BARRACUDA WEB APPLICATION FIREWALL

Schützen Sie Ihre Webseiten und Applikationen vor fortgeschrittenen Cyber-Bedrohungen.

VIDEO ANSEHEN

Web-Application-Security

Schutz vor allen OWASP-gelisteten Angriffen, einschließlich der „Top 10“ (SQL-Injektion, Cross-Site Scripting, CSRF usw.) sowie neu hinzugekommene Funktionen wie z. B. API-Protection. Die erweiterte Protokollierung und Berichterstellung bietet einen tiefen Einblick in Traffic- und Angriffsdetails, sodass Administratoren in der Lage sind zu blockieren, zu drosseln, umzuleiten oder verschiedene andere Maßnahmen zu ergreifen, um den vollständigen Schutz aufrechtzuerhalten.

Barracuda Advanced-Bot-Protection nutzt Cloud-basiertes maschinelles Lernen für:

  • Bot-Spam-Erkennung – Referrer-Spam reduzieren und Comment-Spam blockieren

  • Credential-Stuffing-Vorbeugung – Credential-Stuffing verhindern, um Kontoübernahme-Angriffe zu stoppen

  • Anfragerisiko-Bewertung – Erweiterte Verhaltensanalysen verfolgen und nutzen, um eingehende Anfragen zu bewerten

  • Client-Fingerprinting – Benutzer mit höherer Zuverlässigkeit als mit IP-Adressen erfassen

Erstellen Sie positive Sicherheitsprofile für Anwendungen, indem Sie den Webverkehr von vertrauenswürdigen Hosts abfragen. Sobald die positiven Sicherheitsprofile aktiviert sind, können Administratoren granulare Whitelist-Regeln für sensible Teile der Anwendung durchsetzen. Dies verringert das Risiko von Angriffen erheblich und hilft, Zero-Day-Schwachstellen zu verhindern.

Oft besteht der erste Schritt eines gezielten Angriffs darin, öffentlich zugängliche Anwendungen zu testen, um mehr über die zugrundeliegenden Server, Datenbanken und Betriebssysteme zu erfahren. Cloaking verhindert das Sammeln von Informationen zur Vorbereitung von Angriffen, indem es Server-Banner, Fehlermeldungen, HTTP-Header, Return-Codes, Debug-Informationen oder Backend-IP-Adressen vor einem potenziellen Angreifer verbirgt.

Verschlüsseln Sie URLs, bevor sie an Clients gesendet werden, und stellen Sie sicher, dass die Original-URLs oder die Verzeichnisstruktur niemals neugierigen Blicken von außen preisgegeben werden.* Die Endbenutzer der Webanwendungen interagieren und navigieren auf der Webseite nur mit verschlüsselten URLs, die von der WAF entschlüsselt werden. Beim Entschlüsselungsprozess werden URL-Abfrage- oder Parametermanipulationen, die Injektion bösartiger Inhalte oder blinde Forceful-Browsing-Angriffe sofort erkannt.

*WAF-Modelle 660 und höher

Mithilfe von Client-Quelladressen können Organisationen den Zugriff auf Web-Ressourcen kontrollieren. Die Barracuda Web Application Firewall kann den Zugriff auf Basis von GeoIP kontrollieren, um den Zugriff auf bestimmte Regionen zu beschränken. Sie ist außerdem mit der Barracuda-Reputationsdatenbank integriert und kann verdächtige IP-Adressen, Bots, TOR-Netzwerke und andere anonyme Proxys identifizieren, die von Angreifern oft dazu benutzt werden, ihre Identität und ihren Standort zu verbergen. Sobald eine IP-Adresse als Risiko erkannt wird, haben Administratoren die Möglichkeit, den Zugriff zu blockieren, einzuschränken, zu drosseln oder eine CAPTCHA-Abfrage zu stellen, bevor sie den Zugriff erlauben.

Integrationen: MaxMind

Die Integration mit Barracuda Vulnerability Manager, Cenzic Hailstorm, HPE Security WebInspect, HPE Security Fortify On Demand oder IBM AppScan ermöglicht die automatische Konfiguration der Sicherheitsvorlage einer Anwendung und den Schutz vor identifizierten Problemen. All dies geschieht automatisch unter Verwendung der Ausgabedaten von den Scannern (ohne Zutun des Administrators).

Über die Denim Threadfix-Integration lassen sich über 20 Schwachstellen-Scannern in die Barracuda Web Application Firewall integrieren.

Nahtlose Integration mit Barracuda Advanced Threat Protection (BATP), um Sicherheit gegen Advanced Threats zu bieten. Fügen Sie einfach BATP zur Barracuda WAF hinzu, um fortgeschrittene Zero-Hour-Bedrohungen zu blockieren. Durch die Analyse von Dateien in einer CPU-Emulation Sandbox kann Malware, die tief in Dateien eingebettet ist und auf Webseiten oder Webanwendungen hochgeladen wird, erkannt und blockiert werden.

Zusätzlich zur Verarbeitung von HTTP- und HTTPS-Traffic kann die Barracuda Web Application Firewall auch FTP- und FTPS-Traffic inspizieren und so konfiguriert werden, dass bestimmte FTP-Befehle zugelassen oder verweigert werden. Sie bietet zudem Inspektionsfunktionen für Anwendungsprotokolle wie XML und JSON und kann sowohl für Proxy-HTTP2- als auch für HTML5-Websocket-Traffic konfiguriert werden.

Schützen Sie sich vor fortschrittlichen DDoS-Angriffen auf Anwendungsebene (SlowLoris-, RUDY- und Slow-Read-Angriffe), die sich von volumetrischen DDoS-Angriffen mit heuristischem Fingerabdruck und IP-Reputation zur Identifizierung echter Benutzer von Botnet-Nutzern unterscheiden. Sichern Sie sich gegen Anwendungs-DDoS mit einer Vielzahl von Risikobewertungstechniken wie anwendungszentrierte Schwellenwerte, Protokollprüfungen, Session-Integrität, aktive und passive Client-Herausforderungen, historische Client-Reputationsblocklisten, Geo-Ortung und Erkennung anomaler Leerlaufzeiten.

Volumetrische DDoS-Angriffe sind auf dem Vormarsch, weil die den Angreifern zur Verfügung stehenden Rechnerressourcen es sehr leicht machen, groß angelegte Angriffe zu starten, die ein ganzes Netzwerk zum Erliegen bringen können. Häufig sind die Zugangspunkte für diese Angriffe Webseiten von Organisationen, die die Hauptlast tragen. Barracuda WAF bietet einen Subscription-basierten DDoS-Schutz-Cloud-Service, der den Traffic bereinigt, bevor er die geplanten Webseiten erreicht. Dadurch kann der Cloud-Service Muster von DDOS-Angriffen in den Verbindungen erkennen und diese blockieren.

API-Sicherheit

Mobilanwendungs- und REST-APIs basieren heute auf JSON (JavaScript Object Notation) zur Übertragung von Daten. Dies eröffnet jedoch eine völlig neue Angriffsfläche, die oft übersehen wird und die mit traditionellen Scan- oder Penetrationstests nur schwer zu sichern ist. Die Barracuda Web Application Firewall sichert die gesamte Angriffsfläche mobiler Anwendungen und REST-APIs, filtert böswillige Eingaben in Anfragen mit JSON-Payloads, hilft bei der Sicherstellung von API-SLAs für Partner und bietet Schutz vor böswilligen Verbrauchern. Interaktive Webanwendungen, die JSON mit AJAX verwenden, sind auf ähnliche Weise geschützt.

Anwendungen, die auf XML angewiesen sind, können nun mit einer XML-Firewall gesichert werden, die Anwendungen gegen Schema- und WSDL-Vergiftung, stark verschachtelte Elemente, rekursives Parsen und andere XML-basierte Angriffe schützt. Dies sichert die Kommunikation zwischen Client und Anwendung oder zwischen Anwendungen aus verschiedenen Systemen und schließt einen oft übersehenen Angriffsvektor.

Application Delivery

Barracuda WAF unterstützt Load-Balancing für alle Arten von Anwendungen. Load-Balancing gewährleistet, dass nachfolgende Anfragen von derselben IP-Adresse an denselben Back-End-Server wie die erste Anfrage weitergeleitet werden. Dies setzt die Kenntnis des Server-Zustands voraus, damit nachfolgende Anfragen nicht an einen Server weitergeleitet werden, der nicht mehr antwortet. Die Barracuda WAF kann den Server-Zustand überwachen, indem sie Server-Antworten auf tatsächliche Anfragen verfolgt und den Server als außer Betrieb markiert, wenn Fehler einen vom Benutzer konfigurierten Schwellenwert überschreiten. Darüber hinaus kann die Barracuda WAF in konfigurierten Zeitintervallen Out-of-Band-Zustandsprüfungen durchführen sowie Anfragen erstellen und an einen Server senden, um dessen Zustand zu überprüfen.

Die Barracuda WAF bietet enorme Flexibilität bei der Bereitstellung umfangreicher Applikationen, bei denen jedes Anwendungsmodul auf mehreren Servern bereitgestellt werden kann. Angeforderte Inhalte, wie z. B. die URL des Moduls, HTTP-Header und Parameter, werden verwendet, um Inhalte an den richtigen Satz von Servern zu leiten. Dies ist auch in Szenarien nützlich, in denen Benutzer auf Grundlage verschiedener Kriterien zu verschiedenen Teilen der Anwendungen weitergeleitet werden sollen, wie z. B. bei mobilen Webseiten oder einer länderspezifischen Webseite.

Caching: Die Barracuda WAF beschleunigt die Antwortzeit von Anwendungen, indem statische Inhalte zwischengespeichert und zur Beantwortung wiederholter Anfragen nach denselben Inhalten verwendet werden. Die Caching-Regeln können auf Grundlage des URL-Bereichs, der le-Größe oder des le-Typs abgestimmt werden.

Komprimierung: Die integrierte Komprimierungs-Engine in der Barracuda Web Application Firewall komprimiert Daten, wenn sie an den Client gesendet werden. Diese Fähigkeit ist in Situationen mit geringer Bandbreite äußerst nützlich und macht die Anwendungsbereitstellung schneller.

Traffic-Optimierung: Die Barracuda Web Application Firewall verwendet mehrere Techniken wie Verbindungs-Pooling und TCP-Multiplexing, um die Protokollleistung zu optimieren. Verbindungs-Pooling-Techniken ermöglichen es der Barracuda Web Application Firewall, den mit der Herstellung und der Beendigung von Verbindungen verbundenen Aufwand zu reduzieren und so die Zeit zu verkürzen, die für die Beantwortung von Client-Anfragen benötigt wird.

Datensicherung und Compliance

Untersucht den gesamten ausgehenden Traffic auf die Weitergabe sensibler Daten. Inhalte wie Kreditkartennummern, Sozialversicherungsnummern oder sonstige benutzerdefinierte Muster werden identifiziert und können ohne Eingreifen des Administrators entweder gesperrt oder maskiert werden. Darüber hinaus werden die Informationen protokolliert und können von Administratoren verwendet werden, um potenzielle Lecks zu finden.

Einfache, kostengünstige Unterstützung für Administratoren bei der Einhaltung wichtiger anwendungsspezifischer Anforderungen wie PCI-DSS, HIPAA, FISMA und SOX. Die Barracuda Web Application Firewall wurde von zahlreichen Drittlaboratorien, einschließlich der ICSA Labs, zertifiziert, erfüllt direkt Abschnitt 6.6 des PCI-DSS und unterstützt die Compliance mit integrierten PCI-Compliance-Berichten. Ihre robusten Funktionen für Identitäts- und Zugriffsmanagement sowie Prävention von Datenverlusten (DLP) gewährleisten den Schutz sensibler Daten.

Identitäts- und Zugriffskontrolle

Die Barracuda Web Application Firewall unterstützt das SAML v2-Protokoll für Authentifizierung und webbasiertes einmaliges Anmelden (Single-Sign-on, SSO), d. h. sie kann als SAML Service Provider (SP) für SAML-konforme Identitätsprovider (IdP) fungieren und erspart Ihnen die Komplexitäten der Implementierung von SAML auf Ihren Webservern. Dies erleichtert das SSO zwischen der Cloud und lokalen Webanwendungen sowie die Interoperabilität mit Azure AD, das SAML 2.0 unterstützt. Die Barracuda Web Application Firewall unterstützt außerdem Federated Identity für Authentifizierung und einmaliges Anmelden sowie die Integration mit Active Direction Federation Services (AD FS).

Die Barracuda Web Application Firewall kann so konfiguriert werden, dass der Client ein Zertifikat zur Authentifizierung vorweisen muss und die Kommunikation mit Clients, die dies nicht tun, verweigert wird.

Sie bietet außerdem serverseitige Verschlüsselung und kann den Servern ein Zertifikat für die Client-Authentifizierung zur Verfügung stellen (die Barracuda Web Application Firewall fungiert dann als Client für die Back-End-Server). Online Certificate Status Protocol (OCSP) und Certificate Revocation Lists (CRLs) werden ebenfalls unterstützt, um den aktuellen Status digitaler Client-Zertifikate zu ermitteln.

Sie können nicht nur AD FS, sondern auch alle anderen Webanwendungen wie SharePoint, die auf AD FS basieren, sicher veröffentlichen. Genau wie der Microsoft Web Application Proxy wird die Barracuda WAF im Perimeter-Netzwerk – der DMZ – bereitgestellt. Dafür ist kein Beitritt zur Domäne erforderlich und es erfordert lediglich den Zugang über Port 443 zur AD-FS-Farm. Sie fängt HTTP/S-Anfragen an veröffentlichte Anwendungen ab und bietet Schutz vor böswilligen HTTP/S-Anfragen aus dem Internet.

Die Barracuda WAF ist vollständig in Active Directory oder andere RADIUS- oder LDAP-kompatible Authentifizierungsdienste integriert. In Kombination mit den starken Zugriffskontrollfunktionen können Administratoren eine granulare Kontrolle darüber bieten, welche Benutzer oder Gruppen auf bestimmte Ressourcen zugreifen können. Zur Sicherung von Kerberos-fähigen Umgebungen kann sie außerdem die Authentifizierung bei der geschützten Webanwendung im Namen des Benutzers durchführen, einschließlich einer einmaligen Anmeldung bei mehreren Kerberos-Diensten.

Die Barracuda WAF lässt sich mit einer Reihe von Zwei-Faktor-Authentifizierungstechnologien wie Client-Zertifikaten, SMS-PASSCODES und Hardware-Tokens wie RSA SecurID integrieren, um eine starke Benutzerauthentifizierung zu ermöglichen.

Integrationen: SMS-PASSCODES, RSA SecurID

Berichterstellung

Leistungsstarke grafische Berichte bieten unmittelbaren Einblick in Compliance, Bedrohungsaktivitäten, Webverkehr und die Einhaltung gesetzlicher Bestimmungen. Es stehen mehr als 50 verschiedene vordefinierte Berichte zur Verfügung, die leicht weiter angepasst werden können, wobei zahlreiche Filter für Angriffstypen, Traffic, Zeitbereich und mehr verwendet werden können.

Die generierten Berichte sind interaktiv und verfügen über Drill-Down-Funktion. Die Berichte umfassen die Bereiche PCI-Compliance, Sicherheit, Audit, Web-Traffic und Geolokalisierungs-Analysen. Sie können bei Bedarf generiert oder für die regelmäßige Zustellung an mehrere Empfänger per E-Mail oder FTP geplant werden.

Alle Client-Anfragen, Administrator-Modifikationen und Firewall-Aktionen werden protokolliert. Dies bietet ein umfassendes Audit-Protokoll für die Abstimmung von Compliance- und Sicherheitsrichtlinien. Die Daten aus den Protokollen werden von der Web Application Firewall verwendet, um grafische Berichte über Angriffe, Webverkehr, Compliance oder eine Reihe anderer Analyseberichte zu erstellen. Protokolle können außerdem über Syslog oder FTP in die Analyse-Suite eines Drittanbieters exportiert werden.

Die Barracuda Web Application Firewall lässt sich sofort in viele beliebte SIEM-Lösungen integrieren. Protokolle werden in dem von diesen SIEM-Lösungen geforderten spezifischen Format gesendet, sodass eine möglichst einfache Integration gewährleistet ist.

Darüber hinaus verfügt die Barracuda WAF über eine hochgradig anpassbare Protokoll-Export-Engine. Jede SIEM-Lösung, die Syslog verwendet, kann damit integriert werden, und Admins können spezifische Protokollformate definieren, um eine vollständige Integration zu gewährleisten.

Integrationen: HPE ArcSight, Splunk, RSA EnVision, Symantec SIM und QRadar

Sofort einsatzbereite Unterstützung für mehrere Protokollanalyse-Plattformen (ELK-Stack, Microsoft OMS und Microsoft Azure Event Hub). Senden Sie Protokolle über Syslog mit benutzerdefinierten Protokollformaten an jede andere Plattform.

Administration

Barracuda Web Application Firewalls können in aktiv/passiv- oder aktiv/aktiv-Paare mit Failover geclustert werden, um eine sofortige Wiederherstellung zu gewährleisten. Sicherheitskonfigurationen und -bereitstellungen werden automatisch zwischen den Clustern synchronisiert, sodass eine sofortige Wiederherstellung nach Ausfällen möglich ist.

Mit rollenbasierter Administration macht es das Barracuda WAF Control Center einfach, Multi-Tenant-Implementierungen der Barracuda Web Application Firewall zentral zu managen.

Barracuda WAF wird mit einer vollständigen REST-API geliefert, die es Ihnen ermöglicht, das Gerät programmgesteuert zu konfigurieren und zu überwachen. Die Funktionalität des Geräts wird in Representational-State-Transfer-konformen Benutzeroberflächen dargestellt, die über eine beliebige Programmiersprache Ihrer Wahl ausführt werden können. Die REST-API ermöglicht Ihnen Automatisierung und Kostensenkung in einer programmierbaren Umgebung. Zudem wird die für die Markteinführung benötigte Vorlaufzeit verkürzt.

Konfigurationsmanagement-Software wie Puppet, Chef und Ansible wird von Organisationen weltweit zur Automatisierung von Implementierungen und Konfigurations-Workflows eingesetzt. Die Barracuda Web Application Firewall unterstützt benutzerdefinierte Module, die es DevOps-Experten ermöglichen, ihre Barracuda WAF-Konfiguration zu automatisieren.

Das Management von Anwendungssicherheitsrichtlinien über mehrere Geräte hinweg kann schnell zu einem fehleranfälligen, lästigen Unterfangen werden. Die Barracuda WAF bietet Security-Templates, mit denen Sie grundlegende Sicherheitseinstellungen definieren können, die als Modell für Sicherheitsrichtlinien dienen. Durch die Verwendung von Vorlagen können Sie schnell Sicherheitsrichtlinien zum Schutz einer bestimmten Anwendung, eines Web-Portals, einer Plattform, eines Frameworks oder von Teilen davon erstellen. Vorlagen erhöhen die Produktivität, reduzieren manuelle Fehler und Bereitstellungszeiten und gewährleisten zudem die Einhaltung von Richtlinien.

Zentrales Management

Das Barracuda WAF Control Center ist das zentrale Management-System, mit dem Administratoren mehrere geografisch verteilte Barracuda Web Application Firewall-Einheiten mit unterschiedlichen Konfigurationen von einer einzelnen Konsole aus managen können. Eine zentrale Benutzeroberfläche kann hybride Hardware-, virtuelle und Cloud-Bereitstellungen managen und ermöglicht ein effizientes und sicheres Management für Systemadministratoren.

Die integrierten Zertifikatsberichte liefern eine zentrale Ansicht aller Zertifikate, die auf den verschiedenen angeschlossenen Barracuda WAF-Geräten installiert sind, und bieten Berichte zum Ablauf der Gültigkeit auf Grundlage von Ablaufdatumsbereichen.

Die zentralisierte Benachrichtigungsansicht bietet Ihnen konsolidierte, granulare Information zum Status aller konfigurierten Dienste. Warnmeldungen von mehreren verbundenen WAFs werden zusammengefasst und zusammen versendet, um eine Informationsüberlastung zu vermeiden.