Обзор модулей Nemesida WAF и аппаратных требований для их установки. Обязательно ознакомьтесь перед использованием продукта.
Разрешения
Для корректной работы всех компонентов Nemesida WAF на каждом сервере, где они установлены, разрешите:
1. Обращения к внешним ресурсам:
nemesida-security.com:443
;nw-auth-extra.nemesida-security.com:443
;geoip.nemesida-security.com:80
.
2. Входящие/исходящие обращения к сервисам на серверах с установленными модулями:
Динамический модуль Nemesida WAF и Nemesida AI MLA | |
Входящие соединения: | Nginx (например, порт 80 );Nemesida AI MLA (например, порт 5101 ). |
Исходящие соединения: | Nemesida WAF API (например, порт 8080 ). |
Nemesida AI MLC | |
Исходящие соединения: | RabbitMQ (например, порт 5672 );Nemesida WAF API (например, порт 8080 ). |
Nemesida WAF API/Личный кабинет | |
Входящие соединения: | Личный кабинет Nemesida WAF (например, порт 80 );PostgreSQL (например, порт 5432 );Nemesida WAF API (например, порт 8080 ).
|
Nemesida WAF Scanner | |
Исходящие соединения: | Сервер защищаемого веб-приложения (например, порт 80 );Nemesida WAF API (например, порт 8080 );PostgreSQL (например, порт 5432 ).
|
3. Локальные обращения к сервисам на серверах с установленными модулями.
Бесплатное тестирование
Получите лицензионный ключ для полноценного 14-ти дневного тестирования Nemesida WAF.
Docker-образ и Virtual Appliance
Nemesida WAF доступен в виде установочных дистрибутивов для ОС Linux и FreeBSD, в виде Docker-образа, Virtual Appliance и Yandex VM.
Модель лицензирования
Каждый экземпляр динамического модуля Nemesida WAF для Nginx (установочный пакет nwaf-dyn
) должен использовать уникальный лицензионный ключ (лицензию). Лицензия включает в себя право использования всех компонентов, входящих в состав Nemesida WAF, обновления и техническую поддержку. Лицензия предоставляется на один календарный год.
Схема взаимодействия модулей Nemesida WAF
1 Включает в себя Nginx, динамический модуль Nemesida WAF и агент машинного обучения Nemesida AI MLA.
- Динамический модуль Nemesida WAF для Nginx осуществляет сигнатурный анализ поступающих на сервер запросов и на основе построенных Nemesida AI MLC поведенческих моделей принимает решение об их блокировке или передаче в другие модули.
- Модуль машинного обучения Nemesida AI MLA применяет к полученным от динамического модуля запросам поведенческие модели, построенные Nemesida AI MLC, и передает команду о блокировке.
- Модуль машинного обучения Nemesida AI MLC предназначен для построения поведенческих моделей и выявления прочих аномалий (например, атак методом перебора, флуда, DDoS уровня приложений).
- Nemesida WAF API предназначен для приема информации об атаках и выявленных уязвимостях, а также передачи информации о заблокированных запросах и результатах работы модулей Nemesida AI и Nemesida WAF Scanner в СУБД PostgreSQL.
- Личный кабинет предназначен для визуализации и анализа событий работы компонентов из СУБД PostgreSQL, управления настройками Nemesida WAF, управления схемами запросов OpenAPI, настройки использования поведенческих моделей, построенных и применяемых модулем Nemesida AI, а также систематизации информации об аномалиях и выявленных уязвимостях.
- Сканер уязвимостей Nemesida WAF Scanner предназначен для выявления уязвимостей в защищаемом веб-приложении.
Требования к аппаратному обеспечению
Для эффективной работы компонентов Nemesida WAF рекомендуется использовать серверы, имеющие следующие технические характеристики:
Установочные пакеты Nemesida WAF
Основные:
nwaf-dyn
— динамический модуль Nemesida WAF для Nginx и агент машинного обучения Nemesida AI MLA, предназначен для выявления и/или блокирования аномалий с использованием сигнатурного анализа и поведенческих моделей, а также передачи трафика для дальнейшей обработки через RabbitMQ в модуль Nemesida AI MLC.nwaf-mlc
— модуль машинного обучения Nemesida AI MLC, предназначен для построения поведенческих моделей и выявления прочих аномалий (например, DDoS L7, атак методом перебора и т.д.).
Вспомогательные:
nwaf-api
— модуль Nemesida WAF API, предназначен для передачи информации о заблокированных запросах и результатах работы модулей Nemesida AI и Nemesida WAF Scanner в СУБД PostgreSQL.nwaf-cabinet
— модуль Личный кабинет, предназначен для визуализации и анализа событий работы компонентов из СУБД PostgreSQL, управления настройками Nemesida WAF, управления схемами запросов OpenAPI, настройки использования поведенческих моделей, построенных и применяемых модулем Nemesida AI, а также систематизации информации об аномалиях и выявленных уязвимостях.nwaf-scanner
— сканер уязвимостей Nemesida WAF Scanner.
Вспомогательные модули недоступны для дистрибутивов, использующих снятую с поддержки версию Python. Перед установкой вспомогательного модуля рекомендуем ознакомиться со списком поддерживаемых дистрибутивов, размещенном на странице каждого модуля.
Точность поведенческих моделей
В период обучения, для построения более качественных моделей, не рекомендуется производить сканирование веб-приложения на уязвимости, а также направлять другие нелегитимные запросы. Сразу после первого обучения рекомендуется произвести переобучение моделей. Управление ложными срабатываниями производится с помощью модуля Личный кабинет.
Запросы, определенные как BT 1, BT 2, BT 3 и BT 4, не добавляются в обучающую выборку, даже если попадают под действие режима LM
.
Хранение поведенческих моделей
Хранение поведенческих моделей, созданных модулем Nemesida AI MLC, производится автономно (не передаются за пределы сетевого периметра) в СУБД PostgreSQL. Распространение происходит автоматически на все запущенные экземпляры Nemesida AI MLA и Nemesida AI MLC в соовтетствии с WAF ID.
Кластер Nemesida WAF ¶
Позволяет задействовать автоматическую синхронизацию настроек динамического модуля Nemesida WAF, Nemesida AI MLC и списка заблокированных IP-адресов между серверами. Функционал включен по умолчанию и полезен в случаях лицензирования более одного экземпляра динамического модуля Nemesida WAF. Для использования всех экземпляров динамического модуля Nemesida WAF в составе кластера необходимо приобретение основной и дополнительной лицензии. Например, при лицензировании 5 динамических модулей Nemesida WAF необходимо приобрести 1 основную лицензию и 4 дополнительные. Все использующиеся лицензионные ключи имеют единый WAF ID
(идентификатор, позволяющий объединить различные лицензионные ключи в группу).
Поведенческие модели машинного обучения, а также запросы, экспортированные через функционал Личного кабинета, будут автоматически загружены на все экземпляры кластера в соответствии с WAF ID
. Для более точного выявления атак рекомендуется в один момент времени использовать один установленный экземпляр модуля Nemesida AI MLC. Применение правил исключения (WL
) и правил расширенной блокировки (ERL
) осуществляется ко всем экземплярам динамического модуля Nemesida WAF, имеющим единый WAF ID
.
Источники сообщений об ошибках
В процессе работы Nemesida WAF информация об ошибках может содержаться:
- в системных журналах ОС;
- в журнале работы Nginx;
- в журнале работы RabbitMQ;
- в журнале работы модулей Nemesida WAF
/var/log/nwaf/
.
Техническая поддержка
Техническая поддержка пользователей Nemesida WAF Community Edition оказывается только на форуме или на основе расширенной технической поддержки.
В случае возникновения непредвиденных ошибок в работе Nemesida WAF свяжитесь с технической поддержкой по телефону +7 (495) 204-19-72, электронной почте или оставьте сообщение на форуме.
Прочая информация
Доменное имя example.com
вместе с поддоменами в руководствах используется в качестве примера.