Обзор модулей Nemesida WAF и аппаратных требований для их установки. Обязательно ознакомьтесь перед использованием продукта.

Общие сведения о Nemesida WAF

Взаимодействие с внешними ресурсами

В процессе работы компоненты Nemesida WAF обращаются к nemesida-security.com:443, *.nemesida-security.com:443 и geoip.nemesida-security.com:80/443.

Бесплатное тестирование

Запросите лицензионный ключ для полноценного 14-ти дневного тестирования Nemesida WAF.

Docker-образ и Virtual Appliance

Nemesida WAF доступен в виде установочных дистрибутивов для ОС Linux, в виде Docker-образа, Virtual Appliance и Yandex VM.

Модель лицензирования

Каждый экземпляр динамического модуля Nemesida WAF для Nginx (установочный пакет nwaf-dyn) должен использовать уникальный лицензионный ключ (лицензию). Лицензия включает в себя право использования всех компонентов, входящих в состав Nemesida WAF, обновления и техническую поддержку. Лицензия предоставляется на один календарный год.

Схема взаимодействия модулей Nemesida WAF

  • Динамический модуль Nemesida WAF для Nginx осуществляет сигнатурный анализ поступающих на сервер запросов и на основе построенных Nemesida AI MLC поведенческих моделей принимает решение об их блокировке или передаче в другие модули.
  • Модуль машинного обучения Nemesida AI MLA1 применяет к полученным от динамического модуля запросам поведенческие модели, построенные Nemesida AI MLC, и передает команду о блокировке.
  • Модуль машинного обучения Nemesida AI MLC1 предназначен для построения поведенческих моделей и выявления прочих аномалий (например, атак методом перебора, флуда, DDoS уровня приложений).
  • Nemesida WAF API предназначен для приема информации об атаках и выявленных уязвимостях, а также передачи информации о заблокированных запросах и результатах работы модулей Nemesida AI и Nemesida WAF Scanner в СУБД PostgreSQL.
  • Личный кабинет предназначен для визуализации и анализа событий работы компонентов из СУБД PostgreSQL, а также систематизации информации об аномалиях и выявленных уязвимостях.
  • Модуль Nemesida WAF Signtest выполняет подстройку использования моделей, построенных и применяемых модулем Nemesida AI.
  • Сканер уязвимостей Nemesida WAF Scanner предназначен для выявления уязвимостей в защищаемом веб-приложении.

1 Выявление атак с использованием машинного обучения доступно только для тарифов Business и Enterprise.

Требования к аппаратному обеспечению

Для эффективной работы компонентов Nemesida WAF рекомендуется использовать серверы, имеющие следующие технические характеристики:

Таблица технических характеристик (ТТХ)*
Сервер для динамического модуля Nemesida WAF и Nemesida AI MLA
анализирует и перенаправляет незаблокированные запросы на сервер с веб-приложением
Процессор 4 ядра x 2.4 ГГц
Оперативная память От 6 ГБ
Дисковое пространство От 10 ГБ
Сервер для Nemesida AI MLC
используется для построения поведенческих моделей и анализа с их помощью всех поступающих запросов, выявляет атаки методом перебора, флуд и DDoS-атаки уровня приложений
Процессор 12 ядер x 2.4 ГГц
Оперативная память От 6 ГБ при построении поведенческих моделей с помощью облачного сервера Nemesida AI MLS
От 48 ГБ при построении поведенческих моделей на локальном сервере
Дисковое пространство От 25 ГБ
Сервер для Nemesida WAF API, Личного кабинета Nemesida WAF, Nemesida WAF Signtest и СУБД PostgreSQL
используется для хранения и визуализации выявленных аномалий и недостатков веб-приложения, а также для управления поведением модуля машинного обучения
Процессор 4 ядра x 2.4 ГГц
Оперативная память От 16 ГБ
Дисковое пространство От 25 ГБ

* Для нагрузки до 10к RPS.

Установочные пакеты Nemesida WAF

Основные:

  • nwaf-dyn — динамический модуль Nemesida WAF для Nginx и агент машинного обучения Nemesida AI MLA, предназначен для выявления и/или блокирования аномалий с использованием сигнатурного анализа и поведенческих моделей, а также передачи трафика для дальнейшей обработки через RabbitMQ в модуль Nemesida AI MLC.
  • nwaf-mlc — модуль машинного обучения Nemesida AI MLC, предназначен для построения поведенческих моделей и выявления прочих аномалий (например, DDoS L7, атак методом перебора и т.д.).

Вспомогательные:

  • nwaf-api — модуль Nemesida WAF API, предназначен для передачи информации о заблокированных запросах и результатах работы модулей Nemesida AI и Nemesida WAF Scanner в СУБД PostgreSQL.
  • nwaf-cabinet — модуль Личный кабинет, предназначен для визуализации и аналитики событий работы компонентов из СУБД PostgreSQL.
  • nwaf-st — модуль Nemesida WAF Signtest, предназначен для управления обучением модуля Nemesida AI.
  • nwaf-scanner — сканер уязвимостей Nemesida WAF Scanner.

Вспомогательные модули недоступны для дистрибутивов, использующих снятую с поддержки версию Python. Перед установкой вспомогательного модуля рекомендуем ознакомиться со списком поддерживаемых дистрибутивов, размещенном на странице каждого модуля.

Кластер Nemesida WAF

Позволяет задействовать автоматическую синхронизацию настроек динамического модуля Nemesida WAF, Nemesida AI MLC и списка заблокированных IP-адресов между серверами. Функционал полезен в случаях, когда несколько экземпляров динамического модуля Nemesida WAF используются в составе кластера.

Для работы Nemesida WAF в составе кластера все использующиеся лицензионные ключи должны иметь единый WAF ID (идентификатор, позволяющий объединять различные лицензионные ключи в группу). Для группировки лицензионных ключей в единый WAF ID отправьте запрос на support@nemesida-security.com.

Поведенческие модели машинного обучения, а также запросы, экспортированные через функционал Nemesida WAF Signtest, будут автоматически загружены на все экземпляры кластера в соответствии с WAF ID. Для более точного выявления атак рекомендуется в один момент времени использовать один установленный экземпляр модуля Nemesida AI MLC.

Применение правил исключения (WL) и правил расширенной блокировки (ERL) осуществляется ко всем экземплярам динамического модуля Nemesida WAF, имеющим единый WAF ID.

Источники сообщений об ошибках

В процессе работы Nemesida WAF информация об ошибках может содержаться:

  • в системных журналах ОС;
  • в журнале работы Nginx;
  • в журнале работы RabbitMQ;
  • в журнале работы модулей Nemesida WAF /var/log/nwaf/.

Техническая поддержка

Для пользователей Nemesida WAF Free техническая поддержка оказывается только на форуме.

В случае возникновения непредвиденных ошибок в работе Nemesida WAF свяжитесь с технической поддержкой по телефону +7 (495) 204-19-72, электронной почте или оставьте сообщение на форуме.

Прочая информация

Доменное имя example.com вместе с поддоменами в руководствах используется в качестве примера.