Barracuda

Barracuda Web Application Firewall

Barracuda WAF zabezpiecza aplikacje internetowe przed DDoS, botami i exploitami, zwiększając wydajność, dostępność i ochronę danych.
Wycena indywidualna
Producent: Barracuda

Barracuda Web Application Firewall

Ochrona aplikacji webowych przed atakami warstwy 7, wyciekiem danych i DDoS - w architekturze reverse proxy z wbudowanym load balancingiem i SSL offloadingiem. Barracuda Web Application Firewall blokuje ataki wymierzone w aplikacje hostowane na serwerach webowych - w tym OWASP Top 10, SQL injection, XSS, cookie tampering i web scraping - oraz skanuje ruch wychodzacy w celu zapobiegania wyciekom danych. Dostepny jako urzadzenie fizyczne (modele 360-960) lub wirtualny appliance. Certyfikat ICSA. Bez licencji per-user i per-module.

Typ rozwiązania
WAF - warstwa aplikacji
Ochrona aplikacji webowych przed OWASP Top 10, DDoS i wyciekiem danych. Architektura full reverse proxy. Certyfikat ICSA.
Wdrożenie
Hardware + Virtual
Modele fizyczne 360-960 oraz wirtualne appliance. Wsparcie dla 1-300 serwerow backendowych w zaleznosci od modelu.
Wydajność (model 960)
5 Gbps / 180K HTTP TPS
Model 960: 5 Gbps przepustowosci, 180 000 HTTP transakcji/s, 50 000 SSL transakcji/s, do 300 serwerow backend.
Uwierzytelnianie
SAML, Kerberos, Azure AD
Kontrola dostepu oparta na tozsamosci: LDAP, RADIUS, SAML v2, Kerberos v5, Azure AD, RSA SecurID, SSO, Multi-Domain SSO.
Licencjonowanie
Bez opłat per-user
Brak licencji per-user i per-module. REST API, zarzadzanie oparte na rolach i centralne zarzadzanie wliczone w cene produktu.

Co wyróżnia Barracuda Web Application Firewall

01
Pelna ochrona OWASP Top 10 w architekturze full reverse proxy - bez strojenia reguł. Prebudowane szablony bezpieczenstwa zapewniaja natychmiastowa ochrone po wdrozeniu bez koniecznosci czasochlonnego uczenia sie aplikacji ani recznej konfiguracji reguł. Architektura full reverse proxy skanuje caly ruch przychodzacy w poszukiwaniu atakow oraz ruch wychodzacy pod katem wycieku danych. Automatyczne aktualizacje sygnatur zapewniaja ochrone przed nowymi zagrożeniami bez ingerencji administratora.
02
Wbudowane zapobieganie wyciekom danych (DLP) - numery kart kredytowych i niestandardowe wzorce. Barracuda Web Application Firewall skanuje ruch wychodzacy i blokuje wycieki numerow kart kredytowych oraz danych dopasowanych do niestandardowych wzorcow (regex). Ochrona DLP dziala na poziomie odpowiedzi serwera - aplikacja webowa z bledem nie ujawni danych klientow przed ich wyslaniem do przegladarki.
03
Kontrola dostepu oparta na tozsamosci - SAML, Kerberos, Azure AD i SSO. Silne mozliwosci uwierzytelniania i autoryzacji ograniczaja dostep do wrazliwych aplikacji i danych wylacznie do autoryzowanych uzytkownikow. Obsluga LDAP, RADIUS, certyfikatow klienta, SMS Passcode, SSO, Multi-Domain SSO oraz zaawansowanych metod: Kerberos v5, SAML, Azure AD, RSA SecurID.
04
Integracja ze skanerami podatnosci i automatyczne remediacje. Barracuda Vulnerability Manager umozliwia skanowanie aplikacji webowych z poziomu chmury. Wyniki skanowania moga byc automatycznie przeksztalcane w reguly ochrony (Vulnerability Remediation Service) - luki w aplikacji sa uszczelniane bez ingerencji w kod zrodlowy. Integracja z narzedzami SIEM (Splunk, HPE ArcSight, RSA enVision, Microsoft Azure Event Hub) automatyzuje monitorowanie i zarzadzanie zdarzeniami.

Opis techniczny

Barracuda Web Application Firewall to kontroler bezpieczenstwa aplikacji webowych dzialajacy w architekturze full reverse proxy. Umieszczony miedzy internetem a serwerami webowymi skanuje caly ruch przychodzacy w celu blokowania atakow oraz ruch wychodzacy w celu zapobiegania wyciekom danych. Ochrona obejmuje OWASP Top 10, SQL injection, Cross-site Scripting (XSS), cookie i form tampering, web scraping, inspekcje payloadu JSON i XML, walidacje metadanych pol formularzy, kontrole limitow protokolow oraz kontrol przesylania plikow.

Ochrona przed DDoS integruje baze reputacji IP Barracuda, heurystyczne odciski palcow (heuristic fingerprinting), wyzwania CAPTCHA, ochrone przed powolnymi klientami (slow client protection) i blokowanie wezlow Tor. Integracja z Barracuda NextGen Firewall umozliwia blokowanie zlosliwych adresow IP na poziomie sieci. Wbudowane akceleracja aplikacji obejmuje SSL offloading, caching, kompresje i TCP connection pooling - bezpieczenstwo bez wplywu na wydajnosc. Load balancing i content routing sa dostepne w modelach 460 i wyzszych.

Zarzadzanie opiera sie na interfejsie webowym z konfigurowalnymi rolami (RBAC), szablonami niestandardowymi, REST API i planowanymi raportami. Centralne zarzadzanie wieloma urzadzeniami dostepne we wszystkich modelach. Produkt posiada certyfikat ICSA. Licencjonowanie nie zawiera opłat per-user ani per-module.

Obszary funkcjonalne

Bezpieczenstwo aplikacji webowych
OWASP Top 10 i wiecej
OWASP Top 10, SQL injection, XSS, cookie/form tampering, walidacja metadanych pol formularzy, web scraping, website cloaking, szyfrowanie URL, kontrola odpowiedzi, inspekcja JSON, XML firewall, kontrola przesylania plikow, geo IP, blokowanie Tor.
Ochrona przed DDoS
IP Reputation + heurystyka
Baza reputacji IP Barracuda, heuristic fingerprinting, CAPTCHA challenges, slow client protection, blokowanie wezlow Tor, Barracuda blacklist, ochrona przed wolumietrycznym DDoS, integracja z Barracuda NextGen Firewall.
Uwierzytelnianie i autoryzacja
SAML, Kerberos, Azure AD
Podstawowe: LDAP/RADIUS, certyfikaty klienta, SMS Passcode, SSO, Multi-Domain SSO. Zaawansowane: Kerberos v5, SAML, Azure AD, RSA SecurID. Kontrola dostepu do wrazliwych aplikacji i danych.
Zapobieganie wyciekom danych
Numery kart, niestandardowe wzorce
Skanowanie ruchu wychodzacego: wykrywanie i blokowanie numerow kart kredytowych, niestandardowe dopasowanie wzorcow (regex). Ochrona przed wyciekiem poufnych danych przez bledie skonfigurowane aplikacje.
Dostarczanie i akceleracja aplikacji
SSL offloading, load balancing
High availability (active/passive), SSL offloading, load balancing, content routing, caching, kompresja, TCP connection pooling. Modele 460 i wyzsze.
Integracje SIEM i zarzadzanie
Splunk, ArcSight, Azure Event Hub
Integracje SIEM: HPE ArcSight, RSA enVision, Splunk, Symantec, Microsoft Azure Event Hub. REST API, centralne zarzadzanie, RBAC, planowane raporty, Barracuda Vulnerability Manager.

Porównanie modeli

Model 360 przeznaczony dla malych srodowisk (1-5 serwerow backend). Pelny zestaw funkcji WAF, adaptacyjne profilowanie, AV dla przesylanych plikow, XML firewall i szyfrowanie URL dostepne od modelu 660.

Parametr / Model 360 460 660 860 960
Wydajnosc
Przepustowosc 25 Mbps 50 Mbps 200 Mbps 1 Gbps 5 Gbps
HTTP transakcje/s 8 000 15 000 30 000 90 000 180 000
SSL transakcje/s 2 500 4 000 12 000 30 000 50 000
Serwery backend (max.) 5 10 25 150 300
Form factor 1U Mini 1U Mini 1U 2U 2U
Porty 10 GbE - - - - 2x 10 GbE
Funkcje
OWASP Top 10, DLP, bot protection
SSL offloading, HA active/passive
Caching, kompresja, load balancing -
ECC Memory - -
Adaptive profiling, AV, XML firewall, URL encryption - -
SAML v2, Advanced Threat Protection - -

Kluczowe funkcje

Bezpieczenstwo aplikacji webowych
OWASP Top 10, SQLi, XSS, web scraping
Co robiOchrona przed OWASP Top 10, SQL injection, XSS, cookie/form tampering, web scraping, inspekcja JSON i XML, szyfrowanie URL, website cloaking, kontrola przesylania plikow, blokowanie geo IP i Tor.
W praktycePrebudowane szablony dzialaja od razu po wdrozeniu - bez tygodni strojenia reguł. Automatyczne aktualizacje dodaja ochrone przed nowymi wektorami atakow bez interwencji administratora.
Ochrona przed DDoS
IP Reputation, CAPTCHA, slow client
Co robiBaza reputacji IP Barracuda, heuristic fingerprinting, wyzwania CAPTCHA, ochrona przed powolnymi klientami, blokowanie Tor, Barracuda blacklist, ochrona przed wolumietrycznym DDoS, integracja z Barracuda NextGen Firewall.
W praktyceBoty i zosliwy ruch sa odfiltrowane zanim dotra do serwera aplikacyjnego. Znane zlosliwe IP sa automatycznie blokowane na podstawie bazy Barracuda aktualizowanej w czasie rzeczywistym.
Uwierzytelnianie i autoryzacja
SAML, Kerberos v5, Azure AD, SSO
Co robiPodstawowe: LDAP/RADIUS, certyfikaty klienta, SMS Passcode, SSO, Multi-Domain SSO. Zaawansowane: Kerberos v5, SAML, Azure AD, RSA SecurID. Granularna kontrola dostepu do aplikacji i danych.
W praktyceAplikacje wewnetrzne bez wlasnego mechanizmu SSO uzyskuja go na poziomie WAF - bez modyfikacji kodu. Dostep do wrazliwych sekcji aplikacji jest ograniczony do uwierzytelnionych uzytkownikow.
SSL Offloading i akceleracja
Caching, kompresja, TCP pooling
Co robiSSL offloading przenosi obsluge SSL z serwerow aplikacyjnych na WAF. Wbudowane caching, kompresja i TCP connection pooling zapewniaja bezpieczenstwo bez wplywu na wydajnosc.
W praktyceSerwery aplikacyjne nie tracą mocy obliczeniowej na szyfrowanie - obsluguja wiecej zapytan. Czas odpowiedzi aplikacji spada, skalowalnosc rosnie.
Zapobieganie wyciekom danych
Numery kart kredytowych, wzorce regex
Co robiSkanowanie ruchu wychodzacego i blokowanie wycieku numerow kart kredytowych oraz danych dopasowanych do niestandardowych wzorcow (regex). Ochrona dziala na poziomie odpowiedzi serwera.
W praktyceBlad w aplikacji webowej nie ujawni danych klientow - WAF wykrywa wrazliwe dane w odpowiedzi serwera przed ich wyslaniem do przegladarki uzytkownika.
Skanowanie podatnosci i remediacja
Barracuda Vulnerability Manager, auto-remediation
Co robiBarracuda Vulnerability Manager umozliwia skanowanie aplikacji webowych z poziomu chmury. Vulnerability Remediation Service automatycznie przeksztalca wyniki skanowania w reguly ochrony WAF. Integracja z zewnetrznymi skanerami podatnosci.
W praktyceLuka w aplikacji jest uszczelniana na poziomie WAF bez czekania na poprawke w kodzie zrodlowym - wirtualna latka dziala natychmiast po wykryciu podatnosci.

Wsparcie i opcje sprzetowe

Instant Replacement Service
Wymiana nastepnego dnia
Wymiana urzadzenia nastepnego dnia roboczego, wsparcie techniczne 24x7, bezplatne odswiezenie sprzetu co cztery lata.
Certyfikacja
ICSA
Produkt posiada certyfikat ICSA potwierdzajacy skutecznosc ochrony aplikacji webowych.
Licencjonowanie
Bez oplat per-user / per-module
Brak dodatkowych oplat za liczbe uzytkownikow ani za poszczegolne moduły. REST API i centralne zarzadzanie wlaczone w cene.
Advanced Threat Protection
Opcjonalne (modele 660+)
Wymaga osobnej licencji. Dostepne dla modeli 660 i wyzszych.
Ethernet Bypass
Opcjonalne
Opcjonalny sprzetowy Ethernet bypass dostepny jako dodatek do urzadzen fizycznych.
Zarzadzanie
Web UI + REST API
Interfejs webowy z RBAC, szablony niestandardowe, REST API, raporty interaktywne i planowane, centralne zarzadzanie wieloma urzadzeniami.

Wspierane protokoly i integracje

HTTP/S 0.9/1.0/1.1/2.0WebSocketFTP/SXMLJSONIPv4 / IPv6VLAN / NATLDAP / RADIUSSAML v2Kerberos v5Azure ADRSA SecurIDREST APISplunkHPE ArcSightRSA enVisionMicrosoft Azure Event HubBarracuda NextGen FirewallBarracuda Vulnerability Manager

        Zwiększa wydajność, reguluje wykorzystanie przepustowości i zapobiega ryzykownym zachowaniom, wymuszając szczegółowe zasady dotyczące działań użytkowników. Kontroluje dostęp do stron internetowych, aplikacji i platform Web 2.0 w oparciu o użytkowników, czasie jaki spędzają na stronach internetowych oraz ilość danych jakie mogą z nich pobierać.

        Konfiguracja Barracuda Web Security Gateway jest prosta i łatwa do wdrożenia, zapewniając dostosowaną ochronę sieci w kilka minut od wdrożenia.

        Rozszerza bezpieczeństwo jego polityki na użytkowników zdalnych. Dzięki lekkości klienta oraz dedykowanej przeglądarce Barracuda Safe Browser, ruch sieciowy filtrowany jest z identyczną dokładnością jak w przypadku użytkowników stacjonarnych. Filtrowanie nie ma żadnego wpływu na komfort użytkowania Internetu.

        barracuda-web-security-gateway_201801261236.pdf
        Forcepoint DSPM (Data Security Posture Management)

        Forcepoint DSPM (Data Security Posture Management)

        Wycena indywidualna
        Zobacz więcej
        Forcepoint DLP for Email

        Forcepoint DLP for Email

        Wycena indywidualna
        Zobacz więcej
        Barracuda Web Application Firewall Nowość

        Barracuda Web Application Firewall

        Barracuda WAF zabezpiecza aplikacje internetowe przed DDoS, botami i exploitami, zwiększając wydajność, dostępność i ochronę danych.

        Wycena indywidualna
        Zobacz więcej