Сравнение фаерволов для защиты веб-сайтов Web Application Firewall (WAF)

Сравнение фаерволов для защиты веб-сайтов (Web Application Firewall — WAF)

Сравнение фаерволов для защиты веб-сайтов (Web Application Firewall —  WAF)

Сравнение популярных на российском рынке фаерволов для защиты веб-сайтов, чаще именуемых Web Application Firewall (WAF), поможет корпоративным заказчикам выбрать наиболее подходящее для них решение. В сравнении участвуют: Positive Technologies, Barracuda, Citrix, F5, Imperva и Wallarm. Сравнение проведено по 120 критериям, среди которых: режимы работы, отказоустойчивость, производительность, реализация механизмов защиты (блокировка атак, сигнатурный, поведенческий и репутационный анализ, машинное обучение) и т. д.

 

 

  1. Введение
  2. Методология сравнения WAF
  3. Сравнение WAF
    1. 3.1. Общие сведения
    2. 3.2. Архитектура (инфраструктурные требования)
      1. 3.2.1. Режимы работы
      2. 3.2.2. Вид поставки
      3. 3.2.3. Поддержка SSL
      4. 3.2.4. Отказоустойчивость
      5. 3.2.5. Производительность
      6. 3.2.6. Поддержка веб-стандартов (помимо HTTP/HTTPS)
      7. 3.2.7. Прочие
    3. 3.3. Реализация механизмов защиты
      1. 3.3.1. Блокировка атак
      2. 3.3.2. Сигнатурный анализ
      3. 3.3.3. Поведенческий и репутационный анализ
      4. 3.3.4. Формирование эталонной (позитивной) модели безопасности (машинное обучение)
      5. 3.3.5. Защита идентификаторов сессий
      6. 3.3.6. Специальные механизмы защиты (не сигнатурные)
      7. 3.3.7. Защита от DDoS на уровне приложения on premise
      8. 3.3.8. Формирование правил пользователями (пользовательские правила)
      9. 3.3.9. XML Firewall
      10. 3.3.10. Интеграция
    4. 3.4. Обслуживание системы
      1. 3.4.1. Политика безопасности
      2. 3.4.2. Оперативный мониторинг
      3. 3.4.3.Журнал событий безопасности
      4. 3.4.4. Уведомления

 

Введение

На фоне роста популярности интернет-сервисов растет и потребность в защите веб-сайтов от взлома и несанкционированного доступа. Для решения этой задачи на рынке информационной безопасности рекомендуется использовать специальные фаерволы для веб-приложений (Web Application Firewall, WAF). Они способны в автоматическом режиме обнаруживать и блокировать атаки на веб-приложения.

Мы уже не раз рассматривали проблемы защиты веб-приложений и применение WAF, например, в статьях Коробочная безопасность веб-приложений. Внутренности Web Application Firewall и WAF и анализ исходного кода: объединение способов защиты веб-приложений. Кроме того, мы делали подробный Обзор рынка защиты веб-приложений (WAF) в России и в мире, где проанализировали мировой и российский рынки и рассмотрели основных игроков.

В рамках данного исследования  мы постарались сравнить функциональные возможности WAF, наиболее распространенных на отечественном рынке. Надеемся, это поможет потенциальным потребителям определиться с выбором подходящего для них решения.

 

Методология сравнения WAF

Как мы уже не раз отмечали в наших сравнениях, в основе методологии лежит совокупность критериев сравнения. Качество и полнота выбранных критериев всегда определяют глубину анализа продуктов и позволяют отразить особенности продукта на фоне остальных.

При формировании критериев мы старались не просто выбрать те, которые характеризуют функциональность продуктов, но и предоставить их в формате, ориентированном на конечного пользователя. Для удобства мы разделили критерии сравнения на следующие логические группы:

  1. Общие сведения
  2. Архитектура (инфраструктурные требования):
    1. 2.1. Режимы работы
    2. 2.2. Вид поставки
    3. 2.3. Поддержка SSL
    4. 2.4. Отказоустойчивость
    5. 2.5. Производительность
    6. 2.6. Поддержка веб-стандартов (помимо HTTP/HTTPS)
    7. 2.7. Прочие
  1. Реализация механизмов защиты:
    1. 3.1. Блокировка атак
    2. 3.2. Сигнатурный анализ
    3. 3.3. Поведенческий и репутационный анализ
    4. 3.4. Формирование эталонной (позитивной) модели безопасности (машинное обучение)
    5. 3.5. Защита идентификаторов сессий
    6. 3.6. Специальные механизмы защиты (не сигнатурные)
    7. 3.7. Защита от DDoS на уровне приложения on premise
    8. 3.8. Формирование правил пользователями (пользовательские правила)
    9. 3.9. XML Firewall
    10. 3.10. Интеграция
  1. Обслуживание системы:
    1. 4.1. Политика безопасности
    2. 4.2. Оперативный мониторинг
    3. 4.3. Журнал событий безопасности
    4. 4.4. Уведомления

Для сравнения мы остановили свой выбор на наиболее популярных на российском рынке отечественных и зарубежных WAF. В итоге было отобрано шесть продуктов:

  1. Российские продукты:
    1. 1.1. PT Application Firewall (Positive Technologies)
    2. 1.2. Wallarm (доступен также в составе InfoWatch Attack Killer и услуг Qrator Labs)
  1. Зарубежные продукты:
    1. 2.1. Barracuda Web Application Firewall
    2. 2.2. Citrix NetScaler AppFirewall
    3. 2.3. F5 BIG-IP Application Security Manager
    4. 2.4. Imperva SecureSphere Web Application Firewall

Хотелось бы отметить, что представители всех указанных производителей принимали непосредственное участие в формировании перечня критериев, в сборе сведений о продуктах и подготовке данного материала.

Готовя это сравнение, мы не ставили целью назвать лучших, мы констатировали факты о продуктах в соответствии с критериями сравнения. А соответствующие выводы о выборе наиболее подходящего под потребности и возможности конечного потребителя может сделать только сам потребитель.

 

Сравнение WAF

Общие сведения

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
Компания-вендор Imperva Positive Technologies F5 Networks Wallarm Citrix Barracuda Networks
Целевой сегмент Государственный сектор
Крупный и средний бизнес
Государственный сектор
Крупный и средний бизнес
Государственный сектор
Крупный и средний бизнес
Интернет-компании
Крупный, средний и малый бизнес
Государственный сектор
Государственный сектор
Крупный и средний бизнес
Государственный сектор
Крупный и средний бизнес
Штаб-квартира CША (Калифорния) и Израиль Россия (Москва) США (Вашингтон) США (Калифорния) США (Флорида) США (Калифорния)
Веб-сайт  imperva.com ptsecurity.com f5.com wallarm.com citrix.com barracuda.com
Cертификаты (РФ) ФСТЭК: сертификат №3607 (16.08.2016-16.08.2019) средство Imperva SecureSphere version 10 (в состав ПАК входит в том числе Web Application Firewall)

 Сертификат ФСТЭК №3455 (27.10.2015 — 27.10.2018)

Сертификат МО РФ №2619 от 21 июля 2017

Сертификат соответствия Республики Беларусь №0064400 

Нет Решение находится на сертификации в рамках продукта InfoWatch Attack Killer Нет Нет
Сравниваемые версии Imperva SecureSphere Web Application Firewall

Сертификат указан для Imperva SecureSphere version 10
Positive Technologies Application Firewall BIG-IP Application Security Manager Wallarm Citrix NetScaler AppFirewall Barracuda Web Application Firewall
Языки интерфейса Английский Русский, Английский Английский Русский, Английский Английский Русский, Английский
Крупнейшее из известных внедрений в России (только со ссылкой на пресс-релиз) Нет публичных сведений Мегафон Нет публичных сведений QIWI Нет публичных сведений Нет  данных
Наличие исследовательского центра в России Нет PT Research Center R&D офис в Томске закрыт. Штат офиса переведен в США в офисы Сан-Хосе, Сиэтл и Белвью lab.onsec.ru lab.wallarm.com Нет Нет
Учебные курсы Курсы вендора.
Курсы в НТЦ "Учебный центр"

Курсы вендора.
Курсы в ТНЦ "Учебный центр"
Образовательная програма для ВУЗов "Positive education" (более 130 ВУЗов)

Курсы в F5 University
Курсы COMPTEK
Курсы вендора. Учебные выездые программы для технологических компаний Курсы в УЦ Softline
Курсы в УЦ "Звезды и С"
Курсы от вендора Barracuda Networks, Кусры в УЦ "Софтпром"

Архитектура (инфраструктурные требования)

Режимы работы

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
Сниффер (Sniffer) Да, Non-inline sniffer Да, режим мониторинга  Нет Да, в режиме мониторинга (raw tcp reader) Нет Нет
Мост (Bridge) Да, Transparent Bridge (Layer 2)  with Fail-Open (Hardware Bypass) Да Да Нет Да (Layer 2)  Да, Bridge Path
Прозрачный прокси-сервер (Transparent proxy) Да Да Нет Нет Да Да, One-Arm Proxy
Обратный прокс- сервер (Reverse Proxy) Да Да Да Да Да Да, Full Reverse Proxy
Ретроспективный анализ (анализ логов/записей трафика) Нет Да, автономный режим Нет Да, режим мониторинга Нет Нет

 

Вид поставки

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
В виде виртуальной машины Да Да Да Да Да Да
В виде аппаратного комплекса Да Да, также возможна поставка на базе партнерских аппаратных решений Cisco и Array networks  Да, аппаратная платформа BIG-IP (доступна в виде блейдовых шасси VIPRION) Да. В составе InfoWatch Attack Killer Да Да
В виде облачного сервиса  Amazon Web Services, Microsoft Azure  Microsoft Azure  Microsoft Azure  Amazon Web Services (доступен в MarketPlace),
Google Cloud Engine (GCE), Microsoft Azure и в составе Qrator
Amazon Web Services и Microsoft Azure Amazon Web Services, Microsoft Azure и VMware vCloud Air

 

Поддержка SSL

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
Терминация SSL Да Да Да Да Да Да
Детерминация (анализ трафика SSL без терминации) Да Да Нет Нет, также исключается для всех остальных производителей механизмом perfect key secrecy Нет Да
Пассивное расшифрование SSL Да Да Да Да Да Да
Поддержка сессий, установленных на клиентских сертификатах Да Да Да Да Да Да
Наличие аппаратных модулей, ускоряющих обработку SSL Да Да Да Нет Да Поддержка аппаратного шифрования

 

Отказоустойчивость

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
Поддержка Active-Active кластеризации  Да Да Да Да Да Да
Поддержка Active-Passive кластеризации Да Да Да Да Да Да

 

Производительность

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
Максимальная поддерживаемая загрузка пропускного канала (пропускная способность)  младшей модели Для аппаратной платформы:
100 Mbps  — Модель X1010

Для виртуальной машины:
до 100 Mbps — Модель V1000

Для Amazon Web Services:
до 100 Mbps — Модель AV1000

Для Microsoft Azure:
до 100 Mbps — Модель MV1000 
Для аппаратной платформы:
1Gbps  – Модель CH10-N1


Для виртуальной машины:
100Mbps  – Модель PTAF-V1K
Для аппаратной платформы:
5 Gbps (L4/L7)  — Модели 2200s и 2000s

Для блейдового шасси VIPRION:
40/18 Gbps (L4/L7) — Модель VIPRION 2150/2100 Blade

Для виртуальной машины:
25 Mbps (L4) — Licensed VE (Starting)
10 Gbps  (L4) — Licensed VE (Maximum)
Определяется моделями, в составе которых используется продукт NetScaler AppFirewall Model:
500Mbps — Модель MPX 5550

NetScaler Platform:
16Gbps — Модель MPX/SDX 14030
Для аппаратного комплекса:
25Mbps — Модель 360

Для виртуальной машины:
25Mbps — Модель 360Vx
Максимальная поддерживаемая загрузка пропускного канала (пропускная способность)  старшей модели Для аппаратной платформы:
10 Gbps  — Модель X10K

Для виртуальной машины:
до 1 Gbps — Модель V4500

Для Amazon Web Services:
до 500 Mbps — Модель AV2500

Для Microsoft Azure:
до 500 Mbps — Модель MV2500 
Для аппаратной платформы:
10Gbps  – Модель CH305-N2

Для виртуальной машины:
1Gbps – Модель PTAF-V10K
Для аппаратной платформы:
84 Gbps (L4)/40 Gbps(L7)  — Модель 12250v
160 Gbps (L4)/80 Gbps(L7)  — Модель i10800

Для блейдового шасси VIPRION:
140 Gbps (L4/L7) — Модель VIPRION 4450 Blade

Для виртуальной машины:
40 Gbps (L4) — High Performance VE
Определяется моделями, в составе которых используется продукт (максимальные значения, для которых проводилось тестирование,  — это средняя нагрузка в 10 Gbps) NetScaler AppFirewall Model:
20Gbps  — Модель MPX 11540

NetScaler Platform:
44Gbps — Модель MPX/SDX 25160-40G
Для аппаратного комплекса:
5Gbps — Модель 960

Для виртуальной машины:
4Gbps — Модель 660Vx
Максимальное поддерживаемое количество TPS/RPS младшей модели Для аппаратной платформы :
440 (RSA/Sec (2048bit))  — Модель X1010
Для аппаратной платформы:
1000RPS  – Модель CH10-N1

Для виртуальной машины:
1000RPS — Модель PTAF-V1K
Для аппаратной платформы (SSL/TLS транзакций в секунду):
4000TPS  — Модели 2200s и 2000s

Для блейдового шасси VIPRION (SSL транзакций в секунду):
10000TPS — Модель VIPRION 2150/2100 Blade

Для виртуальной машины  (SSL транзакций в секунду):
900/1200TPS  (RSA/ECC) — Licensed VE (Starting)
3800/20000TPS  (RSA/ECC) — Licensed VE (Maximum)
Определяется моделями, в составе которых используется продукт, например:

135000RPS — для узла на базе Intel Xeon E5-2687W v4 3.0Ghz (36 CPU Cores, 32 Gbyte RAM, 2x10Gbit/sec NIC)

10500RPS — для узла на базе AWS m4.xlarge (4vCPU, 16 Gbyte RAM)

135000RPS — для узла на базе AWS c3.8xlarge (32 vCPU, 60 Gbyte RAM)
NetScaler AppFirewall Model (SSL транзакций в секунду):
1500TPS — Модель MPX 5550


NetScaler Platform:
30000TPS  — Модель MPX/SDX 14030
Для аппаратного комплекса:
HTTP-8000TPS, а SSL-2500TPS  — Модель 360
Максимальное поддерживаемое количество TPS/RPS старшей модели Для аппаратной платформы :
72000TPS и 9000 (RSA/Sec (2048bit))  — Модель X10K
Для аппаратной платформы:
100000RPS – Модель CH305-N2

Для виртуальной машины:
10000RPS – Модель PTAF-V10K
Для аппаратной платформы (SSL/TLS транзакций в секунду): 
240000TPS  —  Модель 12250v
48000/84000TPS (ECC/RSA)  — Модель i10800

Для блейдового шасси VIPRION (SSL транзакций в секунду):
160000TPS — Модель VIPRION 4450 Blade

Для виртуальной машины (SSL транзакций в секунду):
9700TPS  (RSA) — High Performance VE
Определяется моделями, в составе которых используется продукт, например:

135000RPS — для узла на базе Intel Xeon E5-2687W v4 3.0Ghz (36 CPU Cores, 32 Gbyte RAM, 2x10Gbit/sec NIC)

10500RPS — для узла на базе AWS m4.xlarge (4vCPU, 16 Gbyte RAM)

135000RPS — для узла на базе AWS c3.8xlarge (32 vCPU, 60 Gbyte RAM)
NetScaler AppFirewall Model (SSL транзакций в секунду):
546000TPS — Модель MPX 22120

NetScaler Platform:
43000TPS — Модель MPX/SDX 25100-40G
Для аппаратного комплекса:
HTTP-180000TPS, а SSL-50000TPS — Модель 960

 

Поддержка веб-стандартов (помимо HTTP/HTTPS)

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
Поддержка WebSockets Да Да Да Да Да Да
Поддержка XML Да Да Да Да Да Да
Поддержка JSON Да Да Да Да Да Да

 

Прочие

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
Поддержка VLAN-интерфейсов Да, для протоколов STP и RSTP Да Да Да Да Да
Поддержка балансировки нагрузки между защищаемыми веб-приложениями Да Да Да Да Да Да
Поддержка возможности поставки MSSP-провайдером  Да Да Да Да Да Да
Поддержка Multitenancy Нет Нет Да Да, в том числе для задач Service Providers Да Нет

Реализация механизмов защиты

Блокировка атак

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
Блокировка отдельного запроса Да Да Да Да Да Да
Возможность временной блокировки запросов от источника  Да Да Да (по геолокации, по IP-адресам)  Да (по IP-адресам) Да (по доменному имени, по IP-адресам, по геолокации) Да
Реакция при блокировке Блокирование IP-адреса атакующего, Блокировка HTTP запроса/ответа, Сброс соединения (TCP Reset) Блокирование IP-адреса атакующего, Блокировка HTTP запроса/ответа, Сброс соединения (TCP Reset), Санирование "боевой" нагрузки (payload sanitizer) Блокирование IP-адреса атакующего Блокирование запроса (или IP-адреса), проверка уязвимости Блокирование неразрешенного трафика Перехват сессии. Сброс TCP-соединения
Информирование пользователя с указанием уникального идентификатора запроса в случае блокировки  Да (landing page) Да (отправка информационного сообщения на заблокированный запрос)  Да (специально сгенерированная страница с необходимой информацией для обращения в службу поддержки) Да (формирование страницы,возвращаемой клиенту при блокировке запроса Да (Error Page) Да (Custom Response Page)

 

Сигнатурный анализ

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
Наличие собственного иследовательского центра  Да. Центр Защиты Приложений Imperva (Application Defense Center, ADC) Да, Positive Research Да, F5 Security Research Team Да Нет Barracuda Labs, охватывает широкую сеть из 150000 сенсоров по всему миру
Текущее количество сигнатур Более 8000 сигнатур Более 200 сигнатур Более 2300 сигнатур Основной подход к обнаружению вредоносного трафика не использует сигнатуры Более 1300 сигнатур Нет данных

 

Поведенческий и репутационный анализ

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
Наличие предустановленных правил корреляции детектирования атак Да Да Да Да (правила безопасности приложения, формируются в облаке Wallarm) Да Да (Pre-Built Security Templates)
Наличие репутационных баз (IP, URL) Да Да (создание черных и белых списков
и интеграция с крупнейшими сервисами репутаций — (включает в себя адреса VPN сервисов, Анонимайзеров, Tor-узлов, участников ботнетов и фишинговых доменов))
 Да (F5 IP Intelligence) Да, механизм управления черными списками в интерфейсе и интеграция с поставщиками данных Да (Встроенный IP Reputation Service) Да (Barracuda IP Reputation Database)
Категоризация по типу активности (типу атаки) вредоносных хостов Да Да Да Да Да Да
Наличие возможности корреляции доступных методов обнаружения между собой (сигнатурный анализ, правило корреляции, репутационный анализ, поведенческий анализ, отклонение от профиля и т. д.) Да Да Да Да Да Да
Обнаружение ботов на основе значений полей запроса (например, поля User Agent или других полей запроса) Да Да Да Да (поведенческие схемы fingerprinting) Да Да (Heuristic Fingerprinting)
Обнаружение ботов на основе последовательности переходов по ресурсам веб-приложения Да Да Да Да Да Да
Обнаружение ботов с помощью внедряемого Javascript-кода (включая обнаружение использования инструментов автоматизации (например, Burp, Acunetix, Fiddler)) Да Да Да Да (поведенческие схемы fingerprinting) Да Да
Обнаружение и защита от атак полного перебора на учетные данные пользователей (Brute Force Login) Да Да (технология отслеживания клиента —  User Tracking PT Application Firewall) Да (Application Security Manager) Да (для приложений и мобильных API, на основе поведения пользователей, без использования CAPTCHA) Да Да (ограничение максимального количества попыток доступа в течение определенного временного интервала и использование CAPTCHA)

 

Формирование эталонной (позитивной) модели безопасности (машинное обучение)

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
Создание эталонной (позитивной) модели безопасности Формирование политик осуществляется благодаря классификации правил и наличию детальных сигнатур (разбиение на такие классы, как правила межсетевого экранирования, создания сигнатур и обработки нарушений протоколов)

Построение политики происходит за счет декомпозиции траффика защищаемых веб-приложений до составных частей (HTTP) запроса и построение для их значений вероятностных формул на базе скрытых моделей Маркова (Hidden Markov Model (HMM)). Построенные формулы применяются для поиска аномалий.

Применение модуля построителя политик, автоматизирующего создание и настройку политик. Данный модуль автоматически создает и постепенно уточняет политики безопасности на основании данных о нарушениях безопасности, расширенной статистики и эвристики Формирование правил безопасности для конкретного приложения на основе запросов пользователей и ответов приложения на них. Правила безопасности обновляются в облаке и каждые 15 минут, передаются узлу Wallarm Формирование гибридной модели безопасности, включающей позитивную и негативную модели Применение шаблонов политик безопасности (Security Templates)
Поддержка автоматизированного динамического профилирования WEB-приложений Да Да Да (модуль построителя политик) Да (облако Wallarm формирует профиль приложения на базе метрик, поступающих от фильтрующего узла) Да (применение белых и черных списков) Да
Автоматическое переключение созданной эталонной (позитивной) модели безопасности в режим блокировки Да Да Да Да Да Да
Адаптация WAF к изменяемому приложению Обеспечивается возможность изменения профиля web-приложений, созданного в режиме «обучения» (включая настройку профиля Web-приложений вручном режиме) Анализируется интенсивность появления аномалий от каждой HMM-модели относительно всех текущих клиентов web-приложения. На основании выявления аномалий (вызванных изменением логики работы приложения) инициируется процесс выборочного переобучения Применяется технология, позволяющая динамически адаптировать политики Существует возможность использования маркеров для  разметки HTTP/HTTPS-пакетов, позволяющая, например:
— инициировать поиск уязвимостей во вновь добавленных компонентах web-приложения/API;
—  обновлять профиль приложения для внедрения новые функции web-приложения/API
Формируется профиль защиты веб-приложений, который по умолчанию защищает от наиболее распространенных опасных угроз. В рамках работы данный профиль постепенно корректируется/наполняется Существует возможность конфигурации профиля вручную. Возможность изменения профиля, созданного в режиме «обучения»
Ручной интерфейс управления эталонной (позитивной) моделью безопасности Да Да Да Да, упрощен до ручного указания ложных срабатываний Да Да

 

Защита идентификаторов сессий

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
Подпись Cookies Да Да Да Поведенческий подход к анализу трафика исключает внедрение в ответы сервера каких-либо данных со стороны WAF, включая изменение cookie для предотвращения появления артефактов в логике работы защищаемого приложения Да Да
Шифрование Cookies Да Нет Да Поведенческий подход к анализу трафика исключает внедрение в ответы сервера каких-либо данных со стороны WAF, включая изменение cookie для предотвращения появления артефактов в логике работы защищаемого приложения Да Да
Разграничение доступа к ресурсам на основе имени пользователя Да Да Да Поведенческий подход к анализу трафика исключает внедрение в ответы сервера каких-либо данных со стороны waf, включая изменение cookie для предотвращения появления артефактов в логике работы защищаемого приложения Да Да (гибкая настройка для каждого веб-ресурса)
Определение смены геолокации или IP-адреса у сессии Да Да Да Поведенческий подход к анализу трафика исключает внедрение в ответы сервера каких-либо данных со стороны WAF, включая изменение cookie для предотвращения появления артефактов в логике работы защищаемого приложения Да Да

 

Специальные механизмы защиты (не сигнатурные)

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
Защита от SQL Injection Да Да Да Да Да Да
Защита от XSS Да Да Да Да Да Да
Защита от DOM-based XSS Да Да Да Да Да Да
Защита от Information Leakage Да (защита от сбора технической информации о web-приложении) Да Да Да (с включенным пассивным сканером уязвимостей) Да Да
Защита от CSRF Да Да Да Да, средствами проверки заголовков origin Да Да
Защита от Open Redirect Да Да Да Да Да Нет
Защита от Clickjacking Да (защита от атак, направленных на изменение сессионных параметров) Да Да Да, средствами виртуального патча на заголовок XFO Да Да
Защита от изменения скрытых параметров формы (read-only(hidden) parameters) Да Да Да Поведенческий подход к анализу трафика исключает внедрение в ответы сервера каких-либо данных со стороны WAF, включая изменение данных форм для предотвращения появления артефактов в логике работы защищаемого приложения Да Да
Защита от Path Traversal (Directory Traversal) Да Да Да Да Да Да
Защита от Web Shell Да Да Да Да Да Да
Защита от HTTP Response Splitting Да Да Да Да Да Нет
Защита от Local File Inclusion Да Да Да Да Нет Да
Защита от OS Command Да Да Да Да Нет Да
Защита от Remote Code execution  Да Да Да Да Да Да
Защита от Server-Side Request Forgery Нет Да Нет Да Нет Нет
Проверка HTTP-транзакций на соответствие RFC и лучшим практикам контроля (Ограничение разрешенных методов, контент типов, строк запроса, заголовков, ограничение их длин, количества) Да Да (применение механизмов нормализации данных и заголовков HTTP-запросов) Да  Да (ограничение времени обработки одного запроса)  Да (проверка структуры и параметров HTTP/HTML-заголовка, синтаксический и семантический анализ HTML) Да (проверка ограничений протокола (Protocol limit checks), анализ параметров форм, анализ параметров URL)
Автоформирование и внедрение Content Security Policy Да Да Да Да Да Нет

 

Защита от DDoS на уровне приложения on premise

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
Принципы определения L7 DDoS-атаки Автоматизированное динамическое профилирование web-приложений. Корреляция различных методов обнаружения атак (сигнатурный анализ, репутационный анализ, поведенческий анализ, отклонение от профиля ) Изучение информации о характеристиках сетевого взаимодействия всех клиентов защищаемого веб-приложения и обнаружение клиентов, создающих аномальную загрузку. Обнаружение осуществляется по набору показателей (частота запросов, время ответа, коды ответа, уникальность запросов, величина запроса и т. д.) Применнение форензики (forensic analysis).
При активации BIG-IP ASM фиксирует и сохраняет уникальные характеристики и атрибуты пользователя и устройства
Обнаруживаются два типа атак: логические бомбы и поведенческие атаки. Обнаружение поведенческих атак основано на поиске аномалий относительно стандартной модели использования приложения Проверка HTTP/HTML-заголовка. Синтаксический и семантический анализ HTML Применене:
— Barracuda IP Reputation Database
— Heuristic Fingerprinting
— CAPTCHA challenges
— Slow Client protection
— Geo IP
—  Anonymous Proxy
—  ToR exit nodes
— Barracuda Blacklist
Принципы реагирования на L7 DDoS-атаки Замедление или блокирование атакующего. Блокирование отдельных HTTP запросов, соединений, сессий, IP-адресов Временная блокировка по IP-адресам Блокирование IP-адреса Блокировка запроса (блокировка IP-адреса) Блокировка трафика Блокирование, подавление, перенаправление

 

Формирование правил пользователями (пользовательские правила)

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
Наличие возможности создания правил обнаружения запросов и ответов на основе задаваемого набора критериев (например: метод, URL, значение параметра, заголовок) и регулярных выражений  Да Да (механизм Rule Engine) Да (Unified learning and policy builder) Да (тонкая настройка фильтрации и проксирования) Да Да
Наличие возможности направления предварительно заданного ответа при срабатывании правила  Да (landing page) Да (отправка информационного сообщения на заблокированный запрос)  Да (специально сгенерированная страница с необходимой информацией для обращения в службу поддержки) Да (формирование страницы,возвращаемой клиенту при блокировке запроса) Да (Error Page) Да (Custom Response Page)

 

XML Firewall

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
Построение позитивной модели безопасности для контента XML-документа Да (применение профилей XML/SOAP) Да Да Да Да Да
Валидация XML-документа по XSD/WSLD-схемам Да Да Да Автоматическая генерация применимой схемы на основе анализа трафика Да Да
Защита от атаки XXE Нет Да Да Да Да Нет
Защита от атаки XML Bomb Нет Да Да Да Да Да

 

Интеграция

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
Сканеры уязвимостей / Анализаторы исходного кода (SAST, DAST,IAST Scanner) WhiteHat, IBM, Cenzic, NT OBJECTives, HP, Qualys, Beyond Security PT Application Inspector, PT AF P-code Возможность интеграции со сканерами WhiteHat, IBM и QualysGuard Wallarm включает в себя Wallarm DAST Scanner и Wallarm Active Threat Verification. Интеграция с InfoWatch Appercut HPE Security WebInspect Barracuda Vulnerability Manager, Cenzic Hailstorm, HPE Security WebInspect , HPE Security Fortify On Demand , IBM AppScan, ThreadFix
Системы контроля БД (Database Activity Monitoring / Database Firewall)  Imperva SecureSphere Database Activity Monitoring, Imperva SecureSphere Database Firewall Нет Oracle Database firewall Нет NetScaler DataStream Нет
Антивирусы FireEye, Proofpoint Threat Response PT Application Firewall обладает встроенным антивирусом для проверки загружаемых файлов, дополнительно может быть поставлен модуль многоядерной антивирусной проверки PT MultiScanner или быть интегрирован с любым другим продуктом, поддерживающим протокол ICAP Возможна интеграция со сторонними продуктами данного класса с помощью протокола ICAP Возможна интеграция со сторонними продуктами данного класса с помощью протокола ICAP Возможна интеграция со сторонними продуктами данного класса с помощью метода HTTP Callout Barracuda WAF обладает встроенным проприетарным антивирусом, возможно также дополнительно подключить Barracuda Advanced Threat Protection (BATP) (песочницу) для блокирования 0-hour-угроз
Системы управления событиями безопасности (SIEM Solutions) HPE ArcSight, RSA enVision,  Splunk, IBM Qradar, EventTracker SIEM, SolarWind SIEM LEM, PT SIEM, HPE ArcSight, IBM Qradar, Splunk IBM Qradar, HPE ArcSight Со всеми продуктами через CEF/syslog или API. В том числе HPE ArcSight, IBM Qradar, PT SIEM, Splunk Любые SIEM-системы, работающие с CEF HPE ArcSight, RSA enVision, Splunk, Symantec, Microsoft Azure Event Hub
Системы противодействия мошенничеству (Anti-fraud solutions)  ThreatMetrix Cybercrime Defender Platform Group IB Bot-Trek Secure Bank, Group IB Bot-Trek Secure Portal F5 Web Fraud Protection, BIG-IP AFM и BIG-IP® DNS Возможна интеграция со сторонними продуктами данного класса с помощью Wallarm API Возможна интеграция со сторонними продуктами данного класса с помощью метода HTTP Callout SOC Prime
Системы предовтращения утечек информации (DLP Solutions) Imperva SecureSphere File Activity Monitoring PT Application Firewall обладает встроенным механизмом обнаружения утечек информации и может быть интегрирован с любым другим продуктом, поддерживающим протокол ICAP.

Zecurion Zgate
Symantec DLP Пассивное обнаружение возможных утечек Websense Data Security Gateway

Trend Micro InterScan Web Security
Data Theft Protection, включенный в Barracuda WAF
Системы Threat Intelligence (Threat Intelligence feed service) Imperva Threat Radar Kaspersky Security Intelligence Services F5 Silverline Threat Intelligence Wallarm Threat Intelligence Trend Micro Threat Intelligence

Webroot BrightCloud IP Reputation Service

Zscaler's Secure Web Gateway 
Barracuda Advanced Threat Protection (BATP) 
Межсетевые экраны нового поколения (NG Firewalls) Нет Check Point NGFW Palo Alto Networks NGFW Возможна интеграция со сторонними продуктами данного класса с помощью  API/SNMP traps/syslog Нет Barracuda NextGen Firewall
Системы защиты от DDoS-атак облачной инфраструктуры (Cloud DDoS Protection) Imperva Incapsula Qrator F5 Silverline cloud-based Platform Qrator WebRoot Forcepoint CASB
On premise-cистемы защиты от DDoS атак (On premise DDoS Protection solution) Нет. Есть API, но без открытой информации по интеграции Arbor Peakflow Реализация DDoS-resistent architecture путем интеграции с модулями LTM, AFM, GTM Дополнительная интеграция не требуется Нет Internal DDoS protection service 
Репутационные сервисы ThreatRadar — механизм репутационной защиты web- приложений Kaspersky Security Intelligence Services F5 Silverline cloud-based Platform, Webroot IP Reputation Service Wallarm Threat Intelligence Webroot BrightCloud IP Reputation Service Barracuda IP Reputation Database
Другие продукты и сервисы WAF Testing Framework Интеграция с системой управления программно-определяемой сети CISCO ACI через открытый REST API ImmuniWeb, iRules, iControl REST, BIG IQ Infowatch Attack Killer, Mashape API Gateway, Tyk API Gateway, NGENIX CDN, CDNVideo, Selectel, Dataline cloud ADC Citrix NetScaler Нет данных

Обслуживание системы

Политика безопасности

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
Блокирование опционально для каждого правила политики безопасности Да Да Да Да Да Да
Доступность шаблонов политик безопасности для распространенных веб-приложений Нет Wordpress, SAP Net Weaver, Vmware Vsphere Web Client,  Drupal, Joomla  Microsoft Outlook Web Access, Lotus Domino Mail Server, Oracle E-Business Financials и Microsoft Office SharePoint Решение не нуждается в шаблонах политик безопасности для распространенных web-приложений, т. к. не использует сигнатурный подход Профиль защиты веб-приложений по умолчанию защищает от наиболее распространенных опасных угроз.
Применяется ряд шаблонов на основе Netscaler MAS для конфигурации наиболее часто используемых приложений (Stylebooks)
 В комплект поставки входят стандартные шаблоны приложений, включая Exchange, SharePoint, Oracle Financials, PHP и др.
Наличие возможности применения нескольких политик безопасности для приложения Да Да Да Да (для приложений применяются правила двух видов: глобальные правила и правила безопасности, сформированные для конкретного приложения) Да (к каждому приложению могут применяться индивидуальные политики безопасности) Да (назначение разных профилей разным веб-ресурсам)
Наличие мастера по настройке политики безопасности (первичная настройка и оптимизация) Да Да Да Да  Да (интерфейс командной строки или конфигурационной утилиты)  Да
Наличие возможности создания исключений для правил политики безопасности  Да  Да Да  Да  Да  Да

 

Оперативный мониторинг

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
Наличие гибкой фильтрации записей журнала безопасности по заданным критериям Да (фильтрация данных по IP-адресам, типам атак/инцидентов, web-приложениям, дате и времени) Да (каждое событие безопасности содержит от 100 и более различных полей, доступных для комбинирования поискового запроса) Да Да (доступные фильтры размещены над табличным представлением, любой поисковый запрос или комбинацию фильтров можно сохранить как шаблон) Да (в рамках GUI и при использовании NetScaler Management & Analytics System) Да
Возможность ручной агрегации записей журнала безопасности по типу атаки, имени параметра, URL, IP-адресу Да Да Да Да Да (при использовании NetScaler Management & Analytics System) Да
Автоматическая агрегация событий с интенсивным характером: сканирования, брутфорс, спам, краулинг Да Да Да Да Да Да
Верификация атаки с использованием встроенного динамического сканера Нет Да (сканер уязвимостей PT Web Engine) Да (сканер уязвимостей WhiteHat Sentinel Scanner) Да (сканер уязвимостей Wallarm) Да Да (сканер уязвимостей Barracuda Vulnerability Remediation Service)
Верификация атаки на основе поиска следов компрометации в HTTP-транзакции Да, Web Correlation Engine Да Да Да Да Нет
Наличие возможности настройки отчетности для получения сводной информации по событиям безопасности Да. Доступны
интегрированные графические представления,
дашборд с отображением сведений в реальном времени,
возможность экспорта отчетов в форматах Word, PDF, HTML, CSV
 Да Да.  Доступен механизм создания отчетов, позволяющий сохранять отчет в файл или отправлять по электронной почте.
BIG-IP ASM также предлагает предопределенные и настраиваемые дашборды, диаграммы, отчеты и статистику
Да. Периодичность отчетов и нотификаций настраивается для каждого отдельного пользователя Да. Доступен центр управления (Comand Center). Настройка отчетов производится посредством конфигурирования политик аудита — позволяя создавать диаграммы и предоставляя встроенные отчеты о генерируемых нарушениях Да. Доступны предустановленные наборы шаблонов отчетов. Вид и наполнение журнала можно конфигурировать.
Поддерживаются промышленные форматы файлов при выгрузке
Наличие интерфейса с информацией о сетевой загрузке WAF Да Да Да Да. Коннекторы для подключения популярных систем мониторинга Да Да
Наличие интерфейса с информацией о загрузке вычислительных и дисковых ресурсов WAF Да Да Да Да. Коннекторы для подключения популярных систем мониторинга Да Да

 

Журнал событий безопасности

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
Хранение событий опционально для каждого правила политики безопасности  Да. Существует возможность настройки политики хранения логов (срок, размер журнала). Каждая транзакция имеет ID и указана в журнале Да Да. Данные хранятся в соответсвии с сформированными профилями в каталоге  "/var/log/asm" Да, настройка журнала событий и выгрузка по различным критериям, включая правила политики безопасности Да Да
Зафиксированные события содержат запрос в полном объеме (целиком) Да Да Да Да Да Да
Зафиксированные события содержат ответ на запрос Да Да Да Да, для инцидентов Да Да
Зафиксированные события содержат описание сработавшего правила политики безопасности Да Да Да Да Да (Security Insight) Да
Наличие возможности экспорта и импорта журнала событий безопасности в полном объеме Экспорт возможен в виде отчетов, импорт невозможен Да Да Да Да Да (экспорт журнала в сторонние аналитические решения через Syslog и FTP)
Маскирование в фиксируемом событии безопасности конфиденциальных данных Да Да Да Да Да Да
Наличие ограничений на хранение событий безопасности Существует возможность настройки политики хранения логов (срок, размер журнала) Хранение событий ограничено только поставляемым дисковым пространством, при этом работает механизм ротации событий, не дающий переполниться базе Локальное хранение событий ограничено 3 миллионами записей и размером базы данных 2 Gb. Используется механизм ротации логов. Существует возможность настройки удаленного хранения логов с использованием транспорта на основе TCP или UDP. Используется несколько различных форматов данных (CSV, Key-Value Pairs, CEF, BIG-IQ CM) События хранятся в облачном сервисе. Ограничения лимитированы только тарифным планом. В случае StandAlone (локальной установки) ограничения устанавливаются отдельно Существует возможность настройки политики хранения логов (срок, размер журнала) Нет, все зависит от дискового пространства

 

Уведомления

Параметр сравнения Imperva SecureSphere WAF PT Application Firewall F5 BIG-IP ASM Wallarm Citrix NetScaler AppFirewall Barracuda WAF
Поддержка e-mail-уведомлений Да Да Да Да Да Да
Поддержка Syslog-уведомлений Да Да Да Да Да Да
Поддержка SNMP-уведомлений Да Да Да Да, средствами snmp traps Да Да

 

В приведенном сравнении фаерволов для веб-приложений мы не делали их итогового ранжирования, надеясь, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какой из рассмотренных продуктоы наиболее подходит для его целей. Ведь в каждом конкретном случае заказчик сам определяет требования к функциональным возможностям WAF, а значит, сможет сделать из сравнения правильный именно для него вывод.
 
Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:

Эльдар Бейбутов, консультант, Positive Technologies

Денис Колегов, руководитель группы исследований технологий защиты приложений, Positive Technologies

Суховей Андрей Анатольевич, независимый эксперт по информационной безопасности

Бубнов Михаил, директор по развитию продуктов, Attack Killer

Денис Куликов, директор по развитию бизнеса, Wallarm

Илья Четвертнев, заместитель технического директора, Информзащита

Анатолий Ромашев, руководитель отдела безопасности прикладных систем, Информзащита

Сергей Халяпин, главный инженер представительства Citrix в России и странах СНГ

Михаил Соболев, системный инженер Citrix в России и странах СНГ

Сергей Бартко, инженер по информационной безопасности, Softprom by ERC

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru