PT Application Firewall — Межсетевой экран уровня веб-приложений (web application firewall, WAF)
Веб-приложения по-прежнему остаются популярной целью для злоумышленников. Как показали исследования, каждая пятая атака направлена на веб-ресурсы организаций, чаще всего — государственных и медицинских учреждений, онлайн-сервисов, организаций сферы науки и образования и IT-компаний.
PT Application Firewall защищает веб-приложения от внешних атак и не позволяет злоумышленникам эксплуатировать уязвимости. С помощью комбинации защитных технологий решение предотвращает как известные атаки, так и атаки нулевого дня.
Преимущества
Поддерживает непрерывность бизнес-процессов
PT Application Firewall защищает от DDoS-атак уровня приложений (L7), эксплуатации уязвимостей, связанных с ошибками в бизнес-логике приложений.
Минимизирует риск утечки информации
PT Application Firewall блокирует современные атаки на веб-приложения, включая те, что в списке OWASP Top 10 и классификации WASC, а также благодаря алгоритмам машинного обучения блокирует атаки нулевого дня.
Помогает выполнять требования стандартов
PT Application Firewall помогает соблюдать требования PCI DSS и других международных, государственных и корпоративных стандартов безопасности. Решение зарегистрировано в реестре российского ПО, имеет действующий сертификат ФСТЭК России и сертификат соответствия Республики Казахстан.
- Выявляет сложные многофазные атаки
- Защищает от DDoS-атак уровня приложений
- Автоматически выявляет уязвимости приложения
- Защищает от атак на пользователей приложения
- Противодействует вредоносным ботам
- Предотвращает загрузку вредоносного ПО
- Блокирует атаки нулевого дня
- Выполняет виртуальный патчинг
Варианты внедрения
Автономный режим — Анализ файлов, содержащих историю запросов к веб-приложению (журналы). Этот режим больше подходит для обучения или расследования инцидентов.
В «разрез» трафика — в этом режиме будет обеспечен анализ всех HTTP-запросов к веб-приложению и активное предотвращение атак. В этом варианте PT AF может стоять в режиме Proxy или L2 Bridge.
В режиме мониторинга — когда осуществляется анализ копии трафика без блокировки запросов и предотвращения атак. Об обнаруженных атаках отправляются уведомления администратору.
Возможности интеграции
MaxPatrol SIEM
Передача событий веб-безопасности для их дальнейшей корреляции
PT Application Inspector
Формирование виртуальных патчей для защиты от эксплуатации обнаруженных уязвимостей
PT MultiScanner или PT Sandbox
Защита веб-порталов от загрузки вредоносного ПО
Next Generation Firewalls (NGFW), например Check Point
Системы Anti-DDoS, например NETSCOUT Arbor
DLP— и антивирусные системы (по протоколу ICAP)
SIEM-системы (по протоколу syslog)
Режимы работы
STANDALONE — Установка продукта на одной аппаратной или программной платформе
CLUSTER — Установка продукта на две и более аппаратных или программных платформы
Поставка
HARDWARE APPLIANCE — Для развертывания на физическом сервере. Производительность до 40 000 RPS
VIRTUAL APPLIANCE — Для развертывания на виртуальной машине. Производительность до 10 000 RPS
Схема лицензирования
За базу лицензирования PT AF принимается требуемая производительность решения: 1000, 5000, 10000, 20000, 40000 или 100000 запросов в секунду соответственно.
Кроме того, на стоимость лицензии влияет:
- исполнение: виртуальное или физическое (hardware appliance требует приобретения шасси
- первичное это приобретение продукта или продление
- вариант внедрения — отдельно приобретаются дополнительные лицензии для пассивного узла кластера
- срок использования продукта и получения технической поддержки
- приобретение дополнительных модулей P-Code и M-Scan
Максимально возможная производительность модуля анализа исходного кода P-Code и модуля мультивендорной антивирусной проверки M-Scan составляет 5000 RPS.
Техническая поддержка
| Услуга | Обычная техподдержка | Расширенная техподдержка |
| Режим поддержки | 8/5 | 24/7 |
| Обновление | + | + |
| Приоритетное обслуживание обращений | — | + |
| Выделенный технический специалист | — | + |
| Количество трудочасов, на которые можно задействовать специалистов вендора для решения задач настройки продукта | — | 40 |
Шасси
Артикул Positive Techlogies Unified Chassis для основной лицензии имеет вид PA-AF-CHxxx-N-M-H-C1, где:
| Индекс | Расшифровка | Описание |
| PT AF | PT AF | Обозначение моделей, лицензий и услуг в рамках PT AF |
| CHxx CH1xx CH2xx CH3xx | CH-chassis xx, 1xx, 2xx, 3xx — номер модели, где: xx — производительность до 1000 RPS 1xx — производительность до 10000 RPS 2xx — производительность до 40000 RPS 3xx — производительность до 100000 RPS | Модель шасси (аппаратной части) в составе физического программно-аппаратного комплекса (Hardware Appliance) |
При развертывании PT AF на виртуальных машинах необходимо учитывать ограничение по производительности в 10 000 RPS. Гарантийные обязательства на PT Unified Chassis действуют в течении 5 лет.
Параметры производительности
Параметры производительности рассчитываются в RPS (request per second) — количестве HTTP-запросов в секунду ко всем приложениям, которые предполагается защищать в рамках данной лицензии.
В зависимости от варианта поставки — Virtual Appliance или Hardware Appliance — доступны следующие варианты производительности PT AF:
| Вариант поставки | Максимально возможная производительность | |||||
| Virtual Appliance | 1000 | 5000 | 10000 | — | — | — |
| Hardware Appliance | 1000 | 5000 | 10000 | 20000 | 40000 | 100000 |