WAF 購入者向けガイド – 2022 年のベスト Web アプリケーション ファイアウォール 11 選

オンライン企業を運営している場合は、ハッカーによる Web ページの破壊を防ぐ必要があります。サイトがハッカー コードに感染すると、検索エンジンはそのサイトにリンクできなくなります。 Web アプリケーション ファイアウォールでビジネスを保護します。

あ ウェブアプリケーションファイアウォール ( WAF ) ソリューションは Web サーバーの保護を提供します。 WAF は、インターネットと Web アプリケーション間のトラフィックを監視し、一連のルール/ポリシーに基づいてトラフィックをフィルタリングまたはブロックします。

Web アプリケーション ファイアウォールは、SQL インジェクション、クロスサイト スクリプティング (XSS)、Cookie ポイズニングなどの攻撃から保護し、防御戦略の重要な要素です。

最高の Web アプリケーション ファイアウォールのリストは次のとおりです。

1. AppTrana マネージド Web アプリケーション ファイアウォール 編集者の選択 Indusface が提供するフルマネージド Web アプリケーション ファイアウォール。バンドルされたアプリケーション スキャナー、CDN、およびゼロ WAF を備えたマネージド カスタム セキュリティ ルールを備えています。 SLA と 24 時間 365 日サポートによる誤検知保証。
2. StackPath Web アプリケーション ファイアウォール (無料トライアル) 「エッジ」ソリューションの一部であるクラウドベースのファイアウォール。
3. ウェブサイト ファイアウォール ジュース (詳細はこちら) DDoS 保護も含まれるオフサイト アプリケーション セキュリティ サービス スイートの一部です。
4. フォーティネットフォーティウェブ クラウド サービス、アプライアンス、または VM で Web アプリケーション ファイアウォール、SSL オフローダー、ロード バランサーを提供するエッジ サービス バンドル。
5. Imperva クラウド WAF Imperva WAF Gateway と呼ばれるオンサイト同等のアプライアンスを備えたクラウドベースの Web アプリケーション ファイアウォール。
6. バラクーダ Web アプリケーション ファイアウォール この WAF は SaaS システム、プライベート クラウド、アプライアンス、または VM として利用でき、脆弱性スキャンとデータ損失防止も含まれています。
7. Prophaze Web アプリケーション ファイアウォール ボット保護、RASP、DDoS、CDN ソリューションを備えた、カスタマイズ可能なオールインワンのマルチ/ハイブリッド/プライベート/SaaS/Kubernetes ベースの WAF。迅速なオンボーディング、無制限の SSL 証明書、24 時間年中無休のサポート。
8. MS Azure Web アプリケーション ファイアウォール どこにいてもWebサーバーを保護できるクラウドベースのWAF。これは従量制サービスです。
9. F5 エッセンシャル アプリ プロテクト 技術者以外の顧客を対象としたクラウドベースの WAF であるため、セットアップと管理が簡単です。
10. クラウドフレアWAF DDoS 保護と組み合わせることができるクラウドベースのソリューション。
11. Akamai Kona サイト ディフェンダー オフサイト WAF と DDoS 保護を組み合わせます。

最高の Web アプリケーション ファイアウォール

多くの Web アプリケーション ファイアウォール プロバイダーは、自社の WAF システムをできるだけ多くの市場で提供することで、できるだけ多くの市場を獲得しようとしています。 構成 できるだけ。そのため、多くの場合、同じ WAF を、仮想マシン上で実行されるソフトウェア パッケージとして、ネットワーク アプライアンスとして、またはクラウドベースの SaaS システムとして提供できます。クラウドベースの WAF をフルマネージド サービスとして入手することもできます。

Web アプリケーション ファイアウォールを選択するための方法論

私たちは WAF の市場を調査し、次の基準に基づいてオプションを分析しました。

• クラウドベースのシステム
• 統合された DDoS 保護
• 企業の真の IP アドレスのクローキング
• トラフィック転送のための安全なチャネル
• 通常のトラフィックを遅らせない高速データ処理
• 支払いなしで評価できる無料トライアルまたはデモ オプション
• 手頃な価格の多目的保護システムによるコストパフォーマンス

この一連の基準を使用して、他のサービスの中でも特に Web アプリケーション ファイアウォール機能を提供し、セットアップ費用なしのサブスクリプション価格を提供するエッジ プラットフォームを探しました。

1. AppTrana マネージド Web アプリケーション ファイアウォール (無料トライアル)

アプリトラナ Indusface のは、クラウド上のコンテンツ アクセラレーションと CDN がバンドルされたフルマネージド Web アプリケーション ファイアウォールを提供します。あなたがしなければならないことは、Indusface によって AWS データセンターの複数のリージョンでホストされている AppTrana サービスを介してトラフィックをルーティングすることだけです。

主な特徴:

• マネージドサービス
• コンテンツ配信ネットワーク
• 配信の加速
• フェイルオーバー保護
• セキュリティ評価

AppTrana には、Indusface が他の数千の Web サイトのセキュリティ評価を行って開発した最適化されたコア ルール セットに基づいて、即座にブロック モードにできる、最適化されたコア管理ルール セットが付属しています。オンボーディングすると、顧客は Web サイトの自動セキュリティ評価をオンデマンドで実行し、すでに WAF によって保護されているかどうか、またはカスタム セキュリティ ルールが必要かどうかを即座に把握できます。

カスタム ルールが必要なルールは一元化されたポータルからリクエストでき、Indusface の 24 時間 365 日の MSS チームがゼロ WAF 誤検知保証付きのカスタム ルールを作成して保護します。ウェブサイトのパフォーマンスは、サービスに含まれるバンドル CDN によって強化されます。

長所:

• オンボーディング費用はかかりません
• 技術者とセキュリティ アナリストがパッケージに含まれる
• 分散配信システム
• DDoS保護
• AWS でホストされる

短所:

• Web プレゼンスの制御を外部ビジネスに譲渡した場合

AppTrana プランは、サブスクリプション サービスとして利用できます。 14日間の無料トライアル 。無料トライアル登録は、Web サイトの月 2 回の自動セキュリティ スキャンを含む永久無料の基本プランに自動的に登録されます。

編集者の選択

AppTrana マネージド Web アプリケーション ファイアウォール このまとめではこれが一番の選択です。これには、ネットワーク保護の分野で優れた専門家チームのサービスが含まれています。このサービスには、通常の Web アプリケーション ファイアウォール機能に加えて、その他の多くのセキュリティ サービスが含まれています。このサービスに取り組む Indusface の技術チームは、セキュリティ デバイスのレポートに関する雑談をフィルタリングして、クライアント企業の技術マネージャーの多大な負担を軽減します。

このサービスがクラウド内に配置されるため、ネットワークを保護するために専門のハードウェアをオンサイトで購入して管理する必要もなくなります。インダスフェイスと名付けられたのは、Gartner Peer Insight 顧客の選択の 7 つのセクションすべてで、お客様の声 WAAP 2022報告。

14 日間の無料トライアルを開始する:Industry.com/products/application-security/web-application-firewall/

あなた：クラウドベース

2. StackPath Web アプリケーション ファイアウォール (無料トライアル)

の ウェブアプリケーションファイアウォール が提供するクラウドベースのサービススイートの 1 つです。 スタックパス 「エッジテクノロジー」に特化した企業です。この用語は、接続されたサービスをネットワークのエッジ、さらにその少し先までプッシュする手法を指します。 StackPath は、サブスクリプションベースのクラウド サービスです。 Web サーバーに到達する前にすべてのトラフィックをキャプチャします 。

StackPath のオフサイト構成は、Web サーバーの保護を強化します。 悪意のあるコードはリソースに触れる機会さえありません 。

主な特徴:

• ウイルス 防止
• プロキシサービス
• DDoS保護
• IPアドレスの評価

Web サイトに向かう Web トラフィックは、最初に StackPath サーバーに到着するように迂回されます。このサービスによって提供される 3 つの基本的な防御策は次のとおりです。 IPアドレスの評価 、 ブラウザの検証 、 そしてその コンテンツベースのルーティングルールの使用 。この方法では、疑わしいソースからの受信リクエストの可能性に焦点を当てます。ソース フィルタリングは、DDoS 攻撃の試みも遮断します。

検証されたトラフィックのみが Web サーバーに転送されます。 これらの処理はすべて非常に迅速に行われるため、通常のユーザーは接続速度の低下を経験することはありません。

長所:

• 受信したリクエストに対してさまざまな評価を提供します
• ブラウザのフィンガープリントと検証
• リクエストを処理するためのオプションのルーティング
• 迅速な評価

短所:

• このサービスを最大限に活用するには技術的なスキルが必要です

StackPath が提供するのは、 ウェブアプリケーションファイアウォール サービス開始初月は無料。

StackPath Web アプリケーション ファイアウォールは初月無料

3. Juices ウェブサイト ファイアウォール (詳細はこちら)

の Sucuri Web アプリケーション ファイアウォール これは一連の Web サイト保護対策の一部です。 Sucuri クラウドベースの保護システムはオンライン サービスです。あなたの Web サイトのアドレスは Sucuri のサーバーでホストされており、すべての Web トラフィックも最初にそこに送信されます。

主な特徴:

• プロキシサービス
• DDoS保護
• 高速スキャン

Sucuri サービスは、さまざまな技術を通じて悪意のあるトラフィックをフィルタリングします。同社は攻撃シグネチャのデータベースを維持しており、常に更新されています。 あなたの Web サイトは、他のサイトを防御するときに Sucuri によって学習された保護戦略から恩恵を受けます。 。

サービス パッケージには、パフォーマンスの最適化と DDoS 保護が含まれています。 Sucuri サーバーは悪意のあるトラフィックをブロックし、すべての正当なリクエストを Web サーバーに転送します。このプロセス 非常に迅速に行われるため、訪問者は速度の低下に気付かないほどです Web ページの配信において。

配信パフォーマンスはキャッシュによって向上します。つまり、 サイトがメンテナンスのためにダウンしている場合でも、訪問者は引き続き Web ページにアクセスできます。 。

長所:

• Web サイトのトラフィック介入
• 配信の加速
• 脅威インテリジェンス

短所:

• 自分で接続を設定する必要があります

Sucuri Web Application Firewall はサブスクリプション サービスとして利用でき、価格は基本パッケージで月額 9.99 ドルから始まります。プランの詳細はウェブサイトでご覧ください。

Sucuri Web アプリケーション ファイアウォール プランの詳細を見る

4.フォーティネットフォーティウェブ

の フォーティネットの FortiWeb WAF SaaS システム、VM ベースのソフトウェア パッケージ、またはアプライアンスとして提供されます。 WAF のソフトウェアはプライベート クラウド ホスティングにも利用でき、コンテナベースのシステムとして実装できます。

主な特徴:

• 尊敬されるブランド
• DDoS保護
• 脅威インテリジェンス

FortiWeb システムが動作する DDoS防御サービス クラウド サービスまたはアプライアンスとしてアクセスする場合。 Web アプリケーション ファイアウォールは、ネットワークに送信されるすべてのトラフィックを検査し、AI ベースの機械学習を導入して不審なアクティビティを検出します。 FortiWeb も使用します 脅威インテリジェンス フィード 最新のハッカー攻撃戦略を常に把握し、計算された標準から逸脱し、典型的な攻撃につながると思われる行動のパターンを探します。

WAF と組み合わせることができます。 SSLオフローダー そして ロードバランサ 。

長所:

• 仮想アプライアンス、物理デバイス、または SaaS パッケージとして入手します
• 自己管理
• 他のフォーティネット セキュリティ システムを統合するオプション

短所:

• フォーティネット システムのフルスイートで最適に動作します

クラウド サービスはサブスクリプションによって課金され、そのダッシュボードには標準ブラウザを介してどこからでもアクセスできます。ネットワーク アプライアンスのバージョンには、25 Mbps から 20 Gbps までの容量の異なる 8 つのモデルが用意されています。

5.ImpervaクラウドWAF

インペルバ はサイバーセキュリティ業界の主要企業であり、その WAF サービスは包括的です。 Imperva の Web アプリケーション ファイアウォールのオンライン バージョンは、 プロキシサーバー 、すべての受信トラフィックをキャッチし、保護された Web サーバーに渡す前にクリーンアップします。

主な特徴:

• プロキシサービス
• サイトの可用性の継続性
• セキュリティパッチ適用

Imperva Cloud WAF サービスは、次のような他の Web 拡張サービスと提携しています。 コンテンツ配信ネットワーク (CDN) これにより、Web ページの配信が高速化され、メイン サーバーがメンテナンスのためにダウンしたり、何らかの損傷を受けた場合でも、常に可用性が提供されます。 WAF には、 仮想パッチ適用 このサービスは、保護されたシステムに必要なすべてのパッチを適用し、Web サーバーがバウンスされている間もサイトの可用性を提供します。

長所:

• Webサーバー向けシステム強化サービス
• 悪意のあるトラフィック攻撃からの保護
• 配信の加速

短所:

• オンサイトバージョンではアプライアンスの購入が必要です

Imperva のオファー マネージドサービスオプション クラウド WAF には、セキュリティ ソフトウェアを実行する専門家と技術者が含まれます。 Imperva セキュリティ サービスのオンサイト バージョンは、Imperva WAF ゲートウェイと呼ばれるさまざまなネットワーク アプライアンスで利用できます。

6. バラクーダ Web アプリケーション ファイアウォール

の バラクーダ Web アプリケーション ファイアウォール SaaS システム、アプライアンス、仮想アプライアンスとして、またはプライベート クラウド アカウントへのインストールとして利用できます。この実装の柔軟性は、WAF があらゆる規模の企業に適していることを意味します。

主な特徴:

• 導入オプション
• マルウェアや感染したページをブロックします
• 交通保護

WAF は、Web サーバーのすべてのトラフィックをチャネルします。 インバウンドとアウトバウンドの両方 。トラフィックベースの攻撃、マルウェア、およびページ上の攻撃の試みを検出してブロックできます。このサービスは、ハッカーをブロックするブラックリストと、特定のデバイスからのみ有効なユーザーにアクセスを許可するホワイトリストの両方を使用します。

Barracuda WAF のトラフィック監視システムは、次の機能も提供します。 データ損失の防止 。これにより、企業は PCI DSS などのデータ保護標準に準拠できるようになります。不正な接続要求が検出された場合、受信トラフィックはブロックされます。 DDoS攻撃 。このような状況では、WAF サーバーはボリューム攻撃を吸収して破棄し、本物の接続リクエストを通過させます。

長所:

• SaaS プラットフォーム、物理デバイス、または仮想アプライアンス
• データ保護のためのリバースファイアウォールも
• DDoS保護

短所:

• 家電製品は高価になる場合があります

Barracuda が提供するネットワーク アプライアンスの容量は、25 Mbps から 10 Gbps までさまざまです。

7. Prophaze Web アプリケーション ファイアウォール

WAF-as-a-Service を普及させる は、Web アプリケーション ファイアウォールとして機能するクラウドベースのプロキシ サーバーです。 Prophaze サービスには以下が含まれます AI ルーチン 標準動作のベースラインを調整することで検出ルールを改良します。この機能は、誤報の数を減らし、本物のサイト訪問者に無制限のアクセスを与えるのに役立ちます。

主な特徴:

• カスタマイズ可能なオールインワンのマルチ/ハイブリッド/プライベート/SaaS/Kubernetes ベースの WAF
• 無制限のルールを備えたボット保護 + RASP + DDOS + CDN ソリューションが含まれています
• わずか 15 分でオンボーディング
• 無制限の無料SSL証明書
• Teams/Zoom/Google で 24 時間 365 日サポート、データ保持期間は 30 日間
• Prophaze サービスはサブスクリプションによって課金され、3 つのプランが利用可能です。 SaaS と呼ばれる最上位のプランにはマルチテナント機能があり、MSP による使用に適しています。を得ることができます 無料トライアル Prophaze WAF-as-a-Service の。

Prophase システム自体は次のように動作します。 Kubernetesコンテナ また、従来のハッカー アクティビティの検出を実行するだけでなく、独自のシステムの Kubernetes アクティビティのパフォーマンスとセキュリティを監視することもできます。

Prophaze WAF を使用するのに専門家である必要はありません。同社の製品は中小企業をターゲットとしているため、技術者以外のユーザーを念頭に置いて設計されています。ダッシュボードの画面は標準ブラウザからアクセスでき、わかりやすく、よくレイアウトされています。

長所:

• ウイルスや感染サイトをブロック
• ハッカーのトラフィックを排除
• システムの強化

短所:

• オンサイト版はありません

特徴としては以下が挙げられます DDoS保護 そして 仮想パッチ適用 。保護されたシステムを強化してデータ損失を防止し、GDPR、HIPAA、CCPA、PCI-DSS、および SOC2 への準拠を支援します。

8. MS Azure Web アプリケーション ファイアウォール

マイクロソフトアジュール は、利用可能なクラウド プラットフォームの中で最も成功しているものの 1 つであるよく知られたハイパーバイザー システムです。 AWS と同様、Microsoft の Azure 部門はクラウド サービスのプラットフォーム システムを提供するだけでなく、他のシステムにユーティリティを提供するさまざまなソフトウェアも製造しています。 Web アプリケーション ファイアウォールは、これらの製品の 1 つです。

主な特徴:

• 強いブランド
• トラフィックフィルタリング
• データ保護

他の WAF と同様に、このサービスも 代理として機能します 。すべての受信トラフィックはまず Azure サーバーを通過し、検査されて疑わしいトラフィックがブロックされ、他のすべてのトラフィックが Web サーバーに渡されます。このエッジ サービス モデルにより、Azure WAF は DDoS 保護と負荷分散のための優れた機能にもなります。 Web サーバーからのすべてのアウトバウンド トラフィックも WAF 経由でルーティングされ、WAF によってトラフィックが検査されます。 データ損失イベント 。したがって、これは完全な双方向の Web トラフィック セキュリティ サービスです。

システムは、ログに記録された上位 10 件の脆弱性を自動的に追跡します。 Web アプリケーション セキュリティ プロジェクトを開く (OWASP)。標準ルールが埋め込まれていますが、サーバー管理者はこれらを調整し、カスタム ルールを追加することもできます。

Azure がこのリストにある他のエッジ サービスと異なるのは、サブスクリプションによって料金が請求されないことです。代わりに、 従量制充電料金 。この事実とセットアップ料金がないため、これは世界最大の企業だけでなく新興企業や中小企業にとっても優れたサービスとなっています。

長所:

• リバースファイアウォールによるデータ損失防止を提供します
• DDoS攻撃をブロックします
• 脆弱性スキャン

短所:

• 遡及請求により高額な請求書が発行される可能性がある

Azure WAFの料金料金は以下の組み合わせで計算されます。 時給 そして データスループットレート そして毎月後払いで請求されます。これは、サブスクリプション料金の前払いが必要な他のクラウドベースのサブスクリプション WAF よりも、前払いコストがはるかに低くなります。さらに良いのは、 毎月最初の 10 TB のデータは無料 最も低いトラフィック レベルを除くすべての企業で、トラフィックが多い企業は、毎月最大 40 TB のスループットを無料で利用できます。 Azure Web アプリケーション ファイアウォールは、 12 か月の Azure 無料トライアル 。

9. F5 エッセンシャル アプリ プロテクト

F5 は老舗のサイバーセキュリティ サービス プロバイダーであり、 NGINX株式会社 、広く使用されている Nginx Web サーバー システムのプロデューサーです。 F5 と NGINX の専門知識は、 F5 エッセンシャル アプリ プロテクト クラウドベースのWebアプリケーションサーバー。

主な特徴:

• NGINXにリンクされています
• セットアップが簡単
• 導入オプション

F5 Essential App Protect の背後にあるテクノロジーは、 F5 アプリケーションセキュリティマネージャー – ネットワーク アプライアンス上に配信された既存の WAF。ファイアウォールのアプライアンス バージョンはまだ存在しており、現在は BIG-IP アドバンスト WAF 。 NGINX バージョンは、 Nginxプラス Web サーバー システムなので、ソフトウェアのダウンロードとして提供されます。

F5 Essential App Protect は、技術者以外のユーザーを念頭に置いて設計されているため、 セットアップが簡単 任意のブラウザからアクセスできるダッシュボードを通じて管理します。

長所:

• アプライアンス上のオンサイト展開のオプション
• NGINX Webサーバーのプラグインとして提供可能
• 脅威インテリジェンス

短所:

• サービスはリニューアル中です

Essential App Protect WAF の機能には、F5 Labs からの脅威インテリジェンス フィードと API、ページ、Web サービスの完全な保護が含まれます。 F5 オファー 15日間の無料トライアル 処理量制限が設定されている Essential App Protect の。

10.クラウドフレアWAF

クラウドフレア は DDoS 攻撃から Web ホストを保護することに非常に成功しており、Web アプリケーション ファイアウォールで保護を拡張しています。これは非常に広く使用されているオンラインサービスです。同社のサーバーは、大規模な顧客ベースに代わって毎秒 290 万件のリクエストを管理します。

主な特徴:

• 無料オプション
• コンテンツ配信ネットワーク
• フェイルオーバー保護

Cloudflare のような広く使用されているクラウド WAF をサブスクライブする利点は、企業が規模の経済を脅威調査に適用できることです。 1人の顧客に対する攻撃の試みは、Cloudflareによって保護されているすべてのWebサーバーのブラックリストのエントリに瞬時に波及します。 。企業の中心にクラウドベースのサーバーがある場合、または Web プレゼンテーションに含まれるコンテンツ配信システムとしてクラウドベースのサーバーがある場合、Cloudflare はそれもカバーできます。 Cloudflare の完全な DDoS 保護を WAF サブスクリプションと統合するのは、非常に簡単な作業です。

長所:

• 共有された脅威インテリジェンスを備えた非常に大規模な顧客プール
• DDoS保護
• 配信の加速

短所:

• 紛らわしいオプションのリスト

11. スマート コナ サイト ディフェンダー

Akamai は DDoS 軽減の世界的リーダーであり、完全な DDoS 保護を Site Defender と呼ばれるクラウド サービスの Web アプリケーション ファイアウォールと統合しています。これらのサービスの両方を 1 つのセキュリティ製品に組み合わせる大きな利点は、 2 つの異なる会社を経由してトラフィックをルーティングする必要はありません Web サーバーに到着する本物のリクエストを取得するため。

主な特徴:

• DDoS保護
• 脅威インテリジェンス
• 複合サービス

オンライン セキュリティ製品のリーダーの 1 つである Akamai は、新しいエクスプロイトを最初に発見することがよくあります。 Site Defender の顧客は、ハッカー トラフィックをより厳密かつスマートにブロックすることで、この「最先端」の情報を即座に活用できます。

長所:

• マルウェア フィルタリングと DDoS 保護を組み合わせます
• 攻撃分析
• ホスト型システム

短所:

• 自己ホスト型オプションなし

WAF はどのような攻撃から保護しますか?

Web アプリケーション ファイアウォール (WAF) は、Web サーバーとそのコンテンツを次のカテゴリの攻撃から保護する必要があります。

• クロスサイトスクリプティング (XSS) – ハッカーによって Web ページの入力フィールドに挿入された悪意のある HTML コード
• 隠しフィールド 操作 – ハッカーは Web ページのソース コードを書き換えて、隠しフィールドに保持されている値を変更し、修正したコードをサーバーにポストします。
• クッキー中毒 – Cookie に保持されているパラメータ値を変更して、Web ページ間で受け渡されるデータを破損する
• ウェブスクレイピング – Webページからの自動データ抽出
• レイヤ 7 DoS 攻撃 – 再帰的なアプリケーションアクティビティにより Web サーバーに負荷がかかります
• パラメータの改ざん – Web ページ呼び出しのパラメータの値を変更する
• バッファオーバーフロー – メモリ内のコードを上書きするユーザー入力
• 裏口 またはデバッグオプション – ハッカーがプロセッサにアクセスするために使用できる Web ページのテスト用の開発者フィードバック レポート
• ステルス指揮 – Web サーバーのオペレーティング システムに対する攻撃
• 強制ブラウジング – ハッカーがウェブサーバー上のバックアップフォルダーまたは一時フォルダーにアクセスできるようになります。
• サードパーティの構成ミス – 他社が提供するコンテンツ挿入物の改ざん
• サイト 脆弱性 / SQL インジェクション – ユーザー認証フィールドに入力されたクエリ

WAF は Web サイトのフロントエンドとして機能しますが、Web ホストに必要な多くの重要なアクセス制御機能は、このテクノロジーでは提供されません。 WAF は HTTP コードに重点を置いています FTP などの他のインターネット アプリケーションのリクエスト手順も含まれます。このような場合、これらのアプリケーション プロトコルの安全なバージョンは、 HTTPS と SFTP もカバーされています 。

WAF の仕組みは次のとおりです

WAF は、受信リクエストに含まれる異常を探し、不正な形式または不正な構造をブロックします。 WAF は、サーバーのクラスター間の負荷分散を担当しません。一部の種類の DDoS 攻撃では HTTP が使用されますが、ほとんどは低レベルの方法を使用します。したがって、WAF は HTTP および FTP のアプリケーション レベル/レイヤー 7 の DDoS 攻撃から保護しますが、他の戦略によって実行される攻撃からは保護しません。

WAF 構成

WAF は、Web ホスティング保護戦略の一部である必要があります。ハードウェア ソリューションまたはソフトウェアとして実装できます。

ソフトウェア WAF の支持者は、すでに十分なハードウェアが利用可能であり、Web アプリケーション ファイアウォールを取得するには既存の機器の機能を拡張するだけでよいと主張します。ただし、WAF の理想的な場所はサーバーの前であり、ほとんどのソフトウェア ソリューションは Web サーバーに直接インストールされます。

WAFの配置

WAF を配置する最適な場所は、ネットワーク (つまりサーバー) とインターネットの間のゲートウェイとして機能するルーター上です。この戦略は、統合された WAF を備えたルーターが最適な選択肢であることを意味します。これはスタンドアロンの機器であり、トラフィックに損害を与えたり、貴重なサーバーに到達するハッカーの探索を防ぐことができます。

ソフトウェアとハ​​ードウェアの WAF に関する考慮事項

では、コストをコントロールするにはどれを選択すべきでしょうか?ソフトウェア WAF はハードウェア ソリューションよりも安価です。ただし、WAF ソフトウェアをサーバーにインストールするのにハードウェア コストがかからないとは考えないでください。おそらくサーバーのハードウェア容量を計画しているため、追加の機能を追加すると、ディスク領域が占有され、メモリが使用され、CPU プロセッサが拘束されることになります。 WAF をホストするにはサーバーの容量を拡張する必要がある場合があるため、ハードウェアのコストがかかります。

現場でのスキルセットも考慮事項となります。おそらく、システム管理スタッフは全員、サーバーのオペレーティング システムには精通していますが、新しいデバイスのファームウェアについては不器用でしょう。ハードウェア WAF のユーザーは、ハードウェア WAF をブラック ボックスとして扱い、ソフトウェア WAF よりも運用への介入がはるかに少ない傾向があります。これは良いことかもしれません。

ハードウェアとソフトウェアの両方の WAFS にはパッチとアップデートのサポートが付属しています。ただし、ソフトウェア バージョンの更新には通常、インストールごとに同意と管理が必要ですが、ハードウェア WAF はプロバイダーによって直接更新される傾向があるため、時間のかかるパッチ管理の問題は発生しません。

一般に、ハードウェア WAF とソフトウェア WAF はどちらも同じタスクを実行します。ハードウェア WAF はサーバーの余分な負荷を軽減し、サーバーの 1 つを停止させたい場合でも機能し続けることができます。ハードウェア WAF は信頼性が高く、単独で機能することができます。おそらくハードウェア WAF はソフトウェア WAF よりも優れたオプションですが、管理者はソフトウェア WAF のアクセシビリティとカスタマイズ性を好む傾向があります。

Webアプリケーションファイアウォール機能

Web ページが公開されているときにすべてのユーザー アクティビティをスキャンするだけでなく、外部企業が提供する既製のプラグインを含む Web ページのコードをチェックする必要もあります。コーディング エラーと検証オーバーサイトは、ゼロデイ脆弱性として知られています。これらは非標準のパスであり、ハッカーが Web サーバーにアクセスできる可能性があります。ユーザーまたは挿入されたコードのプロバイダーが問題に気づく前にハッカーがこれらのセキュリティ上の欠陥を発見すると、WAF ではカバーできない可能性のあるゼロデイ攻撃を受けることになります。

WAF の価値は、ユーザーの応答に適用されるルールにあります。これらのルール設定は、検出するアクティビティをレイアウトし、エクスプロイトが発見されたときに実行するアクションを指示することにより、Web サーバーを悪意のあるアクティビティから保護する検証手順を実行します。ルールは、特によく知られた攻撃戦略をブロックするために作成されます。ただし、WAF のルーチン内の追加のより柔軟なルールは、ゼロデイ脅威を特定するのに役立ちます。

以下も参照してください。 最高の無料ポートスキャナー

関連している： 最高の侵入検知セキュリティ ツール

WAF vs 次世代ファイアウォール vs 侵入防御システム (IPS)

ハッカーはますます洗練されており、ありがたいことにサイバー防御システムも洗練されています。ただし、現在利用可能なネットワーク保護のさまざまなカテゴリについて混乱するかもしれません。

の区別 侵入防御システム (IPS) そして、どのタイプのファイアウォールも非常に簡単に見つけることができます。ファイアウォールはシステムの境界を防御するのに対し、IPS はネットワーク内のトラフィックを監視します。 IPS は、 侵入検知システム (IDS) 。 IDS は不審なアクティビティを検出しますが、IPS にはそれをシャットダウンする手順が含まれています。

次世代ファイアウォール 通常、IPS で使用される技術の多くが含まれています。つまり、ゲートウェイを通過する各パケットを単に検査するのではなく、すべてのアクティビティを記録します。ただし、NGFW はネットワークと外部世界の間のゲートウェイに位置し、IPS はネットワーク内のトラフィックに重点を置きます。 WAF は、HTTPS および SSL プロトコルを通じて伝送される Web トラフィックを特に検査します。つまり、NGFW はネットワークに入るトラフィックを監視し、WAF は Web サーバーを保護します。

ハードウェアベースの WAF とクラウドベースの WAF: 長所と短所

独自の機器またはクラウド インフラストラクチャ ソリューションの選択は、多くの場合、各構成の好みによって決まります。たとえば、ネットワークの要素をアウトソーシングすることを不快に思う人もいますし、Web ホストのセキュリティ機能は特にデリケートな話題です。

クラウドベースの WAF の短所

WAF は他のすべてのデバイスの前面にあるため、URL のターゲットにする必要があります。つまり、すべての DNS レコードが Web サイト訪問者を最初にクラウド インフラストラクチャに誘導するため、トラフィックを直接制御できなくなります。

クラウド WAF が他のフロントエンド セキュリティ サービスを含む企業によって提供されている場合、これらを 1 つのパッケージに組み合わせることが合理的です。例えば、 選択した WAF プロバイダーに DDoS 保護サービスがない場合、すべての脅威から完全に保護されるために、トラフィックを 2 番目のクラウド サービスに転送する必要があります。 。 WAF クラウド サービスを利用すると、すべてのオンライン保護を 1 つのオンライン セキュリティ会社に拘束され、選択肢が制限される可能性があります。

WAF はパケットの内容を検査するため、主要なタスクを実行する前に、まずすべての暗号化保護を解除する必要があります。これは、SSL 証明書をクラウド WAF プロバイダーに引き渡す必要があり、Web ホスト、コンテンツ、顧客の安全を保護するすべてのデータ セキュリティ機能を事実上放棄する必要があることを意味します。

このサードパーティがあなたと顧客の間に立ってくれるように準備するには、クラウド WAF プロバイダーを大いに信頼する必要があります。

クラウドベースの WAF の長所

一方で、トップクラスのクラウド WAF プロバイダーの評判と専門知識により、失望することを心配する必要はありません。私たちのリストにある企業は、ネットワークとセキュリティ サービスを専門としています。彼らが蓄積した専門知識は、自社で社内で得られるものよりもはるかに優れています。これらの問題に伴う複雑なタスクをすべてカバーしようとすると、Web サイトの可用性とセキュリティに対するリスクがさらに高まる可能性があります。

クラウドベースのソリューションは月単位で支払うことができます 、Web アプリケーションのセキュリティのコストを分散します。場合によっては、Web スループットに対してのみ料金が請求されるため、サービス レベルが計算されて請求される月末まで、保護料金の支払いを延期することができます。

すでに運用の一部をアウトソーシングしている場合は、クラウドベースの運用方法にすでに慣れているため、WAF もアウトソーシングすることはそれほど難しくありません。 DDoS 保護や負荷分散などの他のサービスを新しい WAF と組み合わせる方が、ロジスティック上および経済的に合理的である場合は、既存のプロバイダーから切り替える必要がある場合があります。

ハードウェアベースの WAF の短所

ハードウェア WAF のコストを検討する場合は、WAF の設置、収容、保護、保守にかかる費用を追加する必要があります。オンライン WAF は自動的に更新されるため、常に最新の状態に保たれ、新たに出現する最新の脅威に対処する準備ができています。独自の WAF デバイスでそのレベルの準備を整えるには、費用がかかる場合があります。

ほとんどのハードウェア WAF ベンダーは更新サービスを提供しています。 新しい脅威に対する修正はインターネット経由で WAF デバイスに自動的に送信され、ユーザーの介入なしにファームウェアが更新されます。 。新たな脅威が発生した場合には、ネットワーク上の他の機器やソフトウェアの更新が必要になる場合があります。これらも WAF プロバイダーのサポート サービスで提供されます。

このプロセスは「仮想パッチ適用」と呼ばれ、従来のファイアウォール データベース更新の WAF バージョンです。ただし、リストにあるハードウェア サプライヤーはすべて仮想パッチを提供していますが、そのすべてがそのサービスを無料で提供しているわけではありません。更新サービスが含まれている場合、通常は最初の 1 年間のみ無料です。それ以降は、社内 WAF のサポートに追加料金を支払う必要があります。

新しい Web 会社を運営するのに苦労している場合、ハードウェア WAF を購入するための初期費用は不便な出費になる可能性があります。 最初からこのアプリケーション セキュリティ ソリューションを無視すると、たとえ資金に余裕ができたとしても、それが不必要な追加物であると信じ込まれてしまう可能性があります。 。攻撃を受けた後に初めて WAF 保護が必要であることに気づくため、これは危険なシナリオです。それまでに、あなたの Web サイトは悪意のあるコードが含まれているとして検索エンジンによってブロックされ、廃業に追い込まれることになります。

ハードウェアベースの WAF の長所

独自の Web サーバーを実行している場合は、ネットワークとインターネット システムについてすでによく知っているでしょう。需要に対処するために追加のサーバーを配置した場合は、ロード バランサーが必要になる場合があります。その場合は、Web キャッシュ、ロード バランサー、WAF を組み合わせて購入し、すべてのフロントエンド要件を 1 台のデバイスで処理できます。

独自の WAF を持つということは、Web アドレスを第三者に引き渡す必要がないことを意味します。ある時点で広範な DDoS 保護が必要な場合は、URL を DDoS 軽減プロバイダーに送信する必要があります。ただし、この場合、DDoS 保護の選択をクラウド WAF 会社が提供するものに限定する必要はありません。 URL を指定して WAF を提供することを約束するものではありません。

Web アプリケーション ファイアウォール ソリューションの選択

ネットワーク上に独自の WAF を導入したい場合でも、クラウドベースの WAF ソリューションを選択する方が良いと考えている場合でも、このレビューでは検討すべき 5 つのオプションが示されています。会社にとって新しい機器、ソフトウェア、サービスを選択するには、非常に時間がかかる場合があります。このガイドでは、その最初の段階を扱います。

次のタスクは、選択肢を絞り込むことです。これらの WAF ベンダーのそれぞれが提供する追加機能により、その選択が可能になります。各サービスの容量も重要な考慮事項であり、将来の拡張計画を考慮してスケーラビリティを考慮する必要があります。

専用ハードウェアとクラウドベースの WAF のどちらを選択するかを決定し、そのカテゴリにリストされている 5 つをそれぞれチェックしてください。専用の Web アプリケーション ファイアウォールが組織に提供する保護を見落とすのは間違いです。手遅れになってサイトがすでに攻撃されるまで待ってはいけません。今すぐ WAF を導入して、Web サイトをオンラインに保ちましょう。

Web アプリケーション ファイアウォールに関するよくある質問

通常のファイアウォールとWAFの違いは何ですか?

ネットワークおよびエンドポイントのファイアウォールは、Web アプリケーション ファイアウォールよりも低いスタック レベルで動作します。名前が示すように、WAF はアプリケーション層 (レイヤー 7) で属性を検査しますが、一般的なファイアウォールはネットワーク層 (レイヤー 3) で機能します。したがって、それぞれが受信トラフィックのさまざまな特性を調べます。これら 2 つのサービスのもう 1 つの大きな違いは、一般的なファイアウォールはネットワーク ゲートウェイ (またはコンピューター ネットワーク インターフェイス) のアーキテクチャに統合されているのに対し、WAF はリバース プロキシ構成であることです。

WAF ルールとは何ですか?

WAF ルールは、ファイアウォールが注意する必要があるもののリストです。これらは Web トラフィックの特定の特性であり、データ ストリーム内でそれらを検索する特定の場所です。ルールは「ポリシー」とも呼ばれます。これらには、攻撃の試みを検出したときに実行するアクションが含まれており、通常は、そのトラフィックを保護対象のサーバーに渡さないことだけが含まれます。

3 種類のファイアウォールとは何ですか?

ファイアウォールには次の 3 種類があります。パケットフィルタ、ステートフルパケット検査、 そしてプロキシサーバーファイアウォール。

• パケット フィルターは、ネットワークを出入りするすべてのパケットの技術的特徴を調べ、特定のパターンに一致しないパケット、またはブラックリストに登録された特性のリストに一致するパケットをドロップします。
• 動的パケット フィルタリングとしても知られるステートフル パケット インスペクション (SPI) もネットワーク層で動作しますが、個々のパケットの特性を記録するため、複数のパケットに分割された攻撃を特定できます。
• すべてのトラフィックはサーバーに向かう途中で WAF を経由するため、WAF はプロキシ サーバー ファイアウォールです。これはアプリケーション層で動作し、保護されたサーバーの IP アドレスを独自の IP アドレスに置き換えます。