Чем отличается Next-Generation Firewall от Web Application Firewall?

Межсетевые экраны представляют собой важную часть информационной инфраструктуры, которая отслеживает и фильтрует входящий и\или исходящий трафик с целью защиты контролируемой сети от угроз информационной безопасности и предотвращения утечки конфиденциальных данных.

Существует множество различных типов межсетевых экранов, и каждый тип имеет свою функциональность и назначение. В этой статье мы сравним межсетевые экраны веб-приложений (WAF, Web Application Firewall) и межсетевые экраны следующего поколения (NGFW, Next-Generation Firewall), а затем рассмотрим возможность их совместное использование как комплексное решение безопасности.

Что такое WAF?

Межсетевой экран веб-приложений (WAF) — это тип брандмауэра, который анализирует протоколы прикладного уровня HTTP\ HTTPS входящего трафика для защиты веб-приложений. WAF способен обнаруживать вредоносные запросы и отвечать на них до их обработки веб-приложениями и веб-серверами, тем самым обеспечивая дополнительный уровень безопасности сети.

При использовании WAF для защиты веб-приложений администраторы безопасности определяют правила, которые разрешают, блокируют или контролируют веб-запросы на основе определенных критериев. Например, вы можете указать правило, согласно которому вам необходимо блокировать все входящие запросы с определенного IP-адреса или только запросы, содержащие определенные HTTP-заголовки
Благодаря тому, что WAF понимают более высокий уровень сетевого трафика, они способны блокировать атаки веб-приложений. Многие из этих атак тесно связаны со списком OWASP Top 10, самых распространённых уязвимостей веб-приложений, таких как атаки с использованием межсайтовых сценариев (XSS), SQL-инъекции, отказ в обслуживании (DoS), а также утечку учетных данных и т.д.

Брандмауэры веб-приложений используют либо положительную, либо отрицательную модель безопасности, либо гибридную модель, состоящую из обеих. Модель позитивной безопасности позволяет межсетевому экрану фильтровать трафик, сравнивая его с белым списком. Все, чего нет в списке, блокируется. В отрицательной модели будет использоваться черный список, который блокирует только определенные элементы, пропуская все остальные.

Рассмотрим основные возможности WAF.
Межсетевые экраны веб-приложений содержат обширную базу данных сигнатур атак, позволяющую отслеживать заранее определенные классы атак на веб-приложение и его компоненты, тем самым предотвращая и смягчая воздействие ранее изученных сетевых атак.

WAF предотвращает компрометацию пользовательских данных, принимая ответные меры против вредоносных программ, троянов, межсайтовых сценариев (XSS-атакам) и SQL-инъекций, которые могут привести к реализации мошеннических действий или краже данных.

WAF поддерживают профилирование приложений с целью улучшения механизмов обнаружение вторжений. Профилирование веб-приложения включает описание всех элементов и типов обмена в приложении. Это позволяет брандмауэру определить легитимное поведение пользователей, что облегчает выявление возможных аномалий.

Также брандмауэры WAF позволяют обеспечить веб-приложениям соответствие требованиям PCI. Соответствие PCI означает, что информационная система защищена от угроз должным уровнем, и клиенты могут доверять ей свои конфиденциальные данные, такие как платежную информацию или другую информацию о транзакциях.

Наконец, WAF поддерживает централизованное управление, благодаря чему упрощается управление правилами и политиками брандмауэра, а также администратору предоставляется больше информации о безопасности и активности в веб-приложении.

Несмотря, на ряд видимых преимуществ WAF также имеет и недостатки.
Во-первых, WAF не защищает от угроз нулевого дня. Показывая эффективность при работе против известных угроз уровня приложений, большинство WAF, особенно с открытым исходным кодом, не могут защитить веб-приложение от атак такого типа.

Во-вторых, как и прочие межсетевые экраны, работа брандмауэров веб-приложений может привести к ложноположительным и ложноотрицательным результатам — WAF, оценивая пакеты данных по нескольким предопределенным шаблонам, могут давать ложные срабатывания, блокируя законные запросы, либо пропуская нежелательные запросы.

Наконец, у WAF могут быть проблемы с производительностью, поскольку их может быть затруднительно интегрировать с веб-сервером. Более того, большинство WAF неспособны быстро адаптироваться к новым веб-приложениям и не могут адаптироваться к изменениям, вносимым в существующее веб-приложение. Это часто приводит к проблемам с производительностью, увеличению накладных расходов и затрат на обслуживание. Многие эксперты связывают проблемы производительности с невозможностью WAF эффективно противостоять DDoS-атакам веб-приложений.

Сходство и отличие NGFW и WAF

Справедливости ради стоит сказать, что между WAF и NGFW есть некоторое сходство. Оба межсетевых экрана используют правила и механизмы политики для фильтрации входящего трафика и действуют на основе определенных критериев. Также как и NGFW, WAF работает с протоколами прикладного уровня. Брандмауэры веб-приложений и брандмауэры нового поколения призваны тем или иным образом защитить основные пользовательские данные.

Брандмауэры веб-приложений и брандмауэры следующего поколения также схожи в том смысле, что они оба предотвращают прохождение через них неавторизованных пакетов данных, блокируя вредоносные пакеты данных, если они обнаружены через брандмауэр.

WAF и NGFW могут быть представлены как аппаратное, программное (в том числе и как облачное решение) или программно-аппаратное обеспечение или в зависимости от инфраструктуры компании.

Ключевые различия NGFW и WAF заключаются в основных моделях ответственности и местом их эксплуатации. NGFW захватывают больше контекста сетевого трафика, чтобы предотвратить входящие атаки до того, как они достигнут сетевого уровня. Они также могут комбинировать механизмы анализа угроз в процессе принятия решений. WAF, с другой стороны, ограничены уровнем приложений, поэтому они специализируются на предотвращении распространенных веб-атак, таких как XSS и SQL-инъекции. WAF нельзя использовать в качестве основного брандмауэра для защиты сети предприятия, но они идеально подходят для защиты веб-приложений, работающих в Интернете.

Как WAF и NGFW дополняют друг друга?

Учитывая, что WAF предназначены для защиты трафика веб-приложений, они представляют собой идеальный вариант защиты веб-серверов. Однако WAF не являются окончательным решением, когда вопрос касается комплексной безопасности, поэтому лучше всего, если потребитель сможет объединить их с NGFW.

Специалисты предлагают оптимальную комплексную стратегию защиты: WAF настраивается для защиты от атак из списка OWASP Top 10, при этом NGFW функционирует как традиционный сетевой брандмауэр, способный обнаруживать и предотвращать определенные атаки до того, как они достигнут WAF. Используя расширенные возможности NGFW, такие как IPS и моделирование угроз, NGFW могут отфильтровывать огромный процент сторонних атак и оставлять решение остальных вопросов, связанных с веб-приложениями, на WAF.

Таким образом, объединение обоих межсетевых экранов обеспечит потребителю более широкий охват сетевых атак и контролируемых данных, и тем самым повысит сетевую безопасность корпоративной сети.

Кому нужно использовать NGFW и WAF?

Пользователи и организации всех типов могут использовать брандмауэры нового поколения и брандмауэры веб-приложений. Тем не менее, рекомендуем совместное использование NGFW и WAF для следующих направлений.

  1. Девелопмент. Межсетевые экраны выполняют множество функций, находящихся в компетенции разработчиков. Централизованно реализуя политики и правила, брандмауэры освобождают разработчиков от их ручной ручной реализации в каждом приложении, там самым экономя время специалистов и позволяя им переключиться на реализацию целевых проектов. Кроме того, компьютерным компаниям, которые разрабатывают компьютерное оборудование и программное обеспечение, необходимо использовать брандмауэры нового поколения и брандмауэры веб-приложений, чтобы защитить свои ресурсы от хакеров и вредоносного программного обеспечения.
  2. ИТ-сектор. Брандмауэры защищают компьютеры и данные, управляя трафиком сети и веб-приложений. Они дополнительно заблокируют доступ любого нежелательного трафика к базовой инфраструктуре и ресурсам. Поскольку администраторы не способны самостоятельно отслеживать и обнаруживать все вредоносные угрозы и действия, им в помощь рекомендовано использовать NGFW и WAF.
  3. Банки. За последние три десятилетия крупные банки, кредитные организации и другие финансовые учреждения начали использовать межсетевые экраны для борьбы с внешними угрозами в рамках защиты периметра своей сети. Банки также используют NGFW, в частности, для обнаружения, анализа и понимания киберугроз, чтобы при необходимости предложить соответствующие и эффективные ответные меры.
  4. Бухгалтерские фирмы. Бухгалтерские фирмы хранят определенные категории данных, включая конфиденциальную информацию клиентов. В связи с этим, проблемы кибербезопасности и объем защищаемой информации автоматически возрастают. Использование NGFW и WAF гарантирует защиту конфиденциальных данных не только для соблюдения внутренних требований организации, но и для обеспечения безопасности данных клиентов.
  5. Малый бизнес и стартапы. Малый бизнес чаще становится объектом нападения киберпреступников, поскольку не у всех малых предприятий есть необходимые средства для развертывания надежного системы безопасности.
Наши специалисты готовы подобрать для Вас оптимальную интеграцию NGFW с существующим в сети WAF, а предоставить исчерпывающую консультацию для выявления необходимости применения WAF в корпоративной сети.
Как протестировать и где получить консультацию
Если у вас возникли вопросы по функциональности Ideco UTM или вы хотите протестировать наш межсетевой экран, оставьте заявку ниже для получения консультации или доступа к демо-версии.