...
Сравнение популярных на российском рынке фаерволов для защиты веб-сайтов, чаще именуемых Web Application Firewall (WAF), поможет корпоративным заказчикам выбрать наиболее подходящее для них решение. В сравнении участвуют: Positive Technologies, Barracuda, Citrix, F5, Imperva и Wallarm. Сравнение проведено по 120 критериям, среди которых: режимы работы, отказоустойчивость, производительность, реализация механизмов защиты (блокировка атак, сигнатурный, поведенческий и репутационный анализ, машинное обучение) и т. д.
- Введение
- Методология сравнения WAF
- Сравнение WAF
- 3.1. Общие сведения
- 3.2. Архитектура (инфраструктурные требования)
- 3.2.1. Режимы работы
- 3.2.2. Вид поставки
- 3.2.3. Поддержка SSL
- 3.2.4. Отказоустойчивость
- 3.2.5. Производительность
- 3.2.6. Поддержка веб-стандартов (помимо HTTP/HTTPS)
- 3.2.7. Прочие
- 3.3. Реализация механизмов защиты
- 3.3.1. Блокировка атак
- 3.3.2. Сигнатурный анализ
- 3.3.3. Поведенческий и репутационный анализ
- 3.3.4. Формирование эталонной (позитивной) модели безопасности (машинное обучение)
- 3.3.5. Защита идентификаторов сессий
- 3.3.6. Специальные механизмы защиты (не сигнатурные)
- 3.3.7. Защита от DDoS на уровне приложения on premise
- 3.3.8. Формирование правил пользователями (пользовательские правила)
- 3.3.9. XML Firewall
- 3.3.10. Интеграция
- 3.4. Обслуживание системы
- 3.4.1. Политика безопасности
- 3.4.2. Оперативный мониторинг
- 3.4.3.Журнал событий безопасности
- 3.4.4. Уведомления
Введение
На фоне роста популярности интернет-сервисов растет и потребность в защите веб-сайтов от взлома и несанкционированного доступа. Для решения этой задачи на рынке информационной безопасности рекомендуется использовать специальные фаерволы для веб-приложений (Web Application Firewall, WAF). Они способны в автоматическом режиме обнаруживать и блокировать атаки на веб-приложения.
Мы уже не раз рассматривали проблемы защиты веб-приложений и применение WAF, например, в статьях Коробочная безопасность веб-приложений. Внутренности Web Application Firewall и WAF и анализ исходного кода: объединение способов защиты веб-приложений. Кроме того, мы делали подробный Обзор рынка защиты веб-приложений (WAF) в России и в мире, где проанализировали мировой и российский рынки и рассмотрели основных игроков.
В рамках данного исследования мы постарались сравнить функциональные возможности WAF, наиболее распространенных на отечественном рынке. Надеемся, это поможет потенциальным потребителям определиться с выбором подходящего для них решения.
Методология сравнения WAF
Как мы уже не раз отмечали в наших сравнениях, в основе методологии лежит совокупность критериев сравнения. Качество и полнота выбранных критериев всегда определяют глубину анализа продуктов и позволяют отразить особенности продукта на фоне остальных.
При формировании критериев мы старались не просто выбрать те, которые характеризуют функциональность продуктов, но и предоставить их в формате, ориентированном на конечного пользователя. Для удобства мы разделили критерии сравнения на следующие логические группы:
- Общие сведения
- Архитектура (инфраструктурные требования):
- 2.1. Режимы работы
- 2.2. Вид поставки
- 2.3. Поддержка SSL
- 2.4. Отказоустойчивость
- 2.5. Производительность
- 2.6. Поддержка веб-стандартов (помимо HTTP/HTTPS)
- 2.7. Прочие
- Реализация механизмов защиты:
- 3.1. Блокировка атак
- 3.2. Сигнатурный анализ
- 3.3. Поведенческий и репутационный анализ
- 3.4. Формирование эталонной (позитивной) модели безопасности (машинное обучение)
- 3.5. Защита идентификаторов сессий
- 3.6. Специальные механизмы защиты (не сигнатурные)
- 3.7. Защита от DDoS на уровне приложения on premise
- 3.8. Формирование правил пользователями (пользовательские правила)
- 3.9. XML Firewall
- 3.10. Интеграция
- Обслуживание системы:
- 4.1. Политика безопасности
- 4.2. Оперативный мониторинг
- 4.3. Журнал событий безопасности
- 4.4. Уведомления
Для сравнения мы остановили свой выбор на наиболее популярных на российском рынке отечественных и зарубежных WAF. В итоге было отобрано шесть продуктов:
- Российские продукты:
- 1.1. PT Application Firewall (Positive Technologies)
- 1.2. Wallarm (доступен также в составе InfoWatch Attack Killer и услуг Qrator Labs)
- Зарубежные продукты:
- 2.1. Barracuda Web Application Firewall
- 2.2. Citrix NetScaler AppFirewall
- 2.3. F5 BIG-IP Application Security Manager
- 2.4. Imperva SecureSphere Web Application Firewall
Хотелось бы отметить, что представители всех указанных производителей принимали непосредственное участие в формировании перечня критериев, в сборе сведений о продуктах и подготовке данного материала.
Готовя это сравнение, мы не ставили целью назвать лучших, мы констатировали факты о продуктах в соответствии с критериями сравнения. А соответствующие выводы о выборе наиболее подходящего под потребности и возможности конечного потребителя может сделать только сам потребитель.
Сравнение WAF
Общие сведения
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| Компания-вендор | Imperva | Positive Technologies | F5 Networks | Wallarm | Citrix | Barracuda Networks |
| Целевой сегмент | Государственный сектор Крупный и средний бизнес |
Государственный сектор Крупный и средний бизнес |
Государственный сектор Крупный и средний бизнес |
Интернет-компании Крупный, средний и малый бизнес Государственный сектор |
Государственный сектор Крупный и средний бизнес |
Государственный сектор Крупный и средний бизнес |
| Штаб-квартира | CША (Калифорния) и Израиль | Россия (Москва) | США (Вашингтон) | США (Калифорния) | США (Флорида) | США (Калифорния) |
| Веб-сайт | imperva.com | ptsecurity.com | f5.com | wallarm.com | citrix.com | barracuda.com |
| Cертификаты (РФ) | ФСТЭК: сертификат №3607 (16.08.2016-16.08.2019) средство Imperva SecureSphere version 10 (в состав ПАК входит в том числе Web Application Firewall) |
Сертификат ФСТЭК №3455 (27.10.2015 — 27.10.2018) Сертификат соответствия Республики Беларусь №0064400 |
Нет | Решение находится на сертификации в рамках продукта InfoWatch Attack Killer | Нет | Нет |
| Сравниваемые версии | Imperva SecureSphere Web Application Firewall Сертификат указан для Imperva SecureSphere version 10 |
Positive Technologies Application Firewall | BIG-IP Application Security Manager | Wallarm | Citrix NetScaler AppFirewall | Barracuda Web Application Firewall |
| Языки интерфейса | Английский | Русский, Английский | Английский | Русский, Английский | Английский | Русский, Английский |
| Крупнейшее из известных внедрений в России (только со ссылкой на пресс-релиз) | Нет публичных сведений | Мегафон | Нет публичных сведений | QIWI | Нет публичных сведений | Нет данных |
| Наличие исследовательского центра в России | Нет | PT Research Center | R&D офис в Томске закрыт. Штат офиса переведен в США в офисы Сан-Хосе, Сиэтл и Белвью | lab.onsec.ru lab.wallarm.com | Нет | Нет |
| Учебные курсы | Курсы вендора. Курсы в НТЦ "Учебный центр" |
Курсы вендора. |
Курсы в F5 University Курсы COMPTEK |
Курсы вендора. Учебные выездые программы для технологических компаний | Курсы в УЦ Softline Курсы в УЦ "Звезды и С" |
Курсы от вендора Barracuda Networks, Кусры в УЦ "Софтпром" |
Архитектура (инфраструктурные требования)
Режимы работы
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| Сниффер (Sniffer) | Да, Non-inline sniffer | Да, режим мониторинга | Нет | Да, в режиме мониторинга (raw tcp reader) | Нет | Нет |
| Мост (Bridge) | Да, Transparent Bridge (Layer 2) with Fail-Open (Hardware Bypass) | Да | Да | Нет | Да (Layer 2) | Да, Bridge Path |
| Прозрачный прокси-сервер (Transparent proxy) | Да | Да | Нет | Нет | Да | Да, One-Arm Proxy |
| Обратный прокс- сервер (Reverse Proxy) | Да | Да | Да | Да | Да | Да, Full Reverse Proxy |
| Ретроспективный анализ (анализ логов/записей трафика) | Нет | Да, автономный режим | Нет | Да, режим мониторинга | Нет | Нет |
Вид поставки
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| В виде виртуальной машины | Да | Да | Да | Да | Да | Да |
| В виде аппаратного комплекса | Да | Да, также возможна поставка на базе партнерских аппаратных решений Cisco и Array networks | Да, аппаратная платформа BIG-IP (доступна в виде блейдовых шасси VIPRION) | Да. В составе InfoWatch Attack Killer | Да | Да |
| В виде облачного сервиса | Amazon Web Services, Microsoft Azure | Microsoft Azure | Microsoft Azure | Amazon Web Services (доступен в MarketPlace), Google Cloud Engine (GCE), Microsoft Azure и в составе Qrator |
Amazon Web Services и Microsoft Azure | Amazon Web Services, Microsoft Azure и VMware vCloud Air |
Поддержка SSL
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| Терминация SSL | Да | Да | Да | Да | Да | Да |
| Детерминация (анализ трафика SSL без терминации) | Да | Да | Нет | Нет, также исключается для всех остальных производителей механизмом perfect key secrecy | Нет | Да |
| Пассивное расшифрование SSL | Да | Да | Да | Да | Да | Да |
| Поддержка сессий, установленных на клиентских сертификатах | Да | Да | Да | Да | Да | Да |
| Наличие аппаратных модулей, ускоряющих обработку SSL | Да | Да | Да | Нет | Да | Поддержка аппаратного шифрования |
Отказоустойчивость
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| Поддержка Active-Active кластеризации | Да | Да | Да | Да | Да | Да |
| Поддержка Active-Passive кластеризации | Да | Да | Да | Да | Да | Да |
Производительность
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| Максимальная поддерживаемая загрузка пропускного канала (пропускная способность) младшей модели | Для аппаратной платформы: 100 Mbps — Модель X1010 Для виртуальной машины: до 100 Mbps — Модель V1000 Для Amazon Web Services: до 100 Mbps — Модель AV1000 Для Microsoft Azure: до 100 Mbps — Модель MV1000 |
Для аппаратной платформы: 1Gbps – Модель CH10-N1 Для виртуальной машины: 100Mbps – Модель PTAF-V1K |
Для аппаратной платформы: 5 Gbps (L4/L7) — Модели 2200s и 2000s Для блейдового шасси VIPRION: 40/18 Gbps (L4/L7) — Модель VIPRION 2150/2100 Blade Для виртуальной машины: 25 Mbps (L4) — Licensed VE (Starting) 10 Gbps (L4) — Licensed VE (Maximum) |
Определяется моделями, в составе которых используется продукт | NetScaler AppFirewall Model: 500Mbps — Модель MPX 5550 NetScaler Platform: 16Gbps — Модель MPX/SDX 14030 |
Для аппаратного комплекса: 25Mbps — Модель 360 Для виртуальной машины: 25Mbps — Модель 360Vx |
| Максимальная поддерживаемая загрузка пропускного канала (пропускная способность) старшей модели | Для аппаратной платформы: 10 Gbps — Модель X10K Для виртуальной машины: до 1 Gbps — Модель V4500 Для Amazon Web Services: до 500 Mbps — Модель AV2500 Для Microsoft Azure: до 500 Mbps — Модель MV2500 |
Для аппаратной платформы: 10Gbps – Модель CH305-N2 Для виртуальной машины: 1Gbps – Модель PTAF-V10K |
Для аппаратной платформы: 84 Gbps (L4)/40 Gbps(L7) — Модель 12250v 160 Gbps (L4)/80 Gbps(L7) — Модель i10800 Для блейдового шасси VIPRION: 140 Gbps (L4/L7) — Модель VIPRION 4450 Blade Для виртуальной машины: 40 Gbps (L4) — High Performance VE |
Определяется моделями, в составе которых используется продукт (максимальные значения, для которых проводилось тестирование, — это средняя нагрузка в 10 Gbps) | NetScaler AppFirewall Model: 20Gbps — Модель MPX 11540 NetScaler Platform: 44Gbps — Модель MPX/SDX 25160-40G |
Для аппаратного комплекса: 5Gbps — Модель 960 Для виртуальной машины: 4Gbps — Модель 660Vx |
| Максимальное поддерживаемое количество TPS/RPS младшей модели | Для аппаратной платформы : 440 (RSA/Sec (2048bit)) — Модель X1010 |
Для аппаратной платформы: 1000RPS – Модель CH10-N1 Для виртуальной машины: 1000RPS — Модель PTAF-V1K |
Для аппаратной платформы (SSL/TLS транзакций в секунду): 4000TPS — Модели 2200s и 2000s Для блейдового шасси VIPRION (SSL транзакций в секунду): 10000TPS — Модель VIPRION 2150/2100 Blade Для виртуальной машины (SSL транзакций в секунду): 900/1200TPS (RSA/ECC) — Licensed VE (Starting) 3800/20000TPS (RSA/ECC) — Licensed VE (Maximum) |
Определяется моделями, в составе которых используется продукт, например: 135000RPS — для узла на базе Intel Xeon E5-2687W v4 3.0Ghz (36 CPU Cores, 32 Gbyte RAM, 2x10Gbit/sec NIC) 10500RPS — для узла на базе AWS m4.xlarge (4vCPU, 16 Gbyte RAM) 135000RPS — для узла на базе AWS c3.8xlarge (32 vCPU, 60 Gbyte RAM) |
NetScaler AppFirewall Model (SSL транзакций в секунду): 1500TPS — Модель MPX 5550 NetScaler Platform: 30000TPS — Модель MPX/SDX 14030 |
Для аппаратного комплекса: HTTP-8000TPS, а SSL-2500TPS — Модель 360 |
| Максимальное поддерживаемое количество TPS/RPS старшей модели | Для аппаратной платформы : 72000TPS и 9000 (RSA/Sec (2048bit)) — Модель X10K |
Для аппаратной платформы: 100000RPS – Модель CH305-N2 Для виртуальной машины: 10000RPS – Модель PTAF-V10K |
Для аппаратной платформы (SSL/TLS транзакций в секунду): 240000TPS — Модель 12250v 48000/84000TPS (ECC/RSA) — Модель i10800 Для блейдового шасси VIPRION (SSL транзакций в секунду): 160000TPS — Модель VIPRION 4450 Blade Для виртуальной машины (SSL транзакций в секунду): 9700TPS (RSA) — High Performance VE |
Определяется моделями, в составе которых используется продукт, например: 135000RPS — для узла на базе Intel Xeon E5-2687W v4 3.0Ghz (36 CPU Cores, 32 Gbyte RAM, 2x10Gbit/sec NIC) 10500RPS — для узла на базе AWS m4.xlarge (4vCPU, 16 Gbyte RAM) 135000RPS — для узла на базе AWS c3.8xlarge (32 vCPU, 60 Gbyte RAM) |
NetScaler AppFirewall Model (SSL транзакций в секунду): 546000TPS — Модель MPX 22120 NetScaler Platform: 43000TPS — Модель MPX/SDX 25100-40G |
Для аппаратного комплекса: HTTP-180000TPS, а SSL-50000TPS — Модель 960 |
Поддержка веб-стандартов (помимо HTTP/HTTPS)
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| Поддержка WebSockets | Да | Да | Да | Да | Да | Да |
| Поддержка XML | Да | Да | Да | Да | Да | Да |
| Поддержка JSON | Да | Да | Да | Да | Да | Да |
Прочие
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| Поддержка VLAN-интерфейсов | Да, для протоколов STP и RSTP | Да | Да | Да | Да | Да |
| Поддержка балансировки нагрузки между защищаемыми веб-приложениями | Да | Да | Да | Да | Да | Да |
| Поддержка возможности поставки MSSP-провайдером | Да | Да | Да | Да | Да | Да |
| Поддержка Multitenancy | Нет | Нет | Да | Да, в том числе для задач Service Providers | Да | Нет |
Реализация механизмов защиты
Блокировка атак
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| Блокировка отдельного запроса | Да | Да | Да | Да | Да | Да |
| Возможность временной блокировки запросов от источника | Да | Да | Да (по геолокации, по IP-адресам) | Да (по IP-адресам) | Да (по доменному имени, по IP-адресам, по геолокации) | Да |
| Реакция при блокировке | Блокирование IP-адреса атакующего, Блокировка HTTP запроса/ответа, Сброс соединения (TCP Reset) | Блокирование IP-адреса атакующего, Блокировка HTTP запроса/ответа, Сброс соединения (TCP Reset), Санирование "боевой" нагрузки (payload sanitizer) | Блокирование IP-адреса атакующего | Блокирование запроса (или IP-адреса), проверка уязвимости | Блокирование неразрешенного трафика | Перехват сессии. Сброс TCP-соединения |
| Информирование пользователя с указанием уникального идентификатора запроса в случае блокировки | Да (landing page) | Да (отправка информационного сообщения на заблокированный запрос) | Да (специально сгенерированная страница с необходимой информацией для обращения в службу поддержки) | Да (формирование страницы,возвращаемой клиенту при блокировке запроса | Да (Error Page) | Да (Custom Response Page) |
Сигнатурный анализ
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| Наличие собственного иследовательского центра | Да. Центр Защиты Приложений Imperva (Application Defense Center, ADC) | Да, Positive Research | Да, F5 Security Research Team | Да | Нет | Barracuda Labs, охватывает широкую сеть из 150000 сенсоров по всему миру |
| Текущее количество сигнатур | Более 8000 сигнатур | Более 200 сигнатур | Более 2300 сигнатур | Основной подход к обнаружению вредоносного трафика не использует сигнатуры | Более 1300 сигнатур | Нет данных |
Поведенческий и репутационный анализ
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| Наличие предустановленных правил корреляции детектирования атак | Да | Да | Да | Да (правила безопасности приложения, формируются в облаке Wallarm) | Да | Да (Pre-Built Security Templates) |
| Наличие репутационных баз (IP, URL) | Да | Да (создание черных и белых списков и интеграция с крупнейшими сервисами репутаций — (включает в себя адреса VPN сервисов, Анонимайзеров, Tor-узлов, участников ботнетов и фишинговых доменов)) |
Да (F5 IP Intelligence) | Да, механизм управления черными списками в интерфейсе и интеграция с поставщиками данных | Да (Встроенный IP Reputation Service) | Да (Barracuda IP Reputation Database) |
| Категоризация по типу активности (типу атаки) вредоносных хостов | Да | Да | Да | Да | Да | Да |
| Наличие возможности корреляции доступных методов обнаружения между собой (сигнатурный анализ, правило корреляции, репутационный анализ, поведенческий анализ, отклонение от профиля и т. д.) | Да | Да | Да | Да | Да | Да |
| Обнаружение ботов на основе значений полей запроса (например, поля User Agent или других полей запроса) | Да | Да | Да | Да (поведенческие схемы fingerprinting) | Да | Да (Heuristic Fingerprinting) |
| Обнаружение ботов на основе последовательности переходов по ресурсам веб-приложения | Да | Да | Да | Да | Да | Да |
| Обнаружение ботов с помощью внедряемого Javascript-кода (включая обнаружение использования инструментов автоматизации (например, Burp, Acunetix, Fiddler)) | Да | Да | Да | Да (поведенческие схемы fingerprinting) | Да | Да |
| Обнаружение и защита от атак полного перебора на учетные данные пользователей (Brute Force Login) | Да | Да (технология отслеживания клиента — User Tracking PT Application Firewall) | Да (Application Security Manager) | Да (для приложений и мобильных API, на основе поведения пользователей, без использования CAPTCHA) | Да | Да (ограничение максимального количества попыток доступа в течение определенного временного интервала и использование CAPTCHA) |
Формирование эталонной (позитивной) модели безопасности (машинное обучение)
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| Создание эталонной (позитивной) модели безопасности | Формирование политик осуществляется благодаря классификации правил и наличию детальных сигнатур (разбиение на такие классы, как правила межсетевого экранирования, создания сигнатур и обработки нарушений протоколов) |
Построение политики происходит за счет декомпозиции траффика защищаемых веб-приложений до составных частей (HTTP) запроса и построение для их значений вероятностных формул на базе скрытых моделей Маркова (Hidden Markov Model (HMM)). Построенные формулы применяются для поиска аномалий. |
Применение модуля построителя политик, автоматизирующего создание и настройку политик. Данный модуль автоматически создает и постепенно уточняет политики безопасности на основании данных о нарушениях безопасности, расширенной статистики и эвристики | Формирование правил безопасности для конкретного приложения на основе запросов пользователей и ответов приложения на них. Правила безопасности обновляются в облаке и каждые 15 минут, передаются узлу Wallarm | Формирование гибридной модели безопасности, включающей позитивную и негативную модели | Применение шаблонов политик безопасности (Security Templates) |
| Поддержка автоматизированного динамического профилирования WEB-приложений | Да | Да | Да (модуль построителя политик) | Да (облако Wallarm формирует профиль приложения на базе метрик, поступающих от фильтрующего узла) | Да (применение белых и черных списков) | Да |
| Автоматическое переключение созданной эталонной (позитивной) модели безопасности в режим блокировки | Да | Да | Да | Да | Да | Да |
| Адаптация WAF к изменяемому приложению | Обеспечивается возможность изменения профиля web-приложений, созданного в режиме «обучения» (включая настройку профиля Web-приложений вручном режиме) | Анализируется интенсивность появления аномалий от каждой HMM-модели относительно всех текущих клиентов web-приложения. На основании выявления аномалий (вызванных изменением логики работы приложения) инициируется процесс выборочного переобучения | Применяется технология, позволяющая динамически адаптировать политики | Существует возможность использования маркеров для разметки HTTP/HTTPS-пакетов, позволяющая, например: — инициировать поиск уязвимостей во вновь добавленных компонентах web-приложения/API; — обновлять профиль приложения для внедрения новые функции web-приложения/API |
Формируется профиль защиты веб-приложений, который по умолчанию защищает от наиболее распространенных опасных угроз. В рамках работы данный профиль постепенно корректируется/наполняется | Существует возможность конфигурации профиля вручную. Возможность изменения профиля, созданного в режиме «обучения» |
| Ручной интерфейс управления эталонной (позитивной) моделью безопасности | Да | Да | Да | Да, упрощен до ручного указания ложных срабатываний | Да | Да |
Защита идентификаторов сессий
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| Подпись Cookies | Да | Да | Да | Поведенческий подход к анализу трафика исключает внедрение в ответы сервера каких-либо данных со стороны WAF, включая изменение cookie для предотвращения появления артефактов в логике работы защищаемого приложения | Да | Да |
| Шифрование Cookies | Да | Нет | Да | Поведенческий подход к анализу трафика исключает внедрение в ответы сервера каких-либо данных со стороны WAF, включая изменение cookie для предотвращения появления артефактов в логике работы защищаемого приложения | Да | Да |
| Разграничение доступа к ресурсам на основе имени пользователя | Да | Да | Да | Поведенческий подход к анализу трафика исключает внедрение в ответы сервера каких-либо данных со стороны waf, включая изменение cookie для предотвращения появления артефактов в логике работы защищаемого приложения | Да | Да (гибкая настройка для каждого веб-ресурса) |
| Определение смены геолокации или IP-адреса у сессии | Да | Да | Да | Поведенческий подход к анализу трафика исключает внедрение в ответы сервера каких-либо данных со стороны WAF, включая изменение cookie для предотвращения появления артефактов в логике работы защищаемого приложения | Да | Да |
Специальные механизмы защиты (не сигнатурные)
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| Защита от SQL Injection | Да | Да | Да | Да | Да | Да |
| Защита от XSS | Да | Да | Да | Да | Да | Да |
| Защита от DOM-based XSS | Да | Да | Да | Да | Да | Да |
| Защита от Information Leakage | Да (защита от сбора технической информации о web-приложении) | Да | Да | Да (с включенным пассивным сканером уязвимостей) | Да | Да |
| Защита от CSRF | Да | Да | Да | Да, средствами проверки заголовков origin | Да | Да |
| Защита от Open Redirect | Да | Да | Да | Да | Да | Нет |
| Защита от Clickjacking | Да (защита от атак, направленных на изменение сессионных параметров) | Да | Да | Да, средствами виртуального патча на заголовок XFO | Да | Да |
| Защита от изменения скрытых параметров формы (read-only(hidden) parameters) | Да | Да | Да | Поведенческий подход к анализу трафика исключает внедрение в ответы сервера каких-либо данных со стороны WAF, включая изменение данных форм для предотвращения появления артефактов в логике работы защищаемого приложения | Да | Да |
| Защита от Path Traversal (Directory Traversal) | Да | Да | Да | Да | Да | Да |
| Защита от Web Shell | Да | Да | Да | Да | Да | Да |
| Защита от HTTP Response Splitting | Да | Да | Да | Да | Да | Нет |
| Защита от Local File Inclusion | Да | Да | Да | Да | Нет | Да |
| Защита от OS Command | Да | Да | Да | Да | Нет | Да |
| Защита от Remote Code execution | Да | Да | Да | Да | Да | Да |
| Защита от Server-Side Request Forgery | Нет | Да | Нет | Да | Нет | Нет |
| Проверка HTTP-транзакций на соответствие RFC и лучшим практикам контроля (Ограничение разрешенных методов, контент типов, строк запроса, заголовков, ограничение их длин, количества) | Да | Да (применение механизмов нормализации данных и заголовков HTTP-запросов) | Да | Да (ограничение времени обработки одного запроса) | Да (проверка структуры и параметров HTTP/HTML-заголовка, синтаксический и семантический анализ HTML) | Да (проверка ограничений протокола (Protocol limit checks), анализ параметров форм, анализ параметров URL) |
| Автоформирование и внедрение Content Security Policy | Да | Да | Да | Да | Да | Нет |
Защита от DDoS на уровне приложения on premise
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| Принципы определения L7 DDoS-атаки | Автоматизированное динамическое профилирование web-приложений. Корреляция различных методов обнаружения атак (сигнатурный анализ, репутационный анализ, поведенческий анализ, отклонение от профиля ) | Изучение информации о характеристиках сетевого взаимодействия всех клиентов защищаемого веб-приложения и обнаружение клиентов, создающих аномальную загрузку. Обнаружение осуществляется по набору показателей (частота запросов, время ответа, коды ответа, уникальность запросов, величина запроса и т. д.) | Применнение форензики (forensic analysis). При активации BIG-IP ASM фиксирует и сохраняет уникальные характеристики и атрибуты пользователя и устройства |
Обнаруживаются два типа атак: логические бомбы и поведенческие атаки. Обнаружение поведенческих атак основано на поиске аномалий относительно стандартной модели использования приложения | Проверка HTTP/HTML-заголовка. Синтаксический и семантический анализ HTML | Применене: — Barracuda IP Reputation Database — Heuristic Fingerprinting — CAPTCHA challenges — Slow Client protection — Geo IP — Anonymous Proxy — ToR exit nodes — Barracuda Blacklist |
| Принципы реагирования на L7 DDoS-атаки | Замедление или блокирование атакующего. Блокирование отдельных HTTP запросов, соединений, сессий, IP-адресов | Временная блокировка по IP-адресам | Блокирование IP-адреса | Блокировка запроса (блокировка IP-адреса) | Блокировка трафика | Блокирование, подавление, перенаправление |
Формирование правил пользователями (пользовательские правила)
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| Наличие возможности создания правил обнаружения запросов и ответов на основе задаваемого набора критериев (например: метод, URL, значение параметра, заголовок) и регулярных выражений | Да | Да (механизм Rule Engine) | Да (Unified learning and policy builder) | Да (тонкая настройка фильтрации и проксирования) | Да | Да |
| Наличие возможности направления предварительно заданного ответа при срабатывании правила | Да (landing page) | Да (отправка информационного сообщения на заблокированный запрос) | Да (специально сгенерированная страница с необходимой информацией для обращения в службу поддержки) | Да (формирование страницы,возвращаемой клиенту при блокировке запроса) | Да (Error Page) | Да (Custom Response Page) |
XML Firewall
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| Построение позитивной модели безопасности для контента XML-документа | Да (применение профилей XML/SOAP) | Да | Да | Да | Да | Да |
| Валидация XML-документа по XSD/WSLD-схемам | Да | Да | Да | Автоматическая генерация применимой схемы на основе анализа трафика | Да | Да |
| Защита от атаки XXE | Нет | Да | Да | Да | Да | Нет |
| Защита от атаки XML Bomb | Нет | Да | Да | Да | Да | Да |
Интеграция
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| Сканеры уязвимостей / Анализаторы исходного кода (SAST, DAST,IAST Scanner) | WhiteHat, IBM, Cenzic, NT OBJECTives, HP, Qualys, Beyond Security | PT Application Inspector, PT AF P-code | Возможность интеграции со сканерами WhiteHat, IBM и QualysGuard | Wallarm включает в себя Wallarm DAST Scanner и Wallarm Active Threat Verification. Интеграция с InfoWatch Appercut | HPE Security WebInspect | Barracuda Vulnerability Manager, Cenzic Hailstorm, HPE Security WebInspect , HPE Security Fortify On Demand , IBM AppScan, ThreadFix |
| Системы контроля БД (Database Activity Monitoring / Database Firewall) | Imperva SecureSphere Database Activity Monitoring, Imperva SecureSphere Database Firewall | Нет | Oracle Database firewall | Нет | NetScaler DataStream | Нет |
| Антивирусы | FireEye, Proofpoint Threat Response | PT Application Firewall обладает встроенным антивирусом для проверки загружаемых файлов, дополнительно может быть поставлен модуль многоядерной антивирусной проверки PT MultiScanner или быть интегрирован с любым другим продуктом, поддерживающим протокол ICAP | Возможна интеграция со сторонними продуктами данного класса с помощью протокола ICAP | Возможна интеграция со сторонними продуктами данного класса с помощью протокола ICAP | Возможна интеграция со сторонними продуктами данного класса с помощью метода HTTP Callout | Barracuda WAF обладает встроенным проприетарным антивирусом, возможно также дополнительно подключить Barracuda Advanced Threat Protection (BATP) (песочницу) для блокирования 0-hour-угроз |
| Системы управления событиями безопасности (SIEM Solutions) | HPE ArcSight, RSA enVision, Splunk, IBM Qradar, EventTracker SIEM, SolarWind SIEM LEM, | PT SIEM, HPE ArcSight, IBM Qradar, Splunk | IBM Qradar, HPE ArcSight | Со всеми продуктами через CEF/syslog или API. В том числе HPE ArcSight, IBM Qradar, PT SIEM, Splunk | Любые SIEM-системы, работающие с CEF | HPE ArcSight, RSA enVision, Splunk, Symantec, Microsoft Azure Event Hub |
| Системы противодействия мошенничеству (Anti-fraud solutions) | ThreatMetrix Cybercrime Defender Platform | Group IB Bot-Trek Secure Bank, Group IB Bot-Trek Secure Portal | F5 Web Fraud Protection, BIG-IP AFM и BIG-IP® DNS | Возможна интеграция со сторонними продуктами данного класса с помощью Wallarm API | Возможна интеграция со сторонними продуктами данного класса с помощью метода HTTP Callout | SOC Prime |
| Системы предовтращения утечек информации (DLP Solutions) | Imperva SecureSphere File Activity Monitoring | PT Application Firewall обладает встроенным механизмом обнаружения утечек информации и может быть интегрирован с любым другим продуктом, поддерживающим протокол ICAP. Zecurion Zgate |
Symantec DLP | Пассивное обнаружение возможных утечек | Websense Data Security Gateway Trend Micro InterScan Web Security |
Data Theft Protection, включенный в Barracuda WAF |
| Системы Threat Intelligence (Threat Intelligence feed service) | Imperva Threat Radar | Kaspersky Security Intelligence Services | F5 Silverline Threat Intelligence | Wallarm Threat Intelligence | Trend Micro Threat Intelligence Webroot BrightCloud IP Reputation Service Zscaler's Secure Web Gateway |
Barracuda Advanced Threat Protection (BATP) |
| Межсетевые экраны нового поколения (NG Firewalls) | Нет | Check Point NGFW | Palo Alto Networks NGFW | Возможна интеграция со сторонними продуктами данного класса с помощью API/SNMP traps/syslog | Нет | Barracuda NextGen Firewall |
| Системы защиты от DDoS-атак облачной инфраструктуры (Cloud DDoS Protection) | Imperva Incapsula | Qrator | F5 Silverline cloud-based Platform | Qrator | WebRoot | Forcepoint CASB |
| On premise-cистемы защиты от DDoS атак (On premise DDoS Protection solution) | Нет. Есть API, но без открытой информации по интеграции | Arbor Peakflow | Реализация DDoS-resistent architecture путем интеграции с модулями LTM, AFM, GTM | Дополнительная интеграция не требуется | Нет | Internal DDoS protection service |
| Репутационные сервисы | ThreatRadar — механизм репутационной защиты web- приложений | Kaspersky Security Intelligence Services | F5 Silverline cloud-based Platform, Webroot IP Reputation Service | Wallarm Threat Intelligence | Webroot BrightCloud IP Reputation Service | Barracuda IP Reputation Database |
| Другие продукты и сервисы | WAF Testing Framework | Интеграция с системой управления программно-определяемой сети CISCO ACI через открытый REST API | ImmuniWeb, iRules, iControl REST, BIG IQ | Infowatch Attack Killer, Mashape API Gateway, Tyk API Gateway, NGENIX CDN, CDNVideo, Selectel, Dataline cloud | ADC Citrix NetScaler | Нет данных |
Обслуживание системы
Политика безопасности
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| Блокирование опционально для каждого правила политики безопасности | Да | Да | Да | Да | Да | Да |
| Доступность шаблонов политик безопасности для распространенных веб-приложений | Нет | Wordpress, SAP Net Weaver, Vmware Vsphere Web Client, Drupal, Joomla | Microsoft Outlook Web Access, Lotus Domino Mail Server, Oracle E-Business Financials и Microsoft Office SharePoint | Решение не нуждается в шаблонах политик безопасности для распространенных web-приложений, т. к. не использует сигнатурный подход | Профиль защиты веб-приложений по умолчанию защищает от наиболее распространенных опасных угроз. Применяется ряд шаблонов на основе Netscaler MAS для конфигурации наиболее часто используемых приложений (Stylebooks) |
В комплект поставки входят стандартные шаблоны приложений, включая Exchange, SharePoint, Oracle Financials, PHP и др. |
| Наличие возможности применения нескольких политик безопасности для приложения | Да | Да | Да | Да (для приложений применяются правила двух видов: глобальные правила и правила безопасности, сформированные для конкретного приложения) | Да (к каждому приложению могут применяться индивидуальные политики безопасности) | Да (назначение разных профилей разным веб-ресурсам) |
| Наличие мастера по настройке политики безопасности (первичная настройка и оптимизация) | Да | Да | Да | Да | Да (интерфейс командной строки или конфигурационной утилиты) | Да |
| Наличие возможности создания исключений для правил политики безопасности | Да | Да | Да | Да | Да | Да |
Оперативный мониторинг
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| Наличие гибкой фильтрации записей журнала безопасности по заданным критериям | Да (фильтрация данных по IP-адресам, типам атак/инцидентов, web-приложениям, дате и времени) | Да (каждое событие безопасности содержит от 100 и более различных полей, доступных для комбинирования поискового запроса) | Да | Да (доступные фильтры размещены над табличным представлением, любой поисковый запрос или комбинацию фильтров можно сохранить как шаблон) | Да (в рамках GUI и при использовании NetScaler Management & Analytics System) | Да |
| Возможность ручной агрегации записей журнала безопасности по типу атаки, имени параметра, URL, IP-адресу | Да | Да | Да | Да | Да (при использовании NetScaler Management & Analytics System) | Да |
| Автоматическая агрегация событий с интенсивным характером: сканирования, брутфорс, спам, краулинг | Да | Да | Да | Да | Да | Да |
| Верификация атаки с использованием встроенного динамического сканера | Нет | Да (сканер уязвимостей PT Web Engine) | Да (сканер уязвимостей WhiteHat Sentinel Scanner) | Да (сканер уязвимостей Wallarm) | Да | Да (сканер уязвимостей Barracuda Vulnerability Remediation Service) |
| Верификация атаки на основе поиска следов компрометации в HTTP-транзакции | Да, Web Correlation Engine | Да | Да | Да | Да | Нет |
| Наличие возможности настройки отчетности для получения сводной информации по событиям безопасности | Да. Доступны интегрированные графические представления, дашборд с отображением сведений в реальном времени, возможность экспорта отчетов в форматах Word, PDF, HTML, CSV |
Да | Да. Доступен механизм создания отчетов, позволяющий сохранять отчет в файл или отправлять по электронной почте. BIG-IP ASM также предлагает предопределенные и настраиваемые дашборды, диаграммы, отчеты и статистику |
Да. Периодичность отчетов и нотификаций настраивается для каждого отдельного пользователя | Да. Доступен центр управления (Comand Center). Настройка отчетов производится посредством конфигурирования политик аудита — позволяя создавать диаграммы и предоставляя встроенные отчеты о генерируемых нарушениях | Да. Доступны предустановленные наборы шаблонов отчетов. Вид и наполнение журнала можно конфигурировать. Поддерживаются промышленные форматы файлов при выгрузке |
| Наличие интерфейса с информацией о сетевой загрузке WAF | Да | Да | Да | Да. Коннекторы для подключения популярных систем мониторинга | Да | Да |
| Наличие интерфейса с информацией о загрузке вычислительных и дисковых ресурсов WAF | Да | Да | Да | Да. Коннекторы для подключения популярных систем мониторинга | Да | Да |
Журнал событий безопасности
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| Хранение событий опционально для каждого правила политики безопасности | Да. Существует возможность настройки политики хранения логов (срок, размер журнала). Каждая транзакция имеет ID и указана в журнале | Да | Да. Данные хранятся в соответсвии с сформированными профилями в каталоге "/var/log/asm" | Да, настройка журнала событий и выгрузка по различным критериям, включая правила политики безопасности | Да | Да |
| Зафиксированные события содержат запрос в полном объеме (целиком) | Да | Да | Да | Да | Да | Да |
| Зафиксированные события содержат ответ на запрос | Да | Да | Да | Да, для инцидентов | Да | Да |
| Зафиксированные события содержат описание сработавшего правила политики безопасности | Да | Да | Да | Да | Да (Security Insight) | Да |
| Наличие возможности экспорта и импорта журнала событий безопасности в полном объеме | Экспорт возможен в виде отчетов, импорт невозможен | Да | Да | Да | Да | Да (экспорт журнала в сторонние аналитические решения через Syslog и FTP) |
| Маскирование в фиксируемом событии безопасности конфиденциальных данных | Да | Да | Да | Да | Да | Да |
| Наличие ограничений на хранение событий безопасности | Существует возможность настройки политики хранения логов (срок, размер журнала) | Хранение событий ограничено только поставляемым дисковым пространством, при этом работает механизм ротации событий, не дающий переполниться базе | Локальное хранение событий ограничено 3 миллионами записей и размером базы данных 2 Gb. Используется механизм ротации логов. Существует возможность настройки удаленного хранения логов с использованием транспорта на основе TCP или UDP. Используется несколько различных форматов данных (CSV, Key-Value Pairs, CEF, BIG-IQ CM) | События хранятся в облачном сервисе. Ограничения лимитированы только тарифным планом. В случае StandAlone (локальной установки) ограничения устанавливаются отдельно | Существует возможность настройки политики хранения логов (срок, размер журнала) | Нет, все зависит от дискового пространства |
Уведомления
| Параметр сравнения | Imperva SecureSphere WAF | PT Application Firewall | F5 BIG-IP ASM | Wallarm | Citrix NetScaler AppFirewall | Barracuda WAF |
| Поддержка e-mail-уведомлений | Да | Да | Да | Да | Да | Да |
| Поддержка Syslog-уведомлений | Да | Да | Да | Да | Да | Да |
| Поддержка SNMP-уведомлений | Да | Да | Да | Да, средствами snmp traps | Да | Да |
В приведенном сравнении фаерволов для веб-приложений мы не делали их итогового ранжирования, надеясь, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какой из рассмотренных продуктоы наиболее подходит для его целей. Ведь в каждом конкретном случае заказчик сам определяет требования к функциональным возможностям WAF, а значит, сможет сделать из сравнения правильный именно для него вывод.
Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:
Эльдар Бейбутов, консультант, Positive Technologies
Денис Колегов, руководитель группы исследований технологий защиты приложений, Positive Technologies
Суховей Андрей Анатольевич, независимый эксперт по информационной безопасности
Бубнов Михаил, директор по развитию продуктов, Attack Killer
Денис Куликов, директор по развитию бизнеса, Wallarm
Илья Четвертнев, заместитель технического директора, Информзащита
Анатолий Ромашев, руководитель отдела безопасности прикладных систем, Информзащита
Сергей Халяпин, главный инженер представительства Citrix в России и странах СНГ
Михаил Соболев, системный инженер Citrix в России и странах СНГ
Сергей Бартко, инженер по информационной безопасности, Softprom by ERC
