sur une entrée de liste noire pour tous les serveurs Web protégés par Cloudflare. . Si vous disposez d'un serveur basé sur le cloud au sein de votre entreprise ou en tant que système de diffusion de contenu inclus dans votre présentation Web, Cloudflare peut également couvrir cela. Intégrer la protection complète Cloudflare DDoS à votre abonnement WAF est une tâche très simple.
Avantages:
- Un très grand pool de clients avec des informations partagées sur les menaces
- Protection contre les attaques DDoS
- Accélération de la livraison
Les inconvénients:
- Liste d'options confuse
11. Défenseur de site intelligent Kona
Akamai est un leader mondial en matière d'atténuation des attaques DDoS et intègre une protection DDoS complète avec son pare-feu d'applications Web dans un service cloud appelé Site Defender. L'un des grands avantages de la combinaison de ces deux services dans un seul produit de sécurité est que vous vous n’aurez pas besoin d’acheminer votre trafic via deux sociétés différentes afin que les requêtes authentiques arrivent sur votre serveur Web.
Principales caractéristiques:
- Protection contre les attaques DDoS
- Renseignements sur les menaces
- Prestations combinées
En tant que l'un des leaders des produits de sécurité en ligne, Akamai est souvent le premier à découvrir de nouveaux exploits. En tant que client de Site Defender, vous bénéficiez immédiatement de ces informations « en avance sur la courbe » avec des blocages plus stricts et plus intelligents sur le trafic des pirates.
Avantages:
- Combine le filtrage des logiciels malveillants avec la protection DDoS
- Analyse des attaques
- Système hébergé
Les inconvénients:
- Aucune option auto-hébergée
Contre quelles attaques les WAF protègent-ils ?
Un pare-feu d'application Web, ou WAF, doit protéger votre serveur Web et son contenu contre les catégories d'attaques suivantes :
- Scripts intersites (XSS) – code HTML malveillant inséré dans le champ de saisie d’une page Web par un pirate informatique
- Champ caché manipulation – les pirates réécrivent le code source d'une page Web pour modifier les valeurs contenues dans les champs cachés, puis renvoient le code modifié sur le serveur
- Empoisonnement aux cookies – modification des valeurs des paramètres conservées dans les cookies pour corrompre les données transmises entre les pages Web
- Scrapage Web – extraction automatisée de données à partir de pages Web
- Attaques DoS de couche 7 – submerger un serveur Web par une activité applicative récursive
- Falsification des paramètres – modifier les valeurs des paramètres lors d’un appel de page Web
- Débordement de tampon – entrée utilisateur qui écrase le code en mémoire
- Porte arrière ou options de débogage – rapports de commentaires des développeurs pour les tests de pages Web pouvant être utilisés par les pirates pour accéder au processeur
- Commandement furtif – une attaque contre le système d’exploitation d’un serveur web
- Navigation forcée – le pirate informatique accède aux dossiers de sauvegarde ou temporaires sur le serveur Web
- Mauvaises configurations tierces – manipulation d’inserts de contenu fournis par d’autres sociétés
- Site vulnérabilités / injections SQL – requêtes saisies dans les champs d’authentification des utilisateurs
Bien qu'un WAF fonctionne comme une interface frontale pour un site Web, un certain nombre de fonctions essentielles de contrôle d'accès dont votre hébergeur a besoin ne sont pas fournies par cette technologie. Les WAF se concentrent sur le code HTTP et les procédures de demande pour d'autres applications Internet, telles que FTP. Dans ces cas, les versions sécurisées de ces protocoles applicatifs, HTTPS et SFTP, sont également couverts .
Voici comment fonctionnent les WAF
Les WAF recherchent les irrégularités contenues dans les requêtes entrantes et bloquent les constructions mal formées ou sournoises. Un WAF n'est pas responsable de l'équilibrage de charge entre un cluster de serveurs. Bien que certains types d’attaques DDoS utilisent HTTP, la plupart utilisent des méthodes de niveau inférieur. Ainsi, un WAF vous protégera contre les attaques DDoS HTTP et FTP au niveau de l’application/couche 7, mais pas contre celles menées par d’autres stratégies.
Configuration WAF
Un WAF doit faire partie de votre stratégie de protection d’hébergement Web. Il peut être implémenté sous forme de solution matérielle ou sous forme de logiciel.
Les partisans des WAF logiciels affirment que si vous disposez déjà d'un matériel suffisant, il vous suffit d'étendre les capacités de votre équipement existant pour obtenir un pare-feu d'application Web. Cependant, l'emplacement idéal pour le WAF se situe devant vos serveurs, et la plupart des solutions logicielles sont installées directement sur le serveur Web.
Emplacement WAF
Le meilleur endroit pour installer votre WAF est sur le routeur qui fait office de passerelle entre votre réseau (et donc votre serveur) et Internet. Cette stratégie implique que la meilleure option serait un routeur doté d'un WAF intégré. Il s’agirait d’un équipement autonome qui empêcherait le trafic dommageable ou l’exploration des pirates informatiques d’atteindre votre précieux serveur.
Considérations logicielles et matérielles sur le WAF
Alors, lequel choisir pour contrôler les coûts ? Les WAF logiciels sont moins chers que les solutions matérielles. Cependant, ne pensez pas qu’il n’y a aucun coût matériel lié à l’installation du logiciel WAF sur vos serveurs. Vous avez probablement planifié la capacité matérielle de votre serveur et donc l'ajout d'une fonction supplémentaire occupera de l'espace disque, utilisera de la mémoire et sollicitera les processeurs du processeur. Vous devrez peut-être étendre la capacité de votre serveur pour héberger un WAF, ce qui entraînera des coûts matériels.
Les compétences sur site sont également à prendre en compte. Il est probable que votre personnel d’administration système soit familier avec le système d’exploitation de votre serveur, mais serait maladroit avec le micrologiciel d’un nouveau périphérique. Les utilisateurs de WAF matériels ont tendance à les traiter comme des boîtes noires et interviennent beaucoup moins dans leurs opérations qu’avec les WAF logiciels – ce qui pourrait être une bonne chose.
Les WAFS matériels et logiciels sont livrés avec des correctifs et une prise en charge des mises à jour. Cependant, la mise à jour des versions logicielles nécessite généralement votre consentement et votre gestion pour chaque installation, alors que les WAF matériels ont tendance à être mis à jour directement par le fournisseur, vous évitant ainsi de longs problèmes de gestion des correctifs.
De manière générale, les WAF matériels et logiciels effectuent les mêmes tâches. Les WAF matériels évitent une charge supplémentaire sur vos serveurs et peuvent continuer à fonctionner même lorsque vous souhaitez arrêter l'un de vos serveurs. Un WAF matériel est plus fiable et peut être laissé seul pour faire son travail. Bien que les WAF matériels soient probablement de meilleures options que les WAF logiciels, les administrateurs ont tendance à préférer l’accessibilité et la personnalisation des WAF logiciels.
Fonctions de pare-feu d'applications Web
Non seulement vous devez analyser toutes les activités des utilisateurs lorsqu'une page Web est en ligne, mais vous devez également vérifier le code de vos pages Web, y compris les plug-ins disponibles dans le commerce fournis par des sociétés externes. Les erreurs de codage et les sursites de validation sont connus sous le nom de vulnérabilités zero-day. Ce sont des chemins non standards qui pourraient permettre à un pirate informatique d’accéder à votre serveur Web. Si les pirates découvrent ces failles de sécurité avant que vous ou le fournisseur du code inséré ne constatez le problème, vous serez soumis à une attaque zero-day qui pourrait ne pas être couverte par votre WAF.
La valeur d'un WAF réside dans les règles qu'il applique aux réponses des utilisateurs. Ces paramètres de règles exécutent des procédures de validation qui protègent votre serveur Web contre les activités malveillantes en définissant les activités à détecter et en dictant les actions à entreprendre lorsqu'un exploit est découvert. Des règles seront écrites pour bloquer spécifiquement les stratégies d'attaque bien connues. Cependant, des règles supplémentaires et plus flexibles dans les routines du WAF sont utiles pour identifier les menaces du jour zéro.
Voir également: Meilleurs scanners de ports gratuits
En rapport: Meilleurs outils de sécurité de détection d'intrusion
WAF, pare-feu NextGen et systèmes de prévention des intrusions (IPS)
Les pirates informatiques sont de plus en plus sophistiqués et, heureusement, les systèmes de cyberdéfense aussi. Cependant, vous pourriez être confus quant aux différentes catégories de protection réseau désormais disponibles.
La distinction entre un système de prévention des intrusions (IPS) et tout type de pare-feu est très facile à repérer. Le pare-feu défend les limites d'un système, tandis que l'IPS surveille le trafic au sein du réseau. Un IPS est une forme avancée d'un Système de détection d'intrusion (IDS) . Alors qu'un IDS détecte une activité suspecte, un IPS comprend des procédures pour l'arrêter.
Pare-feu de nouvelle génération incluent généralement de nombreuses techniques utilisées par les IPS. Autrement dit, ils enregistrent toutes les activités plutôt que de simplement examiner chaque paquet lorsqu'il passe par la passerelle. Cependant, les NGFW se situent à la passerelle entre le réseau et le monde extérieur, tandis que les IPS se concentrent sur le trafic au sein du réseau. Un WAF examine spécifiquement le trafic Web, acheminé via les protocoles HTTPS et SSL. En bref, le NGFW surveille le trafic entrant sur le réseau, tandis que le WAF protège le serveur Web.
WAF basés sur le matériel ou basés sur le cloud : avantages et inconvénients
Le choix de votre propre équipement ou d’une solution d’infrastructure cloud peut souvent dépendre de vos propres préférences pour chaque configuration. Par exemple, certaines personnes ne sont pas à l’aise avec l’externalisation d’éléments de leur réseau et les fonctions de sécurité d’un hébergeur sont des sujets particulièrement sensibles.
Inconvénients des WAF basés sur le cloud
Le WAF se trouve devant tous vos autres appareils et doit donc être la cible de votre URL. Cela signifie que vous n'avez plus de contrôle direct sur votre trafic, car tous les enregistrements DNS dirigeront d'abord les visiteurs du site Web vers l'infrastructure cloud.
Lorsque les WAF cloud sont proposés par des entreprises qui incluent d’autres services de sécurité front-end, il est logique de les combiner en un seul package. Par exemple, si le fournisseur WAF que vous avez choisi ne dispose pas d'un service de protection DDoS, vous devrez transférer votre trafic vers un deuxième service cloud afin d'être entièrement couvert contre toutes les menaces. . La souscription à un service cloud WAF peut vous enfermer dans une seule société de sécurité en ligne pour l'ensemble de votre protection en ligne et limiter vos options.
Les WAF examinent le contenu des paquets et doivent donc d'abord supprimer toute protection par chiffrement avant de pouvoir effectuer leur tâche principale. Cela signifie que vous devez remettre votre certificat SSL au fournisseur cloud WAF, cédant ainsi toutes les fonctions de sécurité des données qui protègent votre hébergeur Web, votre contenu et la sécurité de vos clients.
Vous devez avoir une grande confiance en votre fournisseur cloud WAF afin d'être prêt à laisser ce tiers se placer entre vous et vos clients.
Avantages des WAF basés sur le cloud
D’un autre côté, la réputation et l’expertise des principaux fournisseurs de WAF cloud signifient que vous n’avez pas à craindre d’être déçu. Les entreprises de notre liste sont spécialisées dans les services de réseautage et de sécurité. Leur expertise accumulée est bien supérieure à celle que vous pourriez obtenir pour votre propre entreprise en interne. Il y a probablement plus de risques pour la disponibilité et la sécurité de votre site Web si vous essayez de couvrir toutes les tâches complexes qu’impliquent ces problèmes.
Les solutions basées sur le cloud peuvent être payées sur une base mensuelle , répartissant ainsi le coût de la sécurité de vos applications Web. Dans certains cas, vous n'êtes facturé que pour votre débit web, vous pouvez donc différer le paiement de votre protection jusqu'à la fin du mois où le niveau de service a été calculé et facturé.
Si vous externalisez déjà une partie de vos opérations, vous avez déjà accepté la méthode de fonctionnement basée sur le cloud et il ne serait donc pas trop difficile d'externaliser également votre WAF. Vous devrez peut-être abandonner vos fournisseurs existants si la combinaison d'autres services, tels que la protection DDoS et l'équilibrage de charge, avec votre nouveau WAF est plus logique sur le plan logistique et économique.
Inconvénients des WAF basés sur le matériel
Lorsque l’on considère le coût d’un WAF matériel, vous devez ajouter les dépenses liées à son installation, son logement, sa protection et sa maintenance. Les WAF en ligne sont mis à jour automatiquement, de sorte qu'ils sont toujours à jour et prêts à faire face aux dernières menaces émergentes. Obtenir ce niveau de préparation sur votre propre appareil WAF peut s’avérer coûteux.
La plupart des fournisseurs de matériel WAF proposent un service de mise à jour. Les correctifs des nouvelles menaces sont automatiquement envoyés à votre appareil WAF via Internet et il renouvellera son firmware sans votre intervention . Dans le cas de nouvelles menaces, d'autres équipements et logiciels de votre réseau peuvent nécessiter une mise à jour, et le service d'assistance de votre fournisseur WAF vous les fournira également.
Ce processus est appelé « correctif virtuel » et constitue la version WAF des mises à jour de bases de données de pare-feu classiques. Cependant, bien que tous les fournisseurs de matériel de notre liste proposent des correctifs virtuels, ils n’incluent pas tous ce service gratuitement. Lorsque le service de mise à jour est inclus, il n'est généralement gratuit que la première année. Après cela, vous devez payer un supplément pour la prise en charge de votre WAF interne.
Le coût initial d’achat d’un WAF matériel peut s’avérer une dépense peu pratique lorsque vous avez du mal à rendre votre nouvelle entreprise Web opérationnelle. Si vous renoncez initialement à cette solution de sécurité des applications, vous risquez de vous laisser bercer par la conviction qu'il s'agit d'un supplément inutile, même lorsque vous arrivez au point où vous avez de l'argent à dépenser. . Il s’agit d’un scénario dangereux, car vous ne réaliserez que vous avez besoin d’une protection WAF une fois que vous aurez été touché par une attaque. D’ici là, votre site Web sera bloqué par les moteurs de recherche car il contient du code malveillant et vous serez mis en faillite.
Avantages des WAF basés sur le matériel
Si vous utilisez votre propre serveur Web, vous en savez probablement déjà beaucoup sur les réseaux et les systèmes Internet. Vous aurez peut-être besoin d'un équilibreur de charge une fois que vous aurez installé des serveurs supplémentaires pour répondre à la demande. Si tel est le cas, vous pouvez acheter un cache Web, un équilibreur de charge et un WAF combinés et répondre à toutes vos exigences frontales par un seul appareil.
Avoir votre propre WAF signifie que vous n’avez pas besoin de céder votre adresse Web à un tiers. Si, à un moment donné, vous avez besoin d’une protection DDoS étendue, votre URL devra alors être adressée au fournisseur d’atténuation DDoS. Cependant, dans ce cas, vous n’aurez pas besoin de limiter votre choix de protection DDoS à celle fournie par votre société cloud WAF. Vous ne vous engagerez pas à diriger votre URL pour fournir votre WAF.
Choisir une solution de pare-feu pour applications Web
Que vous préfériez avoir votre propre WAF sur votre réseau ou que vous pensiez qu'il serait préférable d'opter pour une solution WAF basée sur le cloud, cette revue vous a proposé cinq options à considérer. La sélection de nouveaux équipements, logiciels et services pour votre entreprise peut prendre beaucoup de temps. Dans ce guide, nous nous sommes occupés de cette première phase pour vous.
Votre prochaine tâche consiste à affiner vos options. Les extras supplémentaires proposés par chacun de ces fournisseurs WAF vous orienteront vers ce choix. La capacité de chaque service est également une considération importante et vous devez prendre en compte l'évolutivité afin que vos futurs projets d'expansion soient pris en compte.
Prenez la décision d’opter pour un WAF matériel dédié ou basé sur le cloud, puis consultez chacun des cinq répertoriés dans cette catégorie. Négliger la protection qu’offre un pare-feu d’application Web dédié à votre organisation serait une erreur. N'attendez pas qu'il soit trop tard et que votre site ait déjà été attaqué. Mettez en place un WAF dès maintenant pour maintenir votre site Web en ligne.
FAQ sur le pare-feu d’applications Web
Quelle est la différence entre un pare-feu normal et un WAF ?
Les pare-feu de réseau et de points de terminaison fonctionnent à un niveau de pile inférieur à celui des pare-feu d'applications Web. Comme leur nom l'indique, les WAF examinent les attributs au niveau de la couche application (couche 7), alors que les pare-feu classiques fonctionnent au niveau de la couche réseau (couche 3). Ainsi, chacun examine différentes caractéristiques du trafic entrant. Une autre différence majeure entre ces deux services est qu'un pare-feu typique s'intègre dans l'architecture d'une passerelle réseau (ou d'une interface réseau informatique) mais les WAF ont une configuration de proxy inverse.
Que sont les règles WAF ?
Les règles WAF constituent une liste d'éléments auxquels le pare-feu doit prêter attention. Il s'agit de caractéristiques spécifiques du trafic Web et des endroits spécifiques où les rechercher dans le flux de données. Les règles sont également appelées « politiques ». Ils incluent l'action à entreprendre lors de la détection d'une tentative d'attaque, qui implique généralement simplement de ne pas transmettre ce trafic au serveur protégé.
Quels sont les 3 types de pare-feu ?
Les trois types de pare-feu sontfiltres de paquets,inspection dynamique des paquets, etpare-feu de serveur proxy.
- Les filtres de paquets examinent les caractéristiques techniques de tous les paquets entrant et sortant d’un réseau et suppriment ceux qui ne correspondent pas à un modèle donné ou qui correspondent à une liste de caractéristiques sur liste noire.
- L'inspection dynamique des paquets (SPI), également connue sous le nom de filtrage dynamique des paquets, fonctionne également au niveau de la couche réseau, mais elle enregistre les caractéristiques individuelles des paquets afin de pouvoir détecter les attaques réparties sur plusieurs paquets.
- Un WAF est un pare-feu de serveur proxy car tout le trafic est dirigé via le WAF vers le serveur. Il fonctionne au niveau de la couche application et remplace l’adresse IP du serveur protégé par la sienne.