Guía del comprador de WAF: los 11 mejores firewalls de aplicaciones web para 2022

Si tiene una empresa en línea, debe evitar que los piratas informáticos destruyan su página web. Si su sitio se infecta con códigos de piratas informáticos, los motores de búsqueda no lo vincularán. Proteja su negocio con un firewall de aplicaciones web.

A Cortafuegos de aplicaciones web ( WAF ) ofrece protección para servidores web. Su WAF monitoreará el tráfico entre Internet y su aplicación web, luego filtrará o bloqueará el tráfico según un conjunto de reglas/políticas.

Los firewalls de aplicaciones web protegen contra ataques que incluyen inyección SQL, scripts entre sitios (XSS) y envenenamiento de cookies y son un componente esencial de su estrategia defensiva.

Aquí está nuestra lista de los mejores firewalls para aplicaciones web:

1. Firewall de aplicaciones web administrado por AppTrana ELECCIÓN DEL EDITOR Un firewall de aplicaciones web totalmente administrado proporcionado por Indusface con escáner de aplicaciones incluido, CDN y reglas de seguridad personalizadas administradas con garantía de cero falsos positivos WAF respaldada con SLA y soporte 24×7.
2. Firewall de aplicaciones web StackPath (PRUEBA GRATUITA) Un firewall basado en la nube que forma parte de una solución 'de borde'.
3. Jugos del firewall del sitio web (APRENDE MÁS) Parte de un conjunto de servicios de seguridad de aplicaciones externas que también incluye protección DDoS.
4. FortinetFortiWeb Un paquete de servicios perimetrales que ofrece un firewall de aplicaciones web, un descargador de SSL y un equilibrador de carga en un servicio en la nube, un dispositivo o una máquina virtual.
5. Imperva Nube WAF Un firewall de aplicaciones web basado en la nube con un dispositivo equivalente en el sitio llamado Imperva WAF Gateway.
6. Cortafuegos de aplicaciones web Barracuda Disponible como sistema SaaS, nube privada, dispositivo o máquina virtual, este WAF también incluye escaneo de vulnerabilidades y prevención de pérdida de datos.
7. Cortafuegos de aplicaciones web Prophaze WAF todo en uno, personalizable, multi/híbrido/privado/SaaS/Kubernetes con solución Bot Protection, RASP, DDoS y CDN. Incorporación rápida, certificados SSL ilimitados y soporte 24 horas al día, 7 días a la semana.
8. Cortafuegos de aplicaciones web de MS Azure Un WAF basado en la nube que puede proteger servidores web en cualquier lugar. Este es un servicio medido.
9. Protección de aplicaciones esenciales F5 Un WAF basado en la nube dirigido a clientes no técnicos, por lo que es fácil de configurar y administrar.
10. WAF de nube Solución basada en la nube que se puede combinar con protección DDoS.
11. Defensor del sitio Akamai Kona Combina una protección WAF y DDoS externa.

Los mejores firewalls para aplicaciones web

Muchos proveedores de firewalls de aplicaciones web intentan captar la mayor cantidad de mercado posible ofreciendo sus sistemas WAF en tantos formatos. configuraciones como sea posible. Por lo tanto, en muchos casos, el mismo WAF se puede proporcionar como un paquete de software que se ejecuta en una máquina virtual, como un dispositivo de red o como un sistema SaaS basado en la nube. También es posible obtener un WAF basado en la nube como servicio totalmente gestionado.

Nuestra metodología para seleccionar un firewall de aplicaciones web

Revisamos el mercado de WAF y analizamos las opciones según los siguientes criterios:

• Un sistema basado en la nube
• Protección DDoS integrada
• Encubrimiento de la verdadera dirección IP de una empresa
• Canal seguro para reenvío de tráfico
• Procesamiento de datos rápido que no ralentiza el tráfico regular
• Una prueba gratuita o una opción de demostración que permite una evaluación sin pago
• Relación calidad-precio de un sistema de protección polivalente a un precio razonable

Utilizando este conjunto de criterios, buscamos plataformas de borde que proporcionen funciones de firewall de aplicaciones web, entre otros servicios, y ofrezcan precios de suscripción sin costos de configuración.

1. Firewall de aplicaciones web administrado por AppTrana (PRUEBA GRATUITA)

aplicaciónTrana de Indusface proporciona un firewall de aplicaciones web totalmente administrado junto con aceleración de contenido y CDN a través de la nube. Todo lo que tendrá que hacer es dirigir su tráfico a través del servicio AppTrana alojado en múltiples regiones en los centros de datos de AWS por Indusface.

Características clave:

• Servicio gestionado
• Red de entrega de contenidos
• Aceleración de entrega
• Protección de conmutación por error
• Evaluaciones de seguridad

AppTrana viene listo para usar con conjuntos de reglas centrales administradas optimizadas que se pueden poner en modo bloqueado instantáneamente según el conjunto de reglas centrales optimizadas que Indusface ha desarrollado mediante evaluaciones de seguridad de miles de otros sitios web. Una vez incorporados, los clientes pueden realizar una evaluación de seguridad automatizada bajo demanda del sitio web y obtener visibilidad instantánea de si ya están protegidos por WAF o si requieren reglas de seguridad personalizadas.

Aquellos que requieran reglas personalizadas se pueden solicitar desde el portal centralizado y el equipo MSS 24×7 de Indusface creará una regla personalizada con garantía de falso positivo Zero WAF y los protegerá. El rendimiento del sitio web se mejora a través de un CDN incluido en el servicio.

Ventajas:

• Sin costes de incorporación
• Técnicos y analistas de seguridad incluidos en el paquete
• Sistema de entrega distribuida
• Protección DDoS
• Alojado en AWS

Contras:

• Usted cede el control de su presencia en la Web a una empresa externa.

El plan AppTrana está disponible como servicio de suscripción junto con una prueba gratuita de 14 días . Los registros de prueba gratuitos se inscriben automáticamente en un plan Básico gratuito para siempre que incluye escaneo de seguridad automatizado dos veces al mes para su sitio web.

SELECCIÓN DEL EDITOR

Firewall de aplicaciones web administrado por AppTrana es nuestra mejor opción en este resumen. Incluye los servicios de un equipo de expertos que se destacan en el campo de la protección de redes. El servicio incluye muchos otros servicios de seguridad además de las funciones habituales de firewall de aplicaciones web. El equipo técnico de Indusface que trabaja en este servicio filtra los rumores de informes de dispositivos de seguridad, quitando una gran carga a los responsables técnicos de las empresas clientes.

La ubicación de este servicio en la nube también elimina la necesidad de comprar y administrar hardware especializado en el sitio para proteger su red. Indusface fue nombrado porLa elección de los clientes de Gartner Peer Insighten las siete secciones delVoz del Cliente WAAP 2022informe.

Inicie la prueba gratuita de 14 días:industry.com/products/application-security/web-application-firewall/

TÚ:Basado en la nube

2. Firewall de aplicaciones web StackPath (PRUEBA GRATUITA)

El Cortafuegos de aplicaciones web es uno de un conjunto de servicios basados ​​en la nube ofrecidos por Ruta de pila que se especializa en “tecnología de punta”. Este término se refiere a la técnica de llevar los servicios conectados hasta el borde de su red y luego un poco más allá. StackPath es un servicio en la nube basado en suscripción que captura todo su tráfico antes de que llegue a su servidor web .

La configuración externa de StackPath proporciona protección adicional para su servidor web como cualquier El código malicioso ni siquiera tiene la oportunidad de tocar sus recursos. .

Características clave:

• Protección contra el virus
• Servicio de proxy
• Protección DDoS
• Evaluación de dirección IP

El tráfico web que se dirige a su sitio web se desvía para llegar primero al servidor StackPath. Las tres defensas fundamentales que ofrece este servicio son: Evaluación de dirección IP , validación del navegador , y el uso de reglas de enrutamiento basadas en contenido . Esta metodología se centra en la probabilidad de que las solicitudes entrantes provengan de fuentes dudosas. El filtrado de fuentes también bloquea cualquier intento de ataque DDoS.

Sólo el tráfico validado se reenvía a su servidor web. Todo ese procesamiento se realiza tan rápido que los usuarios habituales no experimentan ningún deterioro en la velocidad de conexión.

Ventajas:

• Ofrece una variedad de evaluaciones para solicitudes entrantes.
• Huella digital y validación del navegador
• Enrutamiento opcional para atender solicitudes
• Evaluaciones rápidas

Contras:

• Debe tener habilidades técnicas para aprovechar al máximo este servicio.

StackPath ofrece la Cortafuegos de aplicaciones web Gratis durante el primer mes de servicio.

StackPath Web Application Firewall primer mes gratis

3. Firewall del sitio web de Juices (APRENDE MÁS)

El Cortafuegos de aplicaciones web Sucuri es parte de un conjunto de medidas de protección de sitios web. El sistema de protección basado en la nube de Sucuri es un servicio en línea. La dirección de su sitio web está alojada en el servidor de Sucuri y todo su tráfico web va allí primero.

Características clave:

• Servicio de proxy
• Protección DDoS
• Escaneo rápido

El servicio Sucuri filtra el tráfico malicioso mediante una variedad de técnicas. La empresa mantiene una base de datos de firmas de ataques, que se actualiza constantemente, por lo que su sitio web se beneficia de las estrategias de protección aprendidas por Sucuri cuando defiende otros sitios .

El paquete de servicios incluye optimización del rendimiento y protección DDoS. El servidor Sucuri bloquea el tráfico malicioso y reenvía todas las solicitudes genuinas a su servidor web. Este proceso sucede tan rápido que los visitantes no notarán ninguna desaceleración en la entrega de sus páginas web.

El rendimiento de entrega se mejora mediante el almacenamiento en caché, lo que significa Incluso si su sitio está inactivo por mantenimiento, los visitantes aún podrán acceder a sus páginas web. .

Ventajas:

• Intervención en el tráfico del sitio web
• Aceleración de entrega
• Inteligencia de amenazas

Contras:

• Tienes que configurar la conexión tú mismo.

El cortafuegos de aplicaciones web Sucuri está disponible como servicio de suscripción y el precio comienza desde $9,99 al mes para su paquete básico. Vea los detalles del plan en su sitio web.

Firewall de aplicaciones web Sucuri Ver detalles del plan

4.FortinetFortiWeb

El FortiWeb WAF de Fortinet se ofrece como un sistema SaaS, como un paquete de software basado en VM o como un dispositivo. El software para WAF también está disponible para alojamiento en nube privada y puede implementarse como un sistema basado en contenedores.

Características clave:

• Marca respetada
• Protección DDoS
• Inteligencia de amenazas

El sistema FortiWeb funciona un servicio de protección DDoS cuando se accede como servicio en la nube o como dispositivo. El firewall de aplicaciones web examina todo el tráfico que viaja a la red e implementa aprendizaje automático basado en inteligencia artificial para detectar actividades sospechosas. FortiWeb también utiliza una fuente de inteligencia sobre amenazas para mantenerse actualizado con las últimas estrategias de ataque de piratas informáticos y busca patrones de comportamiento que se desvían de la norma calculada y parecen conducir a un ataque típico.

El WAF se puede combinar con un descargador de SSL y un equilibrador de carga .

Ventajas:

• Consíguelo como dispositivo virtual, dispositivo físico o paquete SaaS
• Autogestionado
• Opciones para integrar otros sistemas de seguridad de Fortinet

Contras:

• Funciona mejor con un conjunto completo de sistemas Fortinet

El servicio en la nube se cobra mediante suscripción y se puede acceder a su panel a través de cualquier navegador estándar desde cualquier lugar. La versión del dispositivo de red está disponible en ocho modelos que varían en capacidad desde 25 Mbps hasta 20 Gbps.

5. Imperva Nube WAF

Imperva es un actor importante en la industria de la ciberseguridad y sus servicios WAF son integrales. La versión en línea del firewall de aplicaciones web de Imperva actúa como un servidor proxy , capturando todo el tráfico entrante y limpiándolo antes de pasarlo al servidor web protegido.

Características clave:

• Servicio de proxy
• Continuidad de la disponibilidad del sitio
• Parches de seguridad

El servicio Imperva Cloud WAF está asociado con otros servicios de mejora web, como una red de entrega de contenido (CDN) , que acelera la entrega de páginas web y también proporciona disponibilidad constante en caso de que el servidor principal se caiga por mantenimiento o se dañe de alguna manera. El WAF incluye un parcheo virtual servicio, que aplica todos los parches necesarios en el sistema protegido y proporciona disponibilidad del sitio mientras el servidor web rebota.

Ventajas:

• Servicio de refuerzo de sistemas para servidores web.
• Protección contra ataques de tráfico malicioso
• Aceleración de entrega

Contras:

• La versión presencial requiere la compra de un electrodoméstico

Ofertas Imperva una opción de servicio gestionado para su Cloud WAF, que incluye especialistas y técnicos para ejecutar el software de seguridad. Una versión local del servicio de seguridad Imperva está disponible en una variedad de dispositivos de red, llamada Imperva WAF Gateway.

6. Cortafuegos de aplicaciones web Barracuda

El Cortafuegos de aplicaciones web Barracuda está disponible como sistema SaaS, dispositivo, dispositivo virtual o para instalación en una cuenta de nube privada. Esta flexibilidad de implementación significa que el WAF podría ser adecuado para empresas de cualquier tamaño.

Características clave:

• Opciones de implementación
• Bloquea malware y páginas infectadas.
• Protección del tráfico

El WAF canaliza todo el tráfico hacia un servidor web. tanto entrantes como salientes . Es capaz de detectar y bloquear ataques basados ​​en el tráfico, malware e intentos de ataque a la página. El servicio utiliza listas negras, para bloquear a los piratas informáticos, y listas blancas, para permitir el acceso a usuarios válidos sólo desde dispositivos específicos.

El sistema de seguimiento del tráfico del Barracuda WAF también proporciona prevención de pérdida de datos . Esto permite a las empresas cumplir con los estándares de protección de datos, como PCI DSS. El tráfico entrante se bloquea si se detectan solicitudes de conexión con formato incorrecto, lo que significa un ataque DDoS . En estas circunstancias, el servidor WAF absorbe y descarta ataques de volumen, permitiendo el paso de solicitudes de conexión genuinas.

Ventajas:

• Plataforma SaaS, dispositivo físico o dispositivo virtual
• Firewall inverso para protección de datos también
• Protección DDoS

Contras:

• Los electrodomésticos pueden ser costosos

Los dispositivos de red que ofrece Barracuda varían en capacidad desde 25 Mbps hasta 10 Gbps.

7. Cortafuegos de aplicaciones web Prophaze

Prophaze WAF como servicio es un servidor proxy basado en la nube que actúa como un firewall de aplicaciones web. El servicio Prophaze incluye Rutinas de IA que refinan las reglas de detección ajustando la línea base del comportamiento estándar. Esta característica ayuda a reducir la cantidad de falsas alarmas y ayuda a brindar acceso sin restricciones a los visitantes genuinos del sitio.

Características clave:

• WAF todo en uno personalizable multi/híbrido/privado/SaaS/basado en Kubernetes
• Incluye protección contra bots + RASP + DDOS + solución CDN con reglas ilimitadas
• Incorporación en solo 15 minutos
• Certificado SSL gratuito ilimitado
• Soporte 24 x 7 en Teams/Zoom/Google con retención de datos de 30 días
• El servicio Prophaze se cobra mediante suscripción con tres planes disponibles. El plan más alto, llamado SaaS, tiene capacidades multiinquilino, lo que lo hace adecuado para que lo utilicen los MSP. Puedes conseguir un prueba gratis del WAF como servicio de Prophaze.

El propio sistema Prophase funciona con Contenedores Kubernetes y también es capaz de monitorear el rendimiento y la seguridad de las actividades de Kubernetes de su propio sistema, así como realizar la detección tradicional de actividades de piratas informáticos.

No es necesario ser un experto para utilizar Prophaze WAF. La empresa dirige su producto a pequeñas empresas, por lo que está diseñado pensando en usuarios no técnicos. Se accede a las pantallas del tablero a través de cualquier navegador estándar y son claras y están bien diseñadas.

Ventajas:

• Bloquea virus y sitios infectados.
• Elimina el tráfico de piratas informáticos
• Endurecimiento del sistema

Contras:

• No on-site version

Las características incluyen Protección DDoS y parcheo virtual . Refuerza el sistema protegido y evita la pérdida de datos, lo que ayuda a cumplir con GDPR, HIPAA, CCPA, PCI-DSS y SOC2.

8. Cortafuegos de aplicaciones web de MS Azure

MicrosoftAzure es un conocido sistema de hipervisor que es una de las plataformas en la nube más exitosas disponibles. Al igual que AWS, la división Azure de Microsoft no sólo ofrece el sistema de plataforma para servicios en la nube, sino que también produce una gama de software que proporciona utilidades a otros sistemas. El Web Application Firewall es uno de estos productos.

Características clave:

• Marca fuerte
• Filtrado de tráfico
• Protección de Datos

Como ocurre con cualquier WAF, este servicio actúa como apoderado . Todo el tráfico entrante fluye primero a través del servidor de Azure, se inspecciona y el tráfico sospechoso se bloquea y el resto del tráfico se transfiere a su servidor web. Este modelo de servicio perimetral también convierte a Azure WAF en una excelente instalación para la protección DDoS y el equilibrio de carga. Todo el tráfico saliente de su servidor web también se enruta a través del WAF, que examina el tráfico en busca de eventos de pérdida de datos . Por lo tanto, este es un completo servicio de seguridad del tráfico web bidireccional.

El sistema rastrea automáticamente las diez vulnerabilidades principales registradas por el Proyecto abierto de seguridad de aplicaciones web (OWASP). Tiene reglas estándar integradas, pero el administrador de su servidor puede ajustarlas y agregar reglas personalizadas también.

Lo que diferencia a Azure de otros servicios perimetrales de esta lista es que no se cobra por suscripción. En cambio, tiene una tasa de carga medida . Este hecho y la ausencia de cargos de instalación hacen de este un excelente servicio para nuevas empresas y pequeñas empresas, así como para las corporaciones más grandes del mundo.

Ventajas:

• Ofrece prevención de pérdida de datos a través de un firewall inverso
• Bloquea ataques DDoS
• Escaneo de vulnerabilidades

Contras:

• El cobro retrospectivo podría generar facturas elevadas

La tarifa de precio de Azure WAF se calcula sobre una combinación de una tarifa por hora y una tasa de rendimiento de datos y se cobra mensualmente a vencido. Se trata de un coste inicial mucho menor que el de otros WAF de suscripción basados ​​en la nube, que esperan que la cuota de suscripción se pague por adelantado. Lo que es aún mejor es que Los primeros 10 TB de datos al mes son gratis. para todos, excepto los niveles de tráfico más bajos y las empresas con mucho tráfico, obtienen hasta 40 TB de rendimiento por mes de forma gratuita. El Firewall de aplicaciones web de Azure se puede examinar como parte de un Prueba gratuita de Azure de 12 meses .

9. Protección de aplicaciones esenciales F5

F5 es un proveedor de servicios de ciberseguridad de larga trayectoria y posee NGINX, Inc. , el productor del sistema de servidor web Nginx ampliamente utilizado. La experiencia de F5 y NGINX contribuyó a la producción conjunta del Protección de aplicaciones esenciales F5 Servidor de aplicaciones web basado en la nube.

Características clave:

• Vinculado a NGINX
• Fácil de configurar
• Opciones de implementación

La tecnología detrás de F5 Essential App Protect surgió de una adaptación del Administrador de seguridad de aplicaciones F5 – un WAF preexistente que se entregó en un dispositivo de red. La versión del dispositivo del firewall todavía existe y ahora se llama WAF avanzado BIG-IP . La versión NGINX es un complemento para el Nginx Plus sistema de servidor web y, por lo tanto, se entrega como descarga de software.

F5 Essential App Protect ha sido diseñado pensando en usuarios no técnicos, por lo que es fácil de configurar y gestionar a través de un panel al que se accede a través de cualquier navegador.

Ventajas:

• Opciones de implementación in situ en un dispositivo
• Puede proporcionarse como complemento para el servidor web NGINX.
• Inteligencia de amenazas

Contras:

• El servicio está en remodelación.

Las características de Essential App Protect WAF incluyen una fuente de inteligencia sobre amenazas de F5 Labs y protección completa para API, páginas y servicios web. Ofertas F5 una prueba gratuita de 15 días de Essential App Protect, que tiene límites de volumen de procesamiento.

10. WAF de nube

Llamarada de nube se ha vuelto muy exitoso en la protección de servidores web contra ataques DDoS y amplían su protección con un firewall de aplicaciones web. Este es un servicio en línea que es muy utilizado. Sus servidores gestionan 2,9 millones de solicitudes por segundo en nombre de su gran base de clientes.

Características clave:

• Opción gratuita
• Red de entrega de contenidos
• Protección de conmutación por error

El beneficio de suscribirse a un WAF en la nube ampliamente utilizado como Cloudflare es que la empresa puede aplicar economías de escala a su investigación de amenazas. Un intento de ataque a un cliente se traduce instantáneamente en una entrada de la lista negra para todos los servidores web protegidos por Cloudflare. . Si tiene un servidor central basado en la nube para su empresa o un sistema de entrega de contenido incluido en su presentación web, Cloudflare también puede cubrirlo. Integrar la protección DDoS completa de Cloudflare junto con su suscripción WAF es una tarea muy sencilla.

Ventajas:

• Un grupo de clientes muy grande con inteligencia sobre amenazas compartida
• Protección DDoS
• Aceleración de entrega

Contras:

• Lista confusa de opciones

11. Defensor del sitio inteligente de Kona

Akamai es líder mundial en mitigación de DDoS e integra protección DDoS completa con su firewall de aplicaciones web en un servicio en la nube llamado Site Defender. Un gran beneficio de combinar ambos servicios en un solo producto de seguridad es que usted No necesitarás dirigir tu tráfico a través de dos empresas diferentes. para que lleguen solicitudes genuinas a su servidor web.

Características clave:

• Protección DDoS
• Inteligencia de amenazas
• Servicios combinados

Como uno de los líderes en productos de seguridad online, Akamai suele ser el primero en descubrir nuevos exploits. Como cliente de Site Defender, usted se beneficia inmediatamente de esta información 'a la vanguardia' con bloqueos más estrictos e inteligentes del tráfico de piratas informáticos.

Ventajas:

• Combina filtrado de malware con protección DDoS
• Análisis de ataques
• Sistema alojado

Contras:

• No hay opción de alojamiento propio

¿Contra qué ataques protegen los WAF?

Un firewall de aplicaciones web, o WAF, debe proteger su servidor web y su contenido de las siguientes categorías de ataques:

• Secuencias de comandos entre sitios (XSS) – código HTML malicioso insertado en el campo de entrada de una página web por un hacker
• Campo escondido manipulación – Los piratas informáticos reescriben el código fuente de una página web para alterar los valores contenidos en campos ocultos y luego publican el código modificado en el servidor.
• Intoxicación por galletas – alterar los valores de los parámetros contenidos en las cookies para corromper los datos pasados ​​entre páginas web
• raspado web – extracción automatizada de datos de páginas web
• Layer 7 DoS attacks – abrumar un servidor web por la actividad recursiva de la aplicación
• Manipulación de parámetros – alterar valores en los parámetros de una llamada a una página web
• Desbordamiento del búfer – entrada del usuario que sobrescribe el código en la memoria
• Puerta trasera o opciones de depuración – informes de comentarios de los desarrolladores para pruebas de páginas web que los piratas informáticos pueden utilizar para acceder al procesador
• Comando sigiloso – un ataque al sistema operativo de un servidor web
• Navegación forzada – el hacker obtiene acceso a carpetas temporales o de respaldo en el servidor web
• Configuraciones erróneas de terceros – manipulación de inserciones de contenido proporcionadas por otras empresas
• Sitio vulnerabilidades / inyecciones SQL – consultas ingresadas en los campos de autenticación de usuario

Aunque un WAF funciona como interfaz de un sitio web, esta tecnología no proporciona una serie de funciones esenciales de control de acceso que su proveedor de alojamiento web necesita. Los WAF se centran en el código HTTP y los procedimientos de solicitud de otras aplicaciones de Internet, como FTP. En estos casos, las versiones seguras de estos protocolos de aplicación, HTTPS y SFTP también están cubiertos .

Así es como funcionan los WAF

Los WAF buscan irregularidades contenidas en las solicitudes entrantes y bloquean construcciones mal formadas o tortuosas. Un WAF no es responsable del equilibrio de carga entre un grupo de servidores. Aunque algunos tipos de ataques DDoS utilizan HTTP, la mayoría utiliza métodos de nivel inferior. Por lo tanto, un WAF lo protegerá contra ataques DDoS HTTP y FTP a nivel de aplicación/capa 7, pero no contra los llevados a cabo por otras estrategias.

Configuraciones WAF

Un WAF debe ser parte de su estrategia de protección de alojamiento web. Puede implementarse como una solución de hardware o como software.

Los defensores del software WAF argumentan que ya tiene suficiente hardware disponible, sólo necesita ampliar las capacidades de su equipo existente para obtener un firewall de aplicaciones web. Sin embargo, la ubicación ideal para el WAF es frente a sus servidores y la mayoría de las soluciones de software se instalan directamente en el servidor web.

Colocación de WAF

El mejor lugar para colocar su WAF es el enrutador que actúa como puerta de enlace entre su red (y por lo tanto, su servidor) e Internet. Esta estrategia implica que la mejor opción sería un enrutador que tenga un WAF integrado. Este sería un equipo independiente y evitaría que el tráfico dañino o la exploración de piratas informáticos lleguen a su valioso servidor.

Consideraciones WAF de software versus hardware

Entonces, ¿cuál debería elegir para controlar los costos? Los WAF de software son más baratos que las soluciones de hardware. Sin embargo, no crea que no hay costos de hardware por instalar el software WAF en sus servidores. Probablemente planificó la capacidad del hardware de su servidor y, por lo tanto, agregar una función adicional ocupará espacio en el disco, utilizará memoria y ocupará los procesadores de la CPU. Es posible que deba ampliar la capacidad de su servidor para alojar un WAF, por lo que implica costos de hardware.

Las habilidades en el sitio también son una consideración. Es probable que todo el personal de administración de su sistema esté familiarizado con el sistema operativo de su servidor, pero sería torpe con el firmware de un nuevo dispositivo. Los usuarios de WAF de hardware tienden a tratarlos como cajas negras e intervienen mucho menos en sus operaciones que con los WAF de software, lo que podría ser algo bueno.

Tanto el hardware como el software WAFS vienen con parches y soporte para actualizaciones. Sin embargo, la actualización de las versiones de software generalmente requiere su consentimiento y administración para cada instalación, mientras que los WAF de hardware tienden a ser actualizados directamente por el proveedor, lo que le deja sin problemas de administración de parches que consumen mucho tiempo.

En términos generales, tanto el WAF de hardware como el WAF de software realizan las mismas tareas. Los WAF de hardware mantienen la carga adicional fuera de sus servidores y pueden continuar funcionando incluso cuando desee desactivar uno de sus servidores. Un WAF de hardware es más confiable y se puede dejar que haga su trabajo solo. Aunque los WAF de hardware son probablemente mejores opciones que los WAF de software, los administradores tienden a preferir la accesibilidad y personalización de los WAF de software.

Funciones de firewall de aplicaciones web

No sólo debe escanear toda la actividad del usuario cuando una página web está activa, sino que también debe verificar el código de sus páginas web, incluidos los complementos disponibles en el mercado proporcionados por empresas externas. Los errores de codificación y los sitios de validación se conocen como vulnerabilidades de día cero. Son rutas no estándar que podrían permitir que un hacker acceda a su servidor web. Si los piratas informáticos descubren estos fallos de seguridad antes de que usted o el proveedor del código insertado vean el problema, quedará sujeto a un ataque de día cero que podría no estar cubierto por su WAF.

El valor de un WAF radica en las reglas que aplica a las respuestas de los usuarios. Estas configuraciones de reglas ejecutan procedimientos de validación que protegen su servidor web de actividades maliciosas al diseñar actividades para detectar y dictar acciones a tomar cuando se descubre un exploit. Se escribirán reglas para bloquear específicamente estrategias de ataque conocidas. Sin embargo, reglas adicionales y más flexibles en las rutinas del WAF son útiles para identificar amenazas de día cero.

Ver también: Los mejores escáneres de puertos gratuitos

Relacionado: Las mejores herramientas de seguridad para la detección de intrusos

WAF frente a firewalls de próxima generación frente a sistemas de prevención de intrusiones (IPS)

Los piratas informáticos son cada vez más sofisticados y, afortunadamente, también lo son los sistemas de ciberdefensa. Sin embargo, es posible que se sienta confundido acerca de las diferentes categorías de protección de red que ahora están disponibles.

La distinción entre una sistema de prevención de intrusiones (IPS) y cualquier tipo de firewall es muy fácil de detectar. El firewall defiende los límites de un sistema, mientras que el IPS monitorea el tráfico dentro de la red. Un IPS es una forma avanzada de un Sistema de detección de intrusiones (IDS) . Mientras que un IDS detecta actividad sospechosa, un IPS incluye procedimientos para cerrarla.

Cortafuegos de próxima generación Generalmente incluyen muchas de las técnicas utilizadas por las IPS. Es decir, registran toda la actividad en lugar de limitarse a examinar cada paquete a medida que pasa por la puerta de enlace. Sin embargo, los NGFW se encuentran en la puerta de entrada entre la red y el mundo exterior, mientras que los IPS se centran en el tráfico dentro de la red. Un WAF examina específicamente el tráfico web, transportado a través de los protocolos HTTPS y SSL. En resumen, el NGFW observa el tráfico que ingresa a la red, mientras que el WAF protege el servidor web.

WAF basados ​​en hardware versus WAF basados ​​en la nube: ventajas y desventajas

La elección de su propio equipo o de una solución de infraestructura en la nube a menudo puede depender de sus propias preferencias para cada configuración. Por ejemplo, algunas personas se sienten incómodas subcontratando elementos de su red y las funciones de seguridad de un servidor web son temas particularmente delicados.

Desventajas de los WAF basados ​​en la nube

El WAF se encuentra frente a todos los demás dispositivos y, por lo tanto, tiene que ser el destino de su URL. Eso significa que ya no tiene control directo sobre su tráfico porque todos los registros DNS dirigirán a los visitantes del sitio web primero a la infraestructura de la nube.

Cuando las empresas ofrecen WAF en la nube que incluyen otros servicios de seguridad front-end, tiene sentido combinarlos en un solo paquete. Por ejemplo, Si su proveedor WAF elegido no tiene un servicio de protección DDoS, deberá reenviar su tráfico a un segundo servicio en la nube para estar completamente cubierto contra todas las amenazas. . Contratar un servicio en la nube WAF puede encerrarlo en una sola empresa de seguridad en línea para toda su protección en línea y limitar sus opciones.

Los WAF examinan el contenido de los paquetes, por lo que primero deben eliminar toda la protección de cifrado antes de poder realizar su tarea principal. Esto significa que debe entregar su certificado SSL al proveedor de WAF en la nube, renunciando efectivamente a todas las funciones de seguridad de datos que protegen su servidor web, su contenido y la seguridad de sus clientes.

Debe tener mucha fe en su proveedor de WAF en la nube para estar preparado para permitir que este tercero se interponga entre usted y sus clientes.

Ventajas de los WAF basados ​​en la nube

Por otro lado, la reputación y la experiencia de los principales proveedores de WAF en la nube significan que no debe preocuparse por que lo decepcionen. Las empresas de nuestra lista se especializan en servicios de redes y seguridad. Su experiencia acumulada es mucho mayor de la que podría obtener internamente en su propia empresa. Probablemente exista un mayor riesgo para la disponibilidad y seguridad de su sitio web si intenta cubrir todas las tareas complicadas que implican estos problemas.

Las soluciones basadas en la nube se pueden pagar mensualmente , distribuyendo el costo de la seguridad de su aplicación web. En algunos casos, solo se le cobra por el rendimiento de su web, por lo que puede diferir el pago de su protección hasta el final del mes cuando se haya calculado y facturado el nivel de servicio.

Si ya subcontrata partes de su operación, ya ha aceptado el método de operación basado en la nube, por lo que no sería demasiado difícil subcontratar también su WAF. Es posible que deba cambiar de proveedor existente si combinar otros servicios, como protección DDoS y equilibrio de carga, con su nuevo WAF tiene más sentido logístico y económico.

Desventajas de los WAF basados ​​en hardware

Al considerar el costo de un WAF de hardware, debe agregar los gastos de instalación, alojamiento, protección y mantenimiento. Los WAF en línea se actualizan automáticamente, por lo que siempre están actualizados y listos para enfrentar la última amenaza emergente. Obtener ese nivel de preparación en su propio dispositivo WAF puede resultar costoso.

La mayoría de los proveedores de WAF de hardware ofrecen un servicio de actualización. Las correcciones para nuevas amenazas se envían automáticamente a su dispositivo WAF a través de Internet y renovará su firmware sin su intervención. . En el caso de algunas amenazas nuevas, es posible que sea necesario actualizar otros equipos y software de su red, y el servicio de soporte de su proveedor WAF también se los proporcionará.

Este proceso se denomina 'parche virtual' y es la versión WAF de las actualizaciones clásicas de la base de datos del firewall. Sin embargo, aunque todos los proveedores de hardware de nuestra lista ofrecen parches virtuales, no todos incluyen ese servicio de forma gratuita. Cuando se incluye el servicio de actualización, normalmente sólo es gratuito durante el primer año. Después de eso, deberá pagar más por el soporte de su WAF interno.

El costo inicial de comprar un WAF de hardware puede ser un gasto inconveniente cuando se lucha por poner en funcionamiento su nueva empresa web. Si renuncia inicialmente a esta solución de seguridad de aplicaciones, puede caer en la creencia de que es un extra innecesario incluso cuando llegue al punto en el que tenga dinero de sobra. . Este es un escenario peligroso, porque sólo te darás cuenta de que necesitas protección WAF una vez que hayas sido golpeado por un ataque. Para entonces, los motores de búsqueda bloquearán su sitio web por contener código malicioso y lo expulsarán del negocio.

Ventajas de los WAF basados ​​en hardware

Si está ejecutando su propio servidor web, probablemente ya sepa mucho sobre redes y sistemas de Internet. Es posible que necesite un equilibrador de carga una vez que instale servidores adicionales para hacer frente a la demanda. Si ese es el caso, puede comprar un caché web, un equilibrador de carga y un WAF combinados y satisfacer todos sus requisitos de front-end en un solo dispositivo.

Tener su propio WAF significa que no tiene que entregar su dirección web a un tercero. Si en algún momento necesita una protección DDoS exhaustiva, su URL deberá ir al proveedor de mitigación de DDoS. Sin embargo, en este caso, no necesitará limitar su elección de protección DDoS a la proporcionada por su empresa WAF en la nube. No se comprometerá a dirigir su URL para proporcionar su WAF.

Elegir una solución de firewall para aplicaciones web

Ya sea que prefiera tener su propio WAF en su red o crea que sería mejor optar por una solución WAF basada en la nube, esta revisión le brinda cinco opciones a considerar. Seleccionar nuevos equipos, software y servicios para su empresa puede llevar mucho tiempo. En esta guía, nos hemos encargado de esa primera fase por usted.

Su próxima tarea es reducir sus opciones. Los extras adicionales que ofrece cada uno de estos proveedores de WAF lo guiarán hacia esa elección. La capacidad de cada servicio también es una consideración importante y debe tener en cuenta la escalabilidad para tener en cuenta sus futuros planes de expansión.

Tome la decisión de optar por un hardware dedicado o un WAF basado en la nube y luego consulte cada uno de los cinco enumerados en esa categoría. Sería un error pasar por alto la protección que un firewall de aplicaciones web dedicado ofrece a su organización. No espere hasta que sea demasiado tarde y su sitio ya haya sido atacado. Implemente un WAF ahora para mantener su sitio web en línea.

Preguntas frecuentes sobre el firewall de aplicaciones web

¿Cuál es la diferencia entre un firewall normal y un WAF?

Los firewalls de red y endpoints operan a un nivel de pila más bajo que los firewalls de aplicaciones web. Como sugiere el nombre, los WAF examinan los atributos en la capa de aplicación (Capa 7), mientras que los firewalls típicos funcionan en la capa de red (Capa 3). Por lo tanto, cada uno analiza diferentes características del tráfico entrante. Otra diferencia importante entre estos dos servicios es que un firewall típico se integra en la arquitectura de una puerta de enlace de red (o interfaz de red informática), pero los WAF tienen una configuración de proxy inverso.

¿Qué son las reglas WAF?

Las reglas WAF son una lista de cosas que el firewall debe tener en cuenta. Son características específicas del tráfico web y los lugares específicos donde buscarlas en el flujo de datos. Las reglas también se denominan 'políticas'. Incluyen la acción a tomar al detectar un intento de ataque, que normalmente implica simplemente no pasar ese tráfico al servidor que se está protegiendo.

¿Cuáles son los 3 tipos de firewalls?

Los tres tipos de firewalls sonfiltros de paquetes,inspección de paquetes con estado, ycortafuegos del servidor proxy.

• Los filtros de paquetes analizan las características técnicas de todos los paquetes que entran y salen de una red y descartan aquellos que no coinciden con un patrón determinado o coinciden con una lista de características incluidas en la lista negra.
• La inspección de paquetes con estado (SPI), también conocida como filtrado dinámico de paquetes, también funciona en la capa de red, pero registra las características de los paquetes individuales para poder detectar ataques que se dividen en varios paquetes.
• Un WAF es un firewall de servidor proxy porque todo el tráfico se dirige a través del WAF en su camino hacia el servidor. Opera en la capa de aplicación y sustituye la dirección IP del servidor protegido por la suya propia.