Обзор модулей Немезида ВАФ и аппаратных требований для их установки. Обязательно ознакомьтесь перед использованием продукта.
Преимуществами Немезида ВАФ является простая настройка через веб-интерфейс, высокая точность выявления атак при минимальном количестве ложных срабатываний, возможность интеграции со сторонними решениями (анти-DDoS, SIEM и т.д.), гибкая масштабируемость, а также наличие вспомогательных компонентов (API Firewall, сканер уязвимостей и прочее), позволяющих комплексно решать вопросы безопасности веб-приложений.
🔗 Схема взаимодействия модулей Немезида ВАФ
1 Включает в себя Nginx/Angie, динамический модуль и агент машинного обучения Nemesida AI MLA.
Для минимального развертывания всех компонентов Немезида ВАФ необходимо минимум 3 сервера:
- Фильтрующая нода (1 сервер);
- Nemesida AI MLC (1 сервер);
- Nemesida WAF API, Личный кабинет, СУБД PostgreSQL, Nemesida WAF Scanner (1 сервер).
При этом, для корректной работы всех компонентов запрещена установка компонентов на одном сервере.
- Динамический модуль для Nginx осуществляет сигнатурный анализ поступающих на сервер запросов и на основе построенных Nemesida AI MLC поведенческих моделей принимает решение об их блокировке или передаче в другие модули.
- Модуль машинного обучения Nemesida AI MLA применяет к полученным от динамического модуля запросам поведенческие модели, построенные Nemesida AI MLC, и передает команду о блокировке.
- Модуль машинного обучения Nemesida AI MLC предназначен для построения поведенческих моделей и выявления прочих аномалий (например, атак методом перебора, флуда, DDoS уровня приложений и активность паразитных ботов).
- Nemesida WAF API предназначен для приема информации об атаках и выявленных уязвимостях, а также передачи информации о заблокированных запросах и результатах работы модулей Nemesida AI и Nemesida WAF Scanner в СУБД PostgreSQL.
- Личный кабинет предназначен для визуализации и анализа событий работы компонентов из СУБД PostgreSQL, управления настройками Немезида ВАФ, управления схемами запросов OpenAPI, настройки использования поведенческих моделей, построенных и применяемых модулем Nemesida AI, а также систематизации информации об аномалиях и выявленных уязвимостях.
- Сканер уязвимостей Nemesida WAF Scanner предназначен для выявления уязвимостей в защищаемом веб-приложении.
🔗 Кластеризация и отказоустойчивость компонентов Немезида ВАФ
Для обеспечения отказоустойчивой работы компоненты Немезида ВАФ на основе уникального идентификатора WAF ID
объединяются в единый кластер. Использование единого идентификатора позволяет обеспечить автоматическую синхронизацию настроек, списка заблокированных IP-адресов и прочих параметров между узлами, в том числе находящихся на географически распределенных площадках (например, удаленные дата-центры).
Перед созданием инфраструктуры необходимо ознакомиться со схемой, которая отражает минимальное количество серверов для каждого компонента и техническими требованиями к ним:
🔗 Установочные пакеты
Основные:
nwaf-dyn
— динамический модуль для Nginx и агент машинного обучения Nemesida AI MLA, предназначен для выявления и/или блокирования аномалий с использованием сигнатурного анализа и поведенческих моделей, а также передачи трафика для дальнейшей обработки через RabbitMQ в модуль Nemesida AI MLC.nwaf-mlc
— модуль машинного обучения Nemesida AI MLC, предназначен для построения поведенческих моделей и выявления прочих аномалий (например, DDoS L7 и активности паразитных ботов, атак методом перебора и т.д.).nwaf-api
— модуль Nemesida WAF API, предназначен для передачи информации о заблокированных запросах и результатах работы модулей Nemesida AI и Nemesida WAF Scanner в СУБД PostgreSQL.
Вспомогательные:
nwaf-cabinet
— модуль Личный кабинет, предназначен для визуализации и анализа событий работы компонентов из СУБД PostgreSQL, управления настройками Немезида ВАФ, управления схемами запросов OpenAPI, настройки использования поведенческих моделей, построенных и применяемых модулем Nemesida AI, а также систематизации информации об аномалиях и выявленных уязвимостях.nwaf-scanner
— сканер уязвимостей Nemesida WAF Scanner.
🔗 Техническая поддержка
В процессе работы компонентов Немезида ВАФ информация о событиях может содержаться:
- в системных журналах ОС;
- в журнале работы Nginx;
- в журнале работы RabbitMQ;
- в журнале работы компонентов Немезида ВАФ:
/var/log/nwaf/
/var/log/nw-api/
/var/log/uwsgi/cabinet/
В случае возникновения вопросов, связанных с коммерческой версией Немезида ВАФ, обратитесь в службу технической поддержки по электронной почте.
В случае возникновения вопросов, связанных с некоммерческой версией Немезида ВАФ, оставьте сообщение на форуме.
🔗 Прочая информация
Каждый экземпляр фильтрующей ноды (установочный пакет nwaf-dyn
) должен использовать уникальный лицензионный ключ (лицензию). Лицензия включает в себя право использования всех компонентов, входящих в состав Немезида ВАФ, обновления и техническую поддержку. Лицензия предоставляется на один календарный год.
Доменное имя example.com
вместе с поддоменами в руководствах используется в качестве примера.
Все поведенческие модели, созданные модулем Nemesida AI MLC, хранятся в локальной СУБД PostgreSQL (база данных waf
, в которой хранятся также настройки Немезида ВАФ, правила исключений и блокировки, настройки веб-сервера Nginx), доступ к которой осуществляется через компонент Nemesida WAF API. Управление поведенческими моделями осуществляется с помощью интерфейса Личного кабинета или API.
Немезида ВАФ во время работы использует служебные заголовки в формате x-nwaf-*
(например, x-nwaf-oa-request-id
). Использование в веб-приложении заголовков с аналогичными названиями не допускается во избежании возможных ошибок в работе.
Использование IP геолокации позволяет получать расширенную информацию об IP-адресе источника запросов. Точность получаемых данных (в том числе списков Tor
/Proxy
/VPN
) в силу специфики их получения.
Копии некоторых функций веб-сервера Nginx
в модифицированном виде используются в динамическом модуле Немезида ВАФ для анализа запросов, передаваемых внутри туннеля Websocket
.