PT Application Firewall — Межсетевой экран уровня веб-приложений (web application firewall, WAF)

Веб-приложения по-прежнему остаются популярной целью для злоумышленников. Как показали исследования, каждая пятая атака направлена на веб-ресурсы организаций, чаще всего — государственных и медицинских учреждений, онлайн-сервисов, организаций сферы науки и образования и IT-компаний.
PT Application Firewall защищает веб-приложения от внешних атак и не позволяет злоумышленникам эксплуатировать уязвимости. С помощью комбинации защитных технологий решение предотвращает как известные атаки, так и атаки нулевого дня.

Преимущества

Поддерживает непрерывность бизнес-процессов
PT Application Firewall защищает от DDoS-атак уровня приложений (L7), эксплуатации уязвимостей, связанных с ошибками в бизнес-логике приложений.

Минимизирует риск утечки информации
PT Application Firewall блокирует современные атаки на веб-приложения, включая те, что в списке OWASP Top 10 и классификации WASC, а также благодаря алгоритмам машинного обучения блокирует атаки нулевого дня.

Помогает выполнять требования стандартов
PT Application Firewall помогает соблюдать требования PCI DSS и других международных, государственных и корпоративных стандартов безопасности.  Решение зарегистрировано в реестре российского ПО, имеет действующий сертификат ФСТЭК России и сертификат соответствия Республики Казахстан.

  • Выявляет сложные многофазные атаки
  • Защищает от DDoS-атак уровня приложений
  • Автоматически выявляет уязвимости приложения
  • Защищает от атак на пользователей приложения
  • Противодействует вредоносным ботам
  • Предотвращает загрузку вредоносного ПО
  • Блокирует атаки нулевого дня
  • Выполняет виртуальный патчинг

Варианты внедрения

Автономный режим — Анализ файлов, содержащих историю запросов к веб-приложению (журналы). Этот режим больше подходит для обучения или расследования инцидентов.

В «разрез» трафика — в этом режиме будет обеспечен анализ всех HTTP-запросов к веб-приложению и активное предотвращение атак. В этом варианте PT AF может стоять в режиме Proxy или L2 Bridge.

В режиме мониторинга — когда осуществляется анализ копии трафика без блокировки запросов и предотвращения атак. Об обнаруженных атаках отправляются уведомления администратору.

Возможности интеграции

MaxPatrol SIEM
Передача событий веб-безопасности для их дальнейшей корреляции

PT Application Inspector
Формирование виртуальных патчей для защиты от эксплуатации обнаруженных уязвимостей

PT MultiScanner или PT Sandbox
Защита веб-порталов от загрузки вредоносного ПО

Next Generation Firewalls (NGFW), например Check Point
Системы Anti-DDoS, например NETSCOUT Arbor
DLP— и антивирусные системы (по протоколу ICAP)
SIEM-системы (по протоколу syslog)

Режимы работы

STANDALONE — Установка продукта на одной аппаратной или программной платформе
CLUSTER — Установка продукта на две и более аппаратных или программных платформы

Поставка

HARDWARE APPLIANCE — Для развертывания на физическом сервере. Производительность до 40 000 RPS
VIRTUAL APPLIANCE — Для развертывания на виртуальной машине. Производительность до 10 000 RPS

Схема лицензирования

За базу лицензирования PT AF принимается требуемая производительность решения: 1000, 5000, 10000, 20000, 40000 или 100000 запросов в секунду соответственно.

Кроме того, на стоимость лицензии влияет:

  • исполнение: виртуальное или физическое (hardware appliance требует приобретения шасси
  • первичное это приобретение продукта или продление
  • вариант внедрения — отдельно приобретаются дополнительные лицензии для пассивного узла кластера
  • срок использования продукта и получения технической поддержки
  • приобретение дополнительных модулей P-Code и M-Scan

Максимально возможная производительность модуля анализа исходного кода P-Code и модуля мультивендорной антивирусной проверки M-Scan составляет 5000 RPS.

Техническая поддержка

УслугаОбычная техподдержкаРасширенная техподдержка
Режим поддержки8/524/7
Обновление++
Приоритетное обслуживание обращений+
Выделенный технический специалист+
Количество трудочасов, на которые можно задействовать специалистов вендора для решения задач настройки продукта40

Шасси

Артикул Positive Techlogies Unified Chassis для основной лицензии имеет вид PA-AF-CHxxx-N-M-H-C1, где:

ИндексРасшифровкаОписание
PT AFPT AFОбозначение моделей, лицензий и услуг в рамках PT AF
CHxx
CH1xx
CH2xx
CH3xx
CH-chassis
xx, 1xx, 2xx, 3xx — номер модели, где:
xx — производительность до 1000 RPS
1xx — производительность до 10000 RPS
2xx — производительность до 40000 RPS
3xx — производительность до 100000 RPS
Модель шасси (аппаратной части) в составе физического программно-аппаратного комплекса (Hardware Appliance)

При развертывании PT AF на виртуальных машинах необходимо учитывать ограничение по производительности в 10 000 RPS. Гарантийные обязательства на PT Unified Chassis действуют в течении 5 лет.

Параметры производительности

Параметры производительности рассчитываются в RPS (request per second) — количестве HTTP-запросов в секунду ко всем приложениям, которые предполагается защищать в рамках данной лицензии.

В зависимости от варианта поставки — Virtual Appliance или Hardware Appliance — доступны следующие варианты производительности PT AF:

Вариант поставкиМаксимально возможная производительность
Virtual Appliance1000500010000
Hardware Appliance10005000100002000040000100000