Общая информация | Немезида ВАФ

Обзор модулей Nemesida WAF и аппаратных требований для их установки. Обязательно ознакомьтесь перед использованием продукта.

Общие сведения о Nemesida WAF

Разрешения

Для корректной работы всех компонентов Nemesida WAF на каждом сервере, где они установлены, разрешите:

1. Обращения к внешним ресурсам:

  • nemesida-security.com:443;
  • nw-auth-extra.nemesida-security.com:443;
  • geoip.nemesida-security.com:80.

2. Входящие/исходящие обращения к сервисам на серверах с установленными модулями:

Динамический модуль Nemesida WAF и Nemesida AI MLA
Входящие соединения: Nginx (например, порт 80);
Nemesida AI MLA (например, порт 5101).
Исходящие соединения: Nemesida WAF API (например, порт 8080).
Nemesida AI MLC
Исходящие соединения: RabbitMQ (например, порт 5672);
Nemesida WAF API (например, порт 8080).
Nemesida WAF API/Личный кабинет
Входящие соединения: Личный кабинет Nemesida WAF (например, порт 80);
PostgreSQL (например, порт 5432);
Nemesida WAF API (например, порт 8080).
Nemesida WAF Scanner
Исходящие соединения: Сервер защищаемого веб-приложения (например, порт 80);
Nemesida WAF API (например, порт 8080);
PostgreSQL (например, порт 5432).

3. Локальные обращения к сервисам на серверах с установленными модулями.

Бесплатное тестирование

Получите лицензионный ключ для полноценного 14-ти дневного тестирования Nemesida WAF.

Docker-образ и Virtual Appliance

Nemesida WAF доступен в виде установочных дистрибутивов для ОС Linux и FreeBSD, в виде Docker-образа, Virtual Appliance и Yandex VM.

Модель лицензирования

Каждый экземпляр динамического модуля Nemesida WAF для Nginx (установочный пакет nwaf-dyn) должен использовать уникальный лицензионный ключ (лицензию). Лицензия включает в себя право использования всех компонентов, входящих в состав Nemesida WAF, обновления и техническую поддержку. Лицензия предоставляется на один календарный год.

Схема взаимодействия модулей Nemesida WAF

1 Включает в себя Nginx, динамический модуль Nemesida WAF и агент машинного обучения Nemesida AI MLA.

  • Динамический модуль Nemesida WAF для Nginx осуществляет сигнатурный анализ поступающих на сервер запросов и на основе построенных Nemesida AI MLC поведенческих моделей принимает решение об их блокировке или передаче в другие модули.
  • Модуль машинного обучения Nemesida AI MLA применяет к полученным от динамического модуля запросам поведенческие модели, построенные Nemesida AI MLC, и передает команду о блокировке.
  • Модуль машинного обучения Nemesida AI MLC предназначен для построения поведенческих моделей и выявления прочих аномалий (например, атак методом перебора, флуда, DDoS уровня приложений).
  • Nemesida WAF API предназначен для приема информации об атаках и выявленных уязвимостях, а также передачи информации о заблокированных запросах и результатах работы модулей Nemesida AI и Nemesida WAF Scanner в СУБД PostgreSQL.
  • Личный кабинет предназначен для визуализации и анализа событий работы компонентов из СУБД PostgreSQL, управления настройками Nemesida WAF, управления схемами запросов OpenAPI, настройки использования поведенческих моделей, построенных и применяемых модулем Nemesida AI, а также систематизации информации об аномалиях и выявленных уязвимостях.
  • Сканер уязвимостей Nemesida WAF Scanner предназначен для выявления уязвимостей в защищаемом веб-приложении.

Требования к аппаратному обеспечению

Для эффективной работы компонентов Nemesida WAF рекомендуется использовать серверы, имеющие следующие технические характеристики:

Таблица технических характеристик (ТТХ)*
Сервер для динамического модуля Nemesida WAF и Nemesida AI MLA
анализирует и перенаправляет незаблокированные запросы на сервер с веб-приложением
Процессор 4 ядра x 2.4 ГГц
Оперативная память 6 ГБ
Дисковое пространство 10 ГБ
Сервер для Nemesida AI MLC
используется для построения поведенческих моделей и анализа с их помощью всех поступающих запросов, выявляет атаки методом перебора, флуд и DDoS-атаки уровня приложений
Тарифы Light Business, Enterprise
Процессор 6 ядер x 2.4 ГГц
Оперативная память 4 ГБ 24 ГБ
Дисковое пространство 25 ГБ
Сервер для Nemesida WAF API, Личного кабинета Nemesida WAF и СУБД PostgreSQL
используется для хранения и визуализации выявленных аномалий и недостатков веб-приложения, а также для управления поведением модуля машинного обучения
Процессор 4 ядра x 2.4 ГГц
Оперативная память 6 ГБ
Дисковое пространство 25 ГБ

* Заявленные технические требования являются примерными (для нагрузки до 10к RPS) и подбираются индивидуально, в зависимости от количества и типа поступаемого трафика.

Настройка компонентов, хранение и управление поведенческими моделями производится в пределах сетевого периметра.

Установочные пакеты Nemesida WAF

Основные:

  • nwaf-dyn — динамический модуль Nemesida WAF для Nginx и агент машинного обучения Nemesida AI MLA, предназначен для выявления и/или блокирования аномалий с использованием сигнатурного анализа и поведенческих моделей, а также передачи трафика для дальнейшей обработки через RabbitMQ в модуль Nemesida AI MLC.
  • nwaf-mlc — модуль машинного обучения Nemesida AI MLC, предназначен для построения поведенческих моделей и выявления прочих аномалий (например, DDoS L7, атак методом перебора и т.д.).

Вспомогательные:

  • nwaf-api — модуль Nemesida WAF API, предназначен для передачи информации о заблокированных запросах и результатах работы модулей Nemesida AI и Nemesida WAF Scanner в СУБД PostgreSQL.
  • nwaf-cabinet — модуль Личный кабинет, предназначен для визуализации и анализа событий работы компонентов из СУБД PostgreSQL, управления настройками Nemesida WAF, управления схемами запросов OpenAPI, настройки использования поведенческих моделей, построенных и применяемых модулем Nemesida AI, а также систематизации информации об аномалиях и выявленных уязвимостях.
  • nwaf-scanner — сканер уязвимостей Nemesida WAF Scanner.

Вспомогательные модули недоступны для дистрибутивов, использующих снятую с поддержки версию Python. Перед установкой вспомогательного модуля рекомендуем ознакомиться со списком поддерживаемых дистрибутивов, размещенном на странице каждого модуля.

Точность поведенческих моделей

В период обучения, для построения более качественных моделей, не рекомендуется производить сканирование веб-приложения на уязвимости, а также направлять другие нелегитимные запросы. Сразу после первого обучения рекомендуется произвести переобучение моделей. Управление ложными срабатываниями производится с помощью модуля Личный кабинет.

Запросы, определенные как BT 1, BT 2, BT 3 и BT 4, не добавляются в обучающую выборку, даже если попадают под действие режима LM.

Хранение поведенческих моделей

Хранение поведенческих моделей, созданных модулем Nemesida AI MLC, производится автономно (не передаются за пределы сетевого периметра) в СУБД PostgreSQL. Распространение происходит автоматически на все запущенные экземпляры Nemesida AI MLA и Nemesida AI MLC в соовтетствии с WAF ID.

Кластер Nemesida WAF

Позволяет задействовать автоматическую синхронизацию настроек динамического модуля Nemesida WAF, Nemesida AI MLC и списка заблокированных IP-адресов между серверами. Функционал включен по умолчанию и полезен в случаях лицензирования более одного экземпляра динамического модуля Nemesida WAF. Для использования всех экземпляров динамического модуля Nemesida WAF в составе кластера необходимо приобретение основной и дополнительной лицензии. Например, при лицензировании 5 динамических модулей Nemesida WAF необходимо приобрести 1 основную лицензию и 4 дополнительные. Все использующиеся лицензионные ключи имеют единый WAF ID (идентификатор, позволяющий объединить различные лицензионные ключи в группу).

Поведенческие модели машинного обучения, а также запросы, экспортированные через функционал Личного кабинета, будут автоматически загружены на все экземпляры кластера в соответствии с WAF ID. Для более точного выявления атак рекомендуется в один момент времени использовать один установленный экземпляр модуля Nemesida AI MLC. Применение правил исключения (WL) и правил расширенной блокировки (ERL) осуществляется ко всем экземплярам динамического модуля Nemesida WAF, имеющим единый WAF ID.

Источники сообщений об ошибках

В процессе работы Nemesida WAF информация об ошибках может содержаться:

  • в системных журналах ОС;
  • в журнале работы Nginx;
  • в журнале работы RabbitMQ;
  • в журнале работы модулей Nemesida WAF /var/log/nwaf/.

Техническая поддержка

Техническая поддержка пользователей Nemesida WAF Community Edition оказывается только на форуме или на основе расширенной технической поддержки.

В случае возникновения непредвиденных ошибок в работе Nemesida WAF свяжитесь с технической поддержкой по телефону +7 (495) 204-19-72, электронной почте или оставьте сообщение на форуме.

Прочая информация

Доменное имя example.com вместе с поддоменами в руководствах используется в качестве примера.