Schutz gegen alle OWASP „Top 10 “- und Zero-Day-Angriffe, Datenverlust sowie DDoS-Angriffe. Die mehrschichtige Engine zur Traffic-Verarbeitung und die intelligenten Signaturen nutzen weniger Angriffserkennungs-Signaturen zur Erkennung und Blockierung von Web-Angriffen, einschließlich Zero-Day-Angriffen. Jede intelligente Signatur kann Angriffe erkennen, die in 40 angriff-spezifischen Signaturen enthalten sind, und somit die Zeit bis zur Entdeckung reduzieren sowie die Entdeckung insgesamt verbessern. Application Learning setzt automatisch positive Sicherheitsregeln durch und kann diese Regeln außerdem von der URL bis hin zur Parameter-Ebene implementieren.

Advanced Bot Protection von Barracuda nutzt Cloud-basiertes maschinelles Lernen, um unter anderem bösartige Bots zur Strecke zu bringen sowie automatisiertes Spam-, Web- und Price-Scraping, Inventory Hoarding und Account Takeover-Angriffe zu blockieren. Mehr anzeigen

Die Barracuda Web Application Firewall schützt sowohl XML- als auch JSON-REST-APIs gegen sämtliche Angriffe auf Anwendungen, einschließlich der OWASP „Top 10 API-Bedrohungen“. Die API-Discovery-Funktionen erleichtern die Konfiguration des Schutzes und reduzieren die Wahrscheinlichkeit einer Fehlkonfiguration. Mehr anzeigen

Oft besteht der erste Schritt eines gezielten Angriffs darin, öffentlich zugängliche Anwendungen zu testen, um mehr über die zugrundeliegenden Server, Datenbanken und Betriebssysteme zu erfahren. Cloaking verhindert das Sammeln von Informationen zur Vorbereitung von Angriffen, indem es Server-Banner, Fehlermeldungen, HTTP-Header, Return-Codes, Debug-Informationen oder Backend-IP-Adressen vor einem potenziellen Angreifer verbirgt.

Verschlüsseln Sie URLs, bevor sie an Clients gesendet werden, und stellen Sie sicher, dass die Original-URLs oder die Verzeichnisstruktur niemals neugierigen Blicken von außen preisgegeben werden.* Die Endbenutzer der Webanwendungen interagieren und navigieren auf der Webseite nur mit verschlüsselten URLs, die von der WAF entschlüsselt werden. Beim Entschlüsselungsprozess werden URL-Abfrage- oder Parametermanipulationen, die Injektion bösartiger Inhalte oder blinde Forceful-Browsing-Angriffe sofort erkannt.

*WAF-Modelle 660 und höher

Mithilfe von Client-Quelladressen können Organisationen den Zugriff auf Web-Ressourcen kontrollieren. Die Barracuda Web Application Firewall kann den Zugriff auf Basis von GeoIP kontrollieren, um den Zugriff auf bestimmte Regionen zu beschränken. Sie ist außerdem mit der Barracuda-Reputationsdatenbank integriert und kann verdächtige IP-Adressen, Bots, TOR-Netzwerke und andere anonyme Proxys identifizieren, die von Angreifern oft dazu benutzt werden, ihre Identität und ihren Standort zu verbergen. Sobald eine IP-Adresse als Risiko erkannt wird, haben Administratoren die Möglichkeit, den Zugriff zu blockieren, einzuschränken, zu drosseln oder eine CAPTCHA-Abfrage zu stellen, bevor sie den Zugriff erlauben.

Integrationen: MaxMind

Nahtlose Integration mit Barracuda Advanced Threat Protection (BATP), um Sicherheit gegen Advanced Threats zu bieten. Fügen Sie einfach BATP zur Barracuda WAF hinzu, um fortgeschrittene Zero-Hour-Bedrohungen zu blockieren. Durch die Analyse von Dateien in einer CPU-Emulation Sandbox kann Malware, die tief in Dateien eingebettet ist und auf Webseiten oder Webanwendungen hochgeladen wird, erkannt und blockiert werden.

Zusätzlich zur Verarbeitung von HTTP- und HTTPS-Traffic kann die Barracuda Web Application Firewall auch FTP- und FTPS-Traffic inspizieren und so konfiguriert werden, dass bestimmte FTP-Befehle zugelassen oder verweigert werden. Sie bietet zudem Inspektionsfunktionen für Anwendungsprotokolle wie XML und JSON und kann sowohl für Proxy-HTTP2- als auch für HTML5-Websocket-Traffic konfiguriert werden.

Protect against advanced application-layer DDoS (SlowLoris, RUDY and Slow Read) attacks which are different from volumetric DDoS attacks with heuristic fingerprinting and IP reputation to identify real users from botnet. Secure against application DDoS using a variety of risk assessment techniques such as application-centric thresholds, protocol checks, session integrity, active and passive client challenges, historical client reputation block lists, geo-location, and anomalous idle-time detection.

Volumetrische DDoS-Angriffe sind auf dem Vormarsch, weil die den Angreifern zur Verfügung stehenden Rechnerressourcen es sehr leicht machen, groß angelegte Angriffe zu starten, die ein ganzes Netzwerk zum Erliegen bringen können. Häufig sind die Zugangspunkte für diese Angriffe Webseiten von Organisationen, die die Hauptlast tragen. Barracuda WAF bietet einen Subscription-basierten DDoS-Schutz-Cloud-Service, der den Traffic bereinigt, bevor er die geplanten Webseiten erreicht. Dadurch kann der Cloud-Service Muster von DDOS-Angriffen in den Verbindungen erkennen und diese blockieren.

Mobilanwendungs- und REST-APIs basieren heute auf JSON (JavaScript Object Notation) zur Übertragung von Daten. Dies eröffnet jedoch eine völlig neue Angriffsfläche, die oft übersehen wird und die mit traditionellen Scan- oder Penetrationstests nur schwer zu sichern ist. Die Barracuda Web Application Firewall sichert die gesamte Angriffsfläche mobiler Anwendungen und REST-APIs, filtert böswillige Eingaben in Anfragen mit JSON-Payloads, hilft bei der Sicherstellung von API-SLAs für Partner und bietet Schutz vor böswilligen Verbrauchern. Interaktive Webanwendungen, die JSON mit AJAX verwenden, sind auf ähnliche Weise geschützt.

Anwendungen, die auf XML angewiesen sind, können nun mit einer XML-Firewall gesichert werden, die Anwendungen gegen Schema- und WSDL-Vergiftung, stark verschachtelte Elemente, rekursives Parsen und andere XML-basierte Angriffe schützt. Dies sichert die Kommunikation zwischen Client und Anwendung oder zwischen Anwendungen aus verschiedenen Systemen und schließt einen oft übersehenen Angriffsvektor.

Angriffe in Echtzeit erfordern auch Reaktionen in Echtzeit. Barracuda Active Threat Intelligence sammelt Bedrohungsdaten aus einem großen, globalen Netzwerk von Sensoren und Kunden-Traffic. Diese Daten werden dann mithilfe von maschinellem Lernen nahezu in Echtzeit verarbeitet und sofort an angeschlossene Gerät weitergeleitet. Auf diese Weise können neue Bedrohungen und Angreifer schnell erkannt werden.

Angreifer nutzen Skripte von Drittanbietern aus, um clientseitige, digitale Skimming-Angriffe wie Magecart durchzuführen und sowohl personenbezogene als auch finanzielle Daten direkt aus dem Browser zu stehlen. Diese Angriffe sind besonders schwer zu erkennen, da diese Skripte direkt im Browser geladen werden und die Angreifer auf raffinierte Verfahren setzen, mithilfe derer sie die Scanner und ähnliche Abwehrfunktionen umgehen können. Die Barracuda Web Application Firewall bietet Client-Side Protection, eine Funktion, die die CSP- und SRI-Konfiguration automatisiert und somit den Verwaltungsaufwand sowie die Konfigurationsfehler reduziert. Zusätzlich zu diesen Funktionen bietet die Ebene von Barracuda Active Threat Intelligence die Visualisierung und Berichterstattung für diese Konfigurationen. Administratoren erhalten somit einen tieferen Einblick in die Nutzung dieser Skripte.

Barracuda WAF unterstützt Load-Balancing für alle Arten von Anwendungen. Load-Balancing gewährleistet, dass nachfolgende Anfragen von derselben IP-Adresse an denselben Back-End-Server wie die erste Anfrage weitergeleitet werden. Dies setzt die Kenntnis des Server-Zustands voraus, damit nachfolgende Anfragen nicht an einen Server weitergeleitet werden, der nicht mehr antwortet. Die Barracuda WAF kann den Server-Zustand überwachen, indem sie Server-Antworten auf tatsächliche Anfragen verfolgt und den Server als außer Betrieb markiert, wenn Fehler einen vom Benutzer konfigurierten Schwellenwert überschreiten. Darüber hinaus kann die Barracuda WAF in konfigurierten Zeitintervallen Out-of-Band-Zustandsprüfungen durchführen sowie Anfragen erstellen und an einen Server senden, um dessen Zustand zu überprüfen.

Die Barracuda WAF bietet enorme Flexibilität bei der Bereitstellung umfangreicher Applikationen, bei denen jedes Anwendungsmodul auf mehreren Servern bereitgestellt werden kann. Angeforderte Inhalte, wie z. B. die URL des Moduls, HTTP-Header und Parameter, werden verwendet, um Inhalte an den richtigen Satz von Servern zu leiten. Dies ist auch in Szenarien nützlich, in denen Benutzer auf Grundlage verschiedener Kriterien zu verschiedenen Teilen der Anwendungen weitergeleitet werden sollen, wie z. B. bei mobilen Webseiten oder einer länderspezifischen Webseite.

Caching: The Barracuda WAF speeds up application response time by caching static content and using it to respond to repeated requests for the same content. Caching rules can be tuned based on URL space, file size or file type.

Komprimierung: Die integrierte Komprimierungs-Engine in der Barracuda Web Application Firewall komprimiert Daten, wenn sie an den Client gesendet werden. Diese Fähigkeit ist in Situationen mit geringer Bandbreite äußerst nützlich und macht die Anwendungsbereitstellung schneller.

Traffic-Optimierung: Die Barracuda Web Application Firewall verwendet mehrere Techniken wie Verbindungs-Pooling und TCP-Multiplexing, um die Protokollleistung zu optimieren. Verbindungs-Pooling-Techniken ermöglichen es der Barracuda Web Application Firewall, den mit der Herstellung und der Beendigung von Verbindungen verbundenen Aufwand zu reduzieren und so die Zeit zu verkürzen, die für die Beantwortung von Client-Anfragen benötigt wird.

Untersucht den gesamten ausgehenden Traffic auf die Weitergabe sensibler Daten. Inhalte wie Kreditkartennummern, Sozialversicherungsnummern oder sonstige benutzerdefinierte Muster werden identifiziert und können ohne Eingreifen des Administrators entweder gesperrt oder maskiert werden. Darüber hinaus werden die Informationen protokolliert und können von Administratoren verwendet werden, um potenzielle Lecks zu finden.

Einfache, kostengünstige Unterstützung für Administratoren bei der Einhaltung wichtiger anwendungsspezifischer Anforderungen wie PCI-DSS, HIPAA, FISMA und SOX. Die Barracuda Web Application Firewall wurde von zahlreichen Drittlaboratorien, einschließlich der ICSA Labs, zertifiziert, erfüllt direkt Abschnitt 6.6 des PCI-DSS und unterstützt die Compliance mit integrierten PCI-Compliance-Berichten. Ihre robusten Funktionen für Identitäts- und Zugriffsmanagement sowie Prävention von Datenverlusten (DLP) gewährleisten den Schutz sensibler Daten.

The Barracuda Web Application Firewall supports the SAML v2 protocol for authentication and web based single sign-on (SSO), which means that it can act as a SAML Service Provider (SP) to SAML-compliant Identity Providers (IdP), saving you from the complexities of implementing SAML on your web servers. This facilitates SSO between the cloud and on-premises web applications as well as interoperability with Azure AD which supports SAML 2.0. The Barracuda Web Application Firewall also supports Federated Identity for authentication and single sign-on, and supports integration with Active Direction Federation Services (ADFS)

Die Barracuda Web Application Firewall kann so konfiguriert werden, dass der Client ein Zertifikat zur Authentifizierung vorweisen muss und die Kommunikation mit Clients, die dies nicht tun, verweigert wird.

Sie bietet außerdem serverseitige Verschlüsselung und kann den Servern ein Zertifikat für die Client-Authentifizierung zur Verfügung stellen (die Barracuda Web Application Firewall fungiert dann als Client für die Back-End-Server). Online Certificate Status Protocol (OCSP) und Certificate Revocation Lists (CRLs) werden ebenfalls unterstützt, um den aktuellen Status digitaler Client-Zertifikate zu ermitteln.

Securely publish not only ADFS but all the other web applications like SharePoint that rely on ADFS. Just like the Microsoft Web Application Proxy, the Barracuda WAF is deployed in the perimeter network - the DMZ. It does not require joining the domain and only requires port 443 access to the ADFS farm. It intercepts HTTP/S requests to published applications and provides protection against malicious HTTP/S requests from the Internet.

Die Barracuda WAF ist vollständig in Active Directory oder andere RADIUS- oder LDAP-kompatible Authentifizierungsdienste integriert. In Kombination mit den starken Zugriffskontrollfunktionen können Administratoren eine granulare Kontrolle darüber bieten, welche Benutzer oder Gruppen auf bestimmte Ressourcen zugreifen können. Zur Sicherung von Kerberos-fähigen Umgebungen kann sie außerdem die Authentifizierung bei der geschützten Webanwendung im Namen des Benutzers durchführen, einschließlich einer einmaligen Anmeldung bei mehreren Kerberos-Diensten.

Die Barracuda WAF lässt sich mit einer Reihe von Zwei-Faktor-Authentifizierungstechnologien wie Client-Zertifikaten, SMS-PASSCODES und Hardware-Tokens wie RSA SecurID integrieren, um eine starke Benutzerauthentifizierung zu ermöglichen.

Integrationen: SMS-PASSCODES, RSA SecurID

Das Dashboard für Barracuda Active Threat Intelligence bietet detaillierte Visualisierungen Ihrer Traffic-Muster und ermöglicht Ihnen, sich sogar einen Einblick in die Daten von jedem einzelnen Bot zu verschaffen. Im Dashboard werden auch detaillierte Berichte und Visualisierungen für die Funktionen zu Client-Side Protection angeboten. Administratoren können somit leicht erkennen, welche Skripte an welcher Stelle verwendet werden, und sie erhalten außerdem Informationen zur aktuellen Konfiguration sowie zum aktuellen Status des jeweiligen Skripts.

Leistungsstarke grafische Berichte bieten sofortige Einblicke in Bedrohungsaktivitäten, Web-Traffic und regulatorische Compliance. Es stehen mehr als 50 verschiedene vordefinierte Berichte zur Verfügung, die leicht weiter angepasst werden können, wobei zahlreiche Filter für Angriffstypen, Traffic, Zeitbereich und mehr verwendet werden können.

Die generierten Berichte sind interaktiv und verfügen über Drill-Down-Funktion. Die Berichte umfassen die Bereiche PCI-Compliance, Sicherheit, Audit, Web-Traffic und Geolokalisierungs-Analysen. Sie können bei Bedarf generiert oder für die regelmäßige Zustellung an mehrere Empfänger per E-Mail oder FTP geplant werden.

Alle Client-Anfragen, Administrator-Modifikationen und Firewall-Aktionen werden protokolliert. Dies bietet ein umfassendes Audit-Protokoll für die Abstimmung von Compliance- und Sicherheitsrichtlinien. Die Daten aus den Protokollen werden von der Web Application Firewall verwendet, um grafische Berichte über Angriffe, Webverkehr, Compliance oder eine Reihe anderer Analyseberichte zu erstellen. Protokolle können außerdem über Syslog oder FTP in die Analyse-Suite eines Drittanbieters exportiert werden.

Die Barracuda Web Application Firewall lässt sich sofort in viele beliebte SIEM-Lösungen integrieren. Protokolle werden in dem von diesen SIEM-Lösungen geforderten spezifischen Format gesendet, sodass eine möglichst einfache Integration gewährleistet ist.

Darüber hinaus verfügt die Barracuda WAF über eine hochgradig anpassbare Protokoll-Export-Engine. Jede SIEM-Lösung, die Syslog verwendet, kann damit integriert werden, und Admins können spezifische Protokollformate definieren, um eine vollständige Integration zu gewährleisten.

Integrationen: HPE ArcSight, Splunk, RSA EnVision, Symantec SIM und QRadar

Barracuda Web Application Firewalls können in aktiv/passiv- oder aktiv/aktiv-Paare mit Failover geclustert werden, um eine sofortige Wiederherstellung zu gewährleisten. Sicherheitskonfigurationen und -bereitstellungen werden automatisch zwischen den Clustern synchronisiert, sodass eine sofortige Wiederherstellung nach Ausfällen möglich ist.

Mit rollenbasierter Administration macht es das Barracuda WAF Control Center einfach, Multi-Tenant-Implementierungen der Barracuda Web Application Firewall zentral zu managen.

Barracuda WAF wird mit einer vollständigen REST-API geliefert, die es Ihnen ermöglicht, das Gerät programmgesteuert zu konfigurieren und zu überwachen. Die Funktionalität des Geräts wird in Representational-State-Transfer-konformen Benutzeroberflächen dargestellt, die über eine beliebige Programmiersprache Ihrer Wahl ausführt werden können. Die REST-API ermöglicht Ihnen Automatisierung und Kostensenkung in einer programmierbaren Umgebung. Zudem wird die für die Markteinführung benötigte Vorlaufzeit verkürzt.

Konfigurationsmanagement-Software wie Puppet, Chef und Ansible wird von Organisationen weltweit zur Automatisierung von Implementierungen und Konfigurations-Workflows eingesetzt. Die Barracuda Web Application Firewall unterstützt benutzerdefinierte Module, die es DevOps-Experten ermöglichen, ihre Barracuda WAF-Konfiguration zu automatisieren.

Das Management von Anwendungssicherheitsrichtlinien über mehrere Geräte hinweg kann schnell zu einem fehleranfälligen, lästigen Unterfangen werden. Die Barracuda WAF bietet Security-Templates, mit denen Sie grundlegende Sicherheitseinstellungen definieren können, die als Modell für Sicherheitsrichtlinien dienen. Durch die Verwendung von Vorlagen können Sie schnell Sicherheitsrichtlinien zum Schutz einer bestimmten Anwendung, eines Web-Portals, einer Plattform, eines Frameworks oder von Teilen davon erstellen. Vorlagen erhöhen die Produktivität, reduzieren manuelle Fehler und Bereitstellungszeiten und gewährleisten zudem die Einhaltung von Richtlinien.

Das Barracuda WAF Control Center ist das zentrale Management-System, mit dem Administratoren mehrere geografisch verteilte Barracuda Web Application Firewall-Einheiten mit unterschiedlichen Konfigurationen von einer einzelnen Konsole aus managen können. Eine zentrale Benutzeroberfläche kann hybride Hardware-, virtuelle und Cloud-Bereitstellungen managen und ermöglicht ein effizientes und sicheres Management für Systemadministratoren.

Die integrierten Zertifikatsberichte liefern eine zentrale Ansicht aller Zertifikate, die auf den verschiedenen angeschlossenen Barracuda WAF-Geräten installiert sind, und bieten Berichte zum Ablauf der Gültigkeit auf Grundlage von Ablaufdatumsbereichen.

Die zentralisierte Benachrichtigungsansicht bietet Ihnen konsolidierte, granulare Information zum Status aller konfigurierten Dienste. Warnmeldungen von mehreren verbundenen WAFs werden zusammengefasst und zusammen versendet, um eine Informationsüberlastung zu vermeiden.

Erstellen Sie positive Sicherheitsprofile für Anwendungen, indem Sie den Webverkehr von vertrauenswürdigen Hosts abfragen. Sobald die positiven Sicherheitsprofile aktiviert sind, können Administratoren granulare Whitelist-Regeln für sensible Teile der Anwendung durchsetzen. Dies verringert das Risiko von Angriffen erheblich und hilft, Zero-Day-Schwachstellen zu verhindern.

Die Integration mit Barracuda Vulnerability Manager, Cenzic Hailstorm, HPE Security WebInspect, HPE Security Fortify On Demand oder IBM AppScan ermöglicht die automatische Konfiguration der Sicherheitsvorlage einer Anwendung und den Schutz vor identifizierten Problemen. All dies geschieht automatisch unter Verwendung der Ausgabedaten von den Scannern (ohne Zutun des Administrators).

Über die Denim Threadfix-Integration lassen sich über 20 Schwachstellen-Scannern in die Barracuda Web Application Firewall integrieren.

Die Einrichtung und Verwaltung der Konfiguration einer WAF für komplexe Anwendungen kann sich als zeitaufwändig erweisen. Wenn Anwendungen häufig gewechselt werden, müssen Administratoren die Konfiguration der WAF auch an diese Änderungen anpassen, was zu einem erhöhten Verwaltungsaufwand führt. Die Autokonfigurations-Engine für die Barracuda Web Application Firewall und WAF-as-a-Service wendet maschinelle Lernmodelle für den Live-Traffic Ihrer Anwendungen an und verwendet diese Daten, um Konfigurationsempfehlungen zur Verbesserung Ihrer WAF-Sicherheitsregeln zu geben.