Вообще, такие вопросы достаточно необычны, но наши WAF в последнее время у всех на слуху.
И ModSecurity, и PT Cloud Application Firewall имеют непосредственное отношение к защите веб-технологий. У PT есть движок для анализа веб-трафика, который выявляет и блокирует потенциальные атаки.
Отличия, как и при любом сравнении, между опенсорсом и энтерпрайз-решениями очевидны.
Из плюсов энтерпрайз-решений можно выделить:
бОльшую глубину проработки сигнатур и набора правил.
дополнительные модули защиты.
готовое и собранное решение со всем обвесом, включая просмотр событий, конструктор своих правил и исключений.
инфраструктуру, в данном случае это облачное решение с сервером управления в облаке вендора и фильтрующим модулем там, где нужно.
поддержку и оперативность выхода обновлений, патчей и сигнатур.
Из плюсов опенсорс-решений — их можно доработать по своему усмотрению и встроить в нужные системы, при наличии ресурсов.
Что касается PT Cloud Application Firewall, — коллеги не используют для своей работы ModSecurity или какие-либо части этого проекта. Подходы к реализации защиты веб-приложений очень сильно отличаются. Вместо преимущественно негативной логики и большого количества сигнатур, которые генерируют ложные срабатывания и требуют тонкой и длительной настройки, в PT Cloud Application Firewall сделан уклон в сторону эвристических методов проверки веб-трафика, анализа контекста запросов и других методов защиты. Этими методами можно управлять через удобный интерфейс, не прибегая к навыкам программирования, которые обязательны при использовании ModSecurity
Ну, скажем, не все WAF умеют балансировать, при этом - решения весьма известные и серьёзные. Навскидку - Imperva. Ну, или, например, Barracuda (хотя, она, конечно, попроще). Балансировку можно отдать на nginx, стоя́щий за WAF.
Балансировать умеют все, в каком-то виде. Большинство отечественных строится на базе nginx либо в виде модуля, либо в виде особой сборки. Они сохраняют все возможности nginx. Другое дело, что этих возможностей может не хватить. И тут возможности Imperva или F5 придутся более кстати. Мы как раз об этом упоминали, что некоторые решения выросли из балансирощиков и изначально умеют многое, а другие сосредоточились именно на движке проверки и отдали функции балансировки внешним средствам.
И теперь - нюансы ... расшифровку трафика ... А для этого производителями уже применяются аппаратные ускорители
Согласен, этого зачастую не хватает. Исходя из контекста статьи: у нас есть функция - расшифровка; есть разные средства, и мы выбираем что больше подходит в текущей ситуации исходя из возможностей и стоимости.
Второй нюанс. Защиту от DDoS есть смысл отдавать на провайдера.
И тут тоже согласен, мы про них тут тоже упоминали. Можно порассуждать на тему обратной связи, когда WAF обнаруживает L7 DoS, завязанный на логику работы приложения (например, по классике - "тяжелые" URL) и дергает API провайдера чтобы добавить IP-адрес атакующего в Blacklist. Но тогда статья разрослась бы раза в полтора. Но как бы то ни было - в некоторых ситуациях функцию защиты от DDoS возлагают на WAF и мы должны были ее упомянуть.
Третий нюанс (к вопросу - нужен ли WAF). Тот же nginx позволяет... И да, это не полноценная замена WAF.
Вы смотрите в самую суть. Можно, и в некоторых случаях даже нужно. Надо смотреть по целесообразности, рискам, бюджетам и скорости реализации.
PS. Ооочень важный нюанс! К сожалению, ни один WAF не умеет полноценно контролировать websockets.
F5 в каком-то виде умеет. Из наших - Вебмониторэкс умеет анализировать WebSocket.
Из наших WAF это Positive Technologies Application Firewall, Вебмониторэкс, Solidwall, Nemesida, еще недавно появился Гарда WAF. Из эконом-варианта это бесплатные открытые решения на базе ModSecurity. Коллега в комментарии выше предложил отличный вариант с конфигурированием nginx. Пример конфигурации nginx для WAF мы приводили в статье по Вебмониторэкс
Вообще, такие вопросы достаточно необычны, но наши WAF в последнее время у всех на слуху.
И ModSecurity, и PT Cloud Application Firewall имеют непосредственное отношение к защите веб-технологий. У PT есть движок для анализа веб-трафика, который выявляет и блокирует потенциальные атаки.
Отличия, как и при любом сравнении, между опенсорсом и энтерпрайз-решениями очевидны.
Из плюсов энтерпрайз-решений можно выделить:
бОльшую глубину проработки сигнатур и набора правил.
дополнительные модули защиты.
готовое и собранное решение со всем обвесом, включая просмотр событий, конструктор своих правил и исключений.
инфраструктуру, в данном случае это облачное решение с сервером управления в облаке вендора и фильтрующим модулем там, где нужно.
поддержку и оперативность выхода обновлений, патчей и сигнатур.
Из плюсов опенсорс-решений — их можно доработать по своему усмотрению и встроить в нужные системы, при наличии ресурсов.
Что касается PT Cloud Application Firewall, — коллеги не используют для своей работы ModSecurity или какие-либо части этого проекта. Подходы к реализации защиты веб-приложений очень сильно отличаются. Вместо преимущественно негативной логики и большого количества сигнатур, которые генерируют ложные срабатывания и требуют тонкой и длительной настройки, в PT Cloud Application Firewall сделан уклон в сторону эвристических методов проверки веб-трафика, анализа контекста запросов и других методов защиты. Этими методами можно управлять через удобный интерфейс, не прибегая к навыкам программирования, которые обязательны при использовании ModSecurity
Балансировать умеют все, в каком-то виде. Большинство отечественных строится на базе nginx либо в виде модуля, либо в виде особой сборки. Они сохраняют все возможности nginx.
Другое дело, что этих возможностей может не хватить. И тут возможности Imperva или F5 придутся более кстати.
Мы как раз об этом упоминали, что некоторые решения выросли из балансирощиков и изначально умеют многое, а другие сосредоточились именно на движке проверки и отдали функции балансировки внешним средствам.
Согласен, этого зачастую не хватает.
Исходя из контекста статьи: у нас есть функция - расшифровка; есть разные средства, и мы выбираем что больше подходит в текущей ситуации исходя из возможностей и стоимости.
И тут тоже согласен, мы про них тут тоже упоминали.
Можно порассуждать на тему обратной связи, когда WAF обнаруживает L7 DoS, завязанный на логику работы приложения (например, по классике - "тяжелые" URL) и дергает API провайдера чтобы добавить IP-адрес атакующего в Blacklist. Но тогда статья разрослась бы раза в полтора.
Но как бы то ни было - в некоторых ситуациях функцию защиты от DDoS возлагают на WAF и мы должны были ее упомянуть.
Вы смотрите в самую суть. Можно, и в некоторых случаях даже нужно. Надо смотреть по целесообразности, рискам, бюджетам и скорости реализации.
F5 в каком-то виде умеет.
Из наших - Вебмониторэкс умеет анализировать WebSocket.
Из наших WAF это Positive Technologies Application Firewall, Вебмониторэкс, Solidwall, Nemesida, еще недавно появился Гарда WAF.
Из эконом-варианта это бесплатные открытые решения на базе ModSecurity. Коллега в комментарии выше предложил отличный вариант с конфигурированием nginx.
Пример конфигурации nginx для WAF мы приводили в статье по Вебмониторэкс
Спасибо что заметили, поправил