Cloudflare WAF (Web Application Firewall) est un pare-feu web applicatif. C’est une variété de pare-feu qui vise à surveiller, filtrer ou bloquer le trafic HTTP (Hypertext Transfert Protocol) entre une application web et Internet.
Il protège généralement les applications Web contre les attaques telles que la falsification intersites, le cross-site-scripting (XSS), l’inclusion de fichiers et l’injection SQL, entre autres. Cloudflare WAF est sert à se protéger contre les attaques basées sur les applications (couche 7 du modèle OSI), et n’est pas conçu pour se défendre contre tous les types d’attaques. Cette méthode d’atténuation des attaques fait généralement partie d’une suite d’outils qui, ensemble, créent une défense globale contre une série de vecteurs d’attaque.
En déployant un WAF devant une application web, un bouclier est placé entre l’application web et Internet. Un serveur proxy protège l’identité d’une machine client en utilisant un intermédiaire ; Cloudflare WAF est un type de proxy inversé qui protège le serveur en faisant passer les clients par le WAF avant d’atteindre le serveur.
Il s’agit d’une solution haute performance distribuée sur un réseau mondial avec plus de 200 PoP (Point of Presence ou point de présence opérateur), dont 22 en Chine.
Développé par le langage de script libre, multiplateforme appelé Lua, Cloudflare WAF possède des capacités de traitement extrêmement rapides de 0,3 ms ! Il comprend le jeu de règles OWASP ModSecurity créées par la société Cloudflare et personnalisées par les clients. Ces mises à jour se propagent à travers leur réseau mondial pendant environ 30 secondes.
Cloudflare est devenu très performant dans la protection des serveurs web contre les attaques DDoS et il étend sa protection avec son pare-feu web applicatif. Leurs serveurs traitent 2,9 millions de requêtes chaque seconde pour le compte de leur vaste clientèle. C’est la solution que nous utilisons pour iQera, le leader français du recouvrement de créance.
L’avantage ? Les entreprises abonnées à Cloudflare WAF peuvent appliquer des économies d’échelle à sa recherche sur les menaces. Une tentative d’attaque contre un client devient instantanément une entrée de liste noire pour tous les serveurs web protégés par Cloudflare. Si vous avez un serveur central basé sur le cloud pour votre entreprise ou comme système de diffusion de contenu inclus dans votre présentation web, Cloudflare peut couvrir cela aussi. L’intégration de la protection DDoS complète de Cloudflare à votre abonnement WAF est une tâche très simple.
On retrouve principalement :
Sucuri Website Firewall de Sucuri. Il s’agit d’une option complète de pare-feu de sécurité, ce qui signifie qu’elle couvre la plupart des menaces ayant trait à la sécurité de notre site. Il comprend des options de nettoyage des logiciels malveillants, de surveillance et de protection. Il prend en charge de nombreux types de connexions telles que FTP, SFTP, SSH et cPanel, etc. Et le scanner côté serveur analyse automatiquement le back-end des sites qui peuvent présenter des malwares.
AppTrana d’Indusface : entièrement géré, associé à une accélération du contenu et à un CDN dans le cloud. Il suffit de faire transiter le trafic par le service AppTrana hébergé dans plusieurs régions dans des centres de données AWS par Indusface. AppTrana est livré avec des règles de base optimisées qui peuvent être instantanément mises en mode bloqué sur la base des règles de base optimisées qu’Indusface a développées en évaluant la sécurité de milliers d’autres sites web. Une fois intégrés, les clients peuvent effectuer une évaluation automatisée à la demande de la sécurité de leur site web et savoir immédiatement s’ils sont déjà protégés par le WAF ou s’ils ont besoin de règles personnalisées. Ceux qui ont besoin de règles personnalisées peuvent en faire la demande depuis le portail centralisé et l’équipe MSS d’Indusface, disponible 24 heures sur 24 et 7 jours sur 7, créera une règle personnalisée avec la garantie de faux positifs et les protégera. Les performances du site web sont améliorées grâce à un CDN inclus dans le service.
StackPath WAF : ensemble de services cloud proposés par StackPath. La configuration externe de StackPath offre une protection supplémentaire à votre serveur web, car tout code malveillant n’a même pas la possibilité de toucher vos ressources. Le trafic Web se dirigeant vers votre site est détourné pour atteindre d’abord le serveur StackPath. Les trois défenses fondamentales offertes par ce service sont les suivantes : L’évaluation de l’adresse IP, la validation du navigateur et l’utilisation de règles de contenu. Cette méthodologie se concentre sur la probabilité que les demandes entrantes proviennent de sources douteuses. Le filtrage à la source permet également de bloquer toute tentative d’attaque DDoS. Seul le trafic validé est transmis à votre serveur web. Tout ce traitement est effectué si rapidement que les utilisateurs réguliers ne subissent aucune détérioration de la vitesse de connexion. StackPath offre le Web Application Firewall gratuitement pendant le premier mois de service.
Akamai Kona Site Defender : intègre une protection DDoS complète à son pare-feu d’application web dans un service cloud appelé Site Defender. Un grand avantage de la combinaison des deux services en un seul produit est que vous n’aurez pas besoin de faire transiter votre trafic par deux sociétés différentes pour recevoir les demandes authentiques qui parviennent à votre serveur web.