Обзор модулей Nemesida WAF и аппаратных требований для их установки. Обязательно ознакомьтесь перед использованием продукта.

Общие сведения о Nemesida WAF

Разрешения

Для корректной работы всех компонентов Nemesida WAF на каждом сервере, где они установлены, разрешите:

1. Обращения к внешним ресурсам:

  • nemesida-security.com:443;
  • auth.nemesida-security.com:443;
  • nw-auth-extra.nemesida-security.com:443;
  • geoip.nemesida-security.com:80.

2. Входящие/исходящие обращения к сервисам на серверах с установленными модулями:

Динамический модуль Nemesida WAF и Nemesida AI MLA
Входящие соединения: Nginx (например, порт 80);
Nemesida AI MLA (например, порт 5101).
Исходящие соединения: Nemesida WAF API (например, порт 8080).
Nemesida AI MLC
Исходящие соединения: RabbitMQ (например, порт 5672);
Nemesida WAF API (например, порт 8080).
Nemesida WAF API/Личный кабинет
Входящие соединения: Личный кабинет Nemesida WAF (например, порт 80);
PostgreSQL (например, порт 5432);
Nemesida WAF API (например, порт 8080).
Nemesida WAF Scanner
Исходящие соединения: Сервер защищаемого веб-приложения (например, порт 80);
Nemesida WAF API (например, порт 8080);
PostgreSQL (например, порт 5432).

3. Локальные обращения к сервисам на серверах с установленными модулями.

Бесплатное тестирование

Запросите лицензионный ключ для полноценного 14-ти дневного тестирования Nemesida WAF.

Docker-образ и Virtual Appliance

Nemesida WAF доступен в виде установочных дистрибутивов для ОС Linux и FreeBSD, в виде Docker-образа, Virtual Appliance и Yandex VM.

Модель лицензирования

Каждый экземпляр динамического модуля Nemesida WAF для Nginx (установочный пакет nwaf-dyn) должен использовать уникальный лицензионный ключ (лицензию). Лицензия включает в себя право использования всех компонентов, входящих в состав Nemesida WAF, обновления и техническую поддержку. Лицензия предоставляется на один календарный год.

Схема взаимодействия модулей Nemesida WAF

1 Включает в себя Nginx, динамический модуль Nemesida WAF и агент машинного обучения Nemesida AI MLA.

  • Динамический модуль Nemesida WAF для Nginx осуществляет сигнатурный анализ поступающих на сервер запросов и на основе построенных Nemesida AI MLC поведенческих моделей принимает решение об их блокировке или передаче в другие модули.
  • Модуль машинного обучения Nemesida AI MLA применяет к полученным от динамического модуля запросам поведенческие модели, построенные Nemesida AI MLC, и передает команду о блокировке.
  • Модуль машинного обучения Nemesida AI MLC предназначен для построения поведенческих моделей и выявления прочих аномалий (например, атак методом перебора, флуда, DDoS уровня приложений).
  • Nemesida WAF API предназначен для приема информации об атаках и выявленных уязвимостях, а также передачи информации о заблокированных запросах и результатах работы модулей Nemesida AI и Nemesida WAF Scanner в СУБД PostgreSQL.
  • Личный кабинет предназначен для визуализации и анализа событий работы компонентов из СУБД PostgreSQL, управления настройками Nemesida WAF, управления схемами запросов OpenAPI, настройки использования поведенческих моделей, построенных и применяемых модулем Nemesida AI, а также систематизации информации об аномалиях и выявленных уязвимостях.
  • Сканер уязвимостей Nemesida WAF Scanner предназначен для выявления уязвимостей в защищаемом веб-приложении.

Требования к аппаратному обеспечению

Для эффективной работы компонентов Nemesida WAF рекомендуется использовать серверы, имеющие следующие технические характеристики:

Таблица технических характеристик (ТТХ)*
Сервер для динамического модуля Nemesida WAF и Nemesida AI MLA
анализирует и перенаправляет незаблокированные запросы на сервер с веб-приложением
Процессор 4 ядра x 2.4 ГГц
Оперативная память 6 ГБ
Дисковое пространство 10 ГБ
Сервер для Nemesida AI MLC
используется для построения поведенческих моделей и анализа с их помощью всех поступающих запросов, выявляет атаки методом перебора, флуд и DDoS-атаки уровня приложений
Тарифы Light Business, Enterprise
Процессор 6 ядер x 2.4 ГГц
Оперативная память 4 ГБ 6**/24 ГБ
Дисковое пространство 25 ГБ
Сервер для Nemesida WAF API, Личного кабинета Nemesida WAF и СУБД PostgreSQL
используется для хранения и визуализации выявленных аномалий и недостатков веб-приложения, а также для управления поведением модуля машинного обучения
Процессор 4 ядра x 2.4 ГГц
Оперативная память 16 ГБ
Дисковое пространство 25 ГБ

* Заявленные технические требования являются примерными (для нагрузки до 10к RPS) и подбираются индивидуально, в зависимости от количества и типа поступаемого трафика.
** Для тарифа Business построение поведенческих моделей может производиться с помощью облачного сервера Nemesida AI MLS для экономии аппаратных ресурсов сервера.

При использовании тарифа Enterprise настройка компонентов, хранение и управление поведенческими моделями производится в пределах сетевого периметра.

Установочные пакеты Nemesida WAF

Основные:

  • nwaf-dyn — динамический модуль Nemesida WAF для Nginx и агент машинного обучения Nemesida AI MLA, предназначен для выявления и/или блокирования аномалий с использованием сигнатурного анализа и поведенческих моделей, а также передачи трафика для дальнейшей обработки через RabbitMQ в модуль Nemesida AI MLC.
  • nwaf-mlc — модуль машинного обучения Nemesida AI MLC, предназначен для построения поведенческих моделей и выявления прочих аномалий (например, DDoS L7, атак методом перебора и т.д.).

Вспомогательные:

  • nwaf-api — модуль Nemesida WAF API, предназначен для передачи информации о заблокированных запросах и результатах работы модулей Nemesida AI и Nemesida WAF Scanner в СУБД PostgreSQL.
  • nwaf-cabinet — модуль Личный кабинет, предназначен для визуализации и анализа событий работы компонентов из СУБД PostgreSQL, управления настройками Nemesida WAF, управления схемами запросов OpenAPI, настройки использования поведенческих моделей, построенных и применяемых модулем Nemesida AI, а также систематизации информации об аномалиях и выявленных уязвимостях.
  • nwaf-scanner — сканер уязвимостей Nemesida WAF Scanner.

Вспомогательные модули недоступны для дистрибутивов, использующих снятую с поддержки версию Python. Перед установкой вспомогательного модуля рекомендуем ознакомиться со списком поддерживаемых дистрибутивов, размещенном на странице каждого модуля.

Точность поведенческих моделей

В период обучения, для построения более качественных моделей, не рекомендуется производить сканирование веб-приложения на уязвимости, а также направлять другие нелегитимные запросы. Сразу после первого обучения рекомендуется произвести переобучение моделей. Управление ложными срабатываниями производится с помощью модуля Личный кабинет.

Запросы, определенные как BT 1, BT 2, BT 3 и BT 4, не добавляются в обучающую выборку, даже если попадают под действие режима LM.

Хранение поведенческих моделей

Поведенческие модели, созданные модулем Nemesida AI MLC, передаются на удаленный сервер Nemesida AI API и автоматически распространяются на все запущенные экземпляры Nemesida AI MLA и Nemesida AI MLC в соответствии с WAF ID.
Для тарифа Enterprise предусмотрено автономное (не передаются за пределы сетевого периметра клиента) хранение поведенческих моделей.

Кластер Nemesida WAF

Позволяет задействовать автоматическую синхронизацию настроек динамического модуля Nemesida WAF, Nemesida AI MLC и списка заблокированных IP-адресов между серверами. Функционал включен по умолчанию и полезен в случаях лицензирования более одного экземпляра динамического модуля Nemesida WAF. Для использования всех экземпляров динамического модуля Nemesida WAF в составе кластера необходимо приобретение основной и дополнительной лицензии. Например, при лицензировании 5 динамических модулей Nemesida WAF необходимо приобрести 1 основную лицензию и 4 дополнительные.

Все использующиеся лицензионные ключи имеют единый WAF ID (идентификатор, позволяющий объединить различные лицензионные ключи в группу).

Поведенческие модели машинного обучения, а также запросы, экспортированные через функционал Личного кабинета, будут автоматически загружены на все экземпляры кластера в соответствии с WAF ID. Для более точного выявления атак рекомендуется в один момент времени использовать один установленный экземпляр модуля Nemesida AI MLC.

Применение правил исключения (WL) и правил расширенной блокировки (ERL) осуществляется ко всем экземплярам динамического модуля Nemesida WAF, имеющим единый WAF ID.

Источники сообщений об ошибках

В процессе работы Nemesida WAF информация об ошибках может содержаться:

  • в системных журналах ОС;
  • в журнале работы Nginx;
  • в журнале работы RabbitMQ;
  • в журнале работы модулей Nemesida WAF /var/log/nwaf/.

Техническая поддержка

Техническая поддержка пользователей Nemesida WAF Community Edition оказывается только на форуме или на основе расширенной технической поддержки.

В случае возникновения непредвиденных ошибок в работе Nemesida WAF свяжитесь с технической поддержкой по телефону +7 (495) 204-19-72, электронной почте или оставьте сообщение на форуме.

Прочая информация

Доменное имя example.com вместе с поддоменами в руководствах используется в качестве примера.