Web Application Firewall jest dostępny w postaci wirtualnej oraz jako rozwiązanie sprzętowe. Realizuje głównie takie zadania jak blokada przed włamaniami i atakami, których celem są aplikacje uruchomione na serwerach internetowych i w usługach hostowanych. Rozwiązanie to skanuje cały ruch sieciowy weryfikując nie tylko zapytania do aplikacji, ale także odpowiedzi serwerów.  Wbudowana kontrola dostępu pozwoli zdefiniować administratorowi dostęp do poszczególnych aplikacji dla zautoryzowanych użytkowników. Load balancing pozwoli zrównoważyć obciążenie pomiędzy poszczególne serwery back-endowe. SSL Offloading pozwoli odciążyć serwery wewnętrzne, a kompresja i caching znacząco ograniczy ruch do nich.

 

Barracuda Web Application Firewall może być wdrożony w 3 trybach:

1. Revers Proxy Two-Arm - urządzenie wykorzystuje 2 fizyczne interfejsy (LAN, WAN) i jest zalecaną metodą wdrożenia, ponieważ zapewnia najlepszą ochronę i wykorzystuje wszystkie możliwości akceleracji ruchu.

 

2. Revers Proxy One-Arm - urządzenie wykorzystuje tylko port WAN zarówno dla ruchu przychodzącego i wychodzącego.

 

3. Bridge - urządzenie korzysta z tego samego adresu IP dla Virtual IP i serwera back-end. Jest to zalecany tryb wdrożenia, jeżeli nie jest możliwa rekonfiguracji sieci. Tryb ten nie jest obsługiwany dla rozwiązania w formie virtual appliance.

 

Funkcje dostępne w Barracuda Web Application Firewall:

1. Ochrona przeciwko atakom DDoS

 

Barraduda Web Application Firewall zapewni ochronę kluczowych aplikacji przed atakami definiowanymi przez organizację OWASP, czyli TOP 10 ataków internetowych takich jak SQL Injection, Cross-site Scripting (XSS), oraz Cross-site Request Forgery (CSRF). Dzięki zastosowaniu mechanizmu CAPTCHA można rozróżnić sesje generowane z poziomu "żywych" użytkowników i sieci boot oraz robaków.

 

2. XML Firewall

 

XML Firewall zapewnia ochronę aplikacji przed atakami typu: schema poisoning, WSDL poisoning, XML Parameter Tampering, Inadvertent XDoS, Oversized Payload, External Entity Attack, Malicious Code Injection, Highly-Nested Elements, Recursive Parsing i innymi atakami z wykorzystaniem XML.

 

3. SSL Offloading

 

Administrator może odciążyć zasoby serwera przez przeniesienie przetwarzania SSLa (szyfrowanie, rozszyfrowywanie ruchu web) na urządzenia Barracuda WAF. Ruch szyfrowany będzie terminowany pomiędzy klientem a urządzeniem Barracuda. Pomiędzy urządzeniem a serwerami back-end ruch ten będzie w formie rozszyfrowanej

 

4. Load balancing i kompresja ruchu

 

Barracuda WAF wdrożony przed serwerami back-end, rozprowadza ruch pomiędzy nimi za pomocą skonfigurowanego algorytmu, obsługując wszystkie typy aplikacji. Utrzymanie stanu sesji zapewnia, że kolejne zapytanie z tego samego adresu IP będą kierowane do tego samego serwera back-end. Urządzenie automatycznie monitoruje stan serwera poprzez śledzenie jego odpowiedzi i oznacza serwer jako out-of-service, gdy błędy odpowiedzi przekroczą próg zdefiniowany przez administratora.

 

5. Cloaking

 

Cloaking realizowany po stronie Bararcuda WAF uniemożliwia hakerom uzyskanie informacji, które mogłyby zostać wykorzystane do uruchomienia udanego ataku. Nagłówki HTTP zwracają kody, które są maskowane przed wysłaniem odpowiedzi do klienta. Maskowanie obejmuje takie funkcje jak usunięcie i blokowanie błędów klienta (kod statusu 4xx) oraz błędów serwera (kod stanu 5xx).

 

6. Integracja z usługami katalogowanymi

 

Barracuda Web Application Firewall integruje się z Active Directory oraz innymi usługami takimi jak Radius, Kerberos, SiteMinder, RSA SecureID. Dzięki temu administrator może dokładnie określać użytkowników mogących korzystać z określonych zasobów.

 

7. Profil uczenia

 

Profil uczenia umożliwia budowanie pozytywnych profili bezpieczeństwa aplikacji dzięki weryfikacji ruchu sieciowego z zaufanych hostów. Tryb taki zapewnia najwyższy poziom bezpieczeństwa przed atakami typu 0-day.

 

8. Logowania, monitoring i raportowanie

 

Urządzenie Barracuda WAF posiada ponad 50 wbudowanych raportów dostępnych dla administratora. Wygenerowane raporty są w pełni interaktywne i dają możliwość dowolnego ich przeglądania. Raporty obejmują zgodności PCI, bezpieczeństwo, audyt, ruchu internetowy oraz analityki geo-lokalizacji. Wszystkie logi zbierane na urządzeniu można wyeksportować do systemów SIEM firm trzecich lub narzędzi zarządzania logami w celu ich głębszej analizy.

 

Podsumowując, Barracuda Web Application Firewall idealnie nadaje się do zabezpieczenia aplikacji web nie tylko na serwerach lokalnych ale także na usługach hostowanych. Zaawansowane opcje konfiguracyjne pozwolą administratorowi na zdefiniowanie nawet najbardziej złożonych polityk bezpiecznego dostępu do wrażliwych usług biznesowych.