Un parefeu applicatif Web (WAF) est un dispositif relais du serveur Web qui reçoit directement les requêtes des clients. En mettant en corrélation la requête avec son contexte applicatif, un parefeu applicatif Web est capable de détecter les attaques potentielles, d’accélérer le trafic, de forcer le cryptage des données sensibles de l’entreprise et d’effectuer l’authentification sur le serveur en lui-même.
Les attaques sur les applications Web exploitent différentes failles, vecteurs et modes opérationnels. Il est donc nécessaire d’installer plusieurs modules pour détecter tous les types d’attaques potentielles. Les produits Deny All bloquent les injections communes (SQL, JavaScript – XSS, CSRF, LDAP) grâce aux modules de sécurité positive/négative, et de scoring list. (D)DoS, défacement de site web et attaques en Brute Force sont bloquées grâce aux outils statistiques. Les détournements d’identité et de session sont évités grâce aux liens de tracking et par le cryptage de données via les cookies. Du côté client les malwares injectés via le navigateur sont bloqués grâce au module unique de Client Sanitization.
Toute application Web est exposée aux attaques potentielles, que ce soit directement ou indirectement via des postes clients compromis. Cependant, les principales cibles sont les applications Webmail, les frontaux ERP, et les portails/infrastructures de collaboration puisqu’ils fournissent un accès direct aux données sensibles de l’entreprise. En parallèle, toute application Web contenant et manipulant des données critiques (données financières et bancaires) comme les applications eBanking et eBusiness sont une cible idéale.
Bien sûr. Les parefeus réseaux traditionnels permettent uniquement d’autoriser le trafic Web vers une partie spécifique de l’infrastructure réseau. Cependant, ils n’assurent pas que les données véhiculées par le trafic sont saines et dénuées de malwares. Un parefeu applicatif Web quant à lui, permet de s’assurer que le trafic Web ne contient aucune attaque cachée.
Ce sont des dispositifs réseaux qui identifient les attaques en analysant le trafic Web avec une compréhension limitée du contexte applicatif. S’ils peuvent être efficaces contre les attaques sur les infrastructures réseaux et les systèmes opérationnels, ils ne sont pas aussi efficaces contre les attaques de la couche applicative.
Un module de Load Balancing peut être déjà intégré dans un parefeu applicatif Web. Par exemple, le produit rWeb est capable de répartir le trafic entrant parmi les différents dispositifs rWeb et redirige le trafic sortant vers les serveurs Web. Dans un tel cas, l’utilisation d’un Load Balancer n’est plus nécessaire.
Oui. Tous les produits Deny All disposent désormais d’une option mode transparent innovante, qui ne compromet pas le niveau de sécurité. Dans ce mode, rWeb, sProxy et rXML fonctionnent toujours comme des reverse proxies, réceptionnaires du trafic Web entrant et ainsi capables d’identifier et de bloquer les attaques. Contrairement aux produits concurrents, le mode transparent de Deny All préserve les avantages de l’ architecture reverse proxy, dont la rupture protocolaire et le masquage de l’infrastructure. Tout en éliminant l’obligation de modifier adresses IP et réglages DNS.
Le processus de test d’un parefeu applicatif Web dépend grandement des besoins et de l’environnement technique dans lequel il doit être déployé. Cependant, il est obligatoire de garder à l’esprit que la caractéristique la plus importante dans une infrastructure réseau est la sécurité. Effectuer un test de sécurité implique des attaques en situation réelle et donc des spécialistes en sécurité réseaux pour en interpréter correctement les résultats. Cette prestation permet également de distinguer efficacement les différences entre les acteurs du marché, qui sont souvent importantes.
FAQ