Общая информация | Немезида ВАФ

Общая информация | Немезида ВАФ

Защита сайта от хакерских атак
Общая информация

Обзор модулей Nemesida WAF и аппаратных требований для их установки. Обязательно ознакомьтесь перед использованием продукта.

Общие сведения о Nemesida WAF

🔗 Разрешения

Для корректной работы всех компонентов Nemesida WAF на каждом сервере, где они установлены, разрешите:

1. Обращения к внешним ресурсам:

  • nemesida-security.com:443;
  • nw-auth-extra.nemesida-security.com:443;
  • geoip.nemesida-security.com:80.

2. Входящие/исходящие обращения к сервисам на серверах с установленными модулями:

Динамический модуль и Nemesida AI MLA
Входящие соединения: Nginx (например, порт 80);
Nemesida AI MLA (например, порт 5101).
Исходящие соединения: Nemesida WAF API (например, порт 8080).
Nemesida AI MLC
Исходящие соединения: RabbitMQ (например, порт 5672);
Nemesida WAF API (например, порт 8080).
Nemesida WAF API/Личный кабинет
Входящие соединения: Личный кабинет Nemesida WAF (например, порт 80);
PostgreSQL (например, порт 5432);
Nemesida WAF API (например, порт 8080).
Nemesida WAF Scanner
Исходящие соединения: Сервер защищаемого веб-приложения (например, порт 80);
Nemesida WAF API (например, порт 8080);
PostgreSQL (например, порт 5432).

3. Локальные обращения к сервисам на серверах с установленными модулями.

🔗 Бесплатное тестирование

Получите лицензионный ключ для полноценного 14-ти дневного тестирования Nemesida WAF.

🔗 Docker-образ и Virtual Appliance

Nemesida WAF доступен в виде установочных дистрибутивов для ОС Linux и FreeBSD, в виде Docker-образа, Virtual Appliance и Yandex VM.

🔗 Модель лицензирования

Каждый экземпляр динамического модуля для Nginx (установочный пакет nwaf-dyn) должен использовать уникальный лицензионный ключ (лицензию). Лицензия включает в себя право использования всех компонентов, входящих в состав Nemesida WAF, обновления и техническую поддержку. Лицензия предоставляется на один календарный год.

🔗 Схема взаимодействия модулей Nemesida WAF

1 Включает в себя Nginx, динамический модуль и агент машинного обучения Nemesida AI MLA.

  • Динамический модуль для Nginx осуществляет сигнатурный анализ поступающих на сервер запросов и на основе построенных Nemesida AI MLC поведенческих моделей принимает решение об их блокировке или передаче в другие модули.
  • Модуль машинного обучения Nemesida AI MLA применяет к полученным от динамического модуля запросам поведенческие модели, построенные Nemesida AI MLC, и передает команду о блокировке.
  • Модуль машинного обучения Nemesida AI MLC предназначен для построения поведенческих моделей и выявления прочих аномалий (например, атак методом перебора, флуда, DDoS уровня приложений).
  • Nemesida WAF API предназначен для приема информации об атаках и выявленных уязвимостях, а также передачи информации о заблокированных запросах и результатах работы модулей Nemesida AI и Nemesida WAF Scanner в СУБД PostgreSQL.
  • Личный кабинет предназначен для визуализации и анализа событий работы компонентов из СУБД PostgreSQL, управления настройками Nemesida WAF, управления схемами запросов OpenAPI, настройки использования поведенческих моделей, построенных и применяемых модулем Nemesida AI, а также систематизации информации об аномалиях и выявленных уязвимостях.
  • Сканер уязвимостей Nemesida WAF Scanner предназначен для выявления уязвимостей в защищаемом веб-приложении.

🔗 Требования к аппаратному обеспечению

Для эффективной работы компонентов Nemesida WAF рекомендуется использовать серверы, имеющие следующие технические характеристики:

Таблица технических характеристик (ТТХ)*
Сервер для динамического модуля и Nemesida AI MLA
анализирует и перенаправляет незаблокированные запросы на сервер с веб-приложением
Процессор 4 ядра x 2.4 ГГц
Оперативная память 6 ГБ
Дисковое пространство 10 ГБ
Сервер для Nemesida AI MLC
используется для построения поведенческих моделей и анализа с их помощью всех поступающих запросов, выявляет атаки методом перебора, флуд и DDoS-атаки уровня приложений
Тарифы Light Business, Enterprise
Процессор 6 ядер x 2.4 ГГц
Оперативная память 4 ГБ 24 ГБ
Дисковое пространство 25 ГБ
Сервер для Nemesida WAF API, Личного кабинета Nemesida WAF и СУБД PostgreSQL
используется для хранения и визуализации выявленных аномалий и недостатков веб-приложения, а также для управления поведением модуля машинного обучения
Процессор 4 ядра x 2.4 ГГц
Оперативная память 6 ГБ
Дисковое пространство 25 ГБ

* Заявленные технические требования являются примерными (для нагрузки до 10к RPS) и подбираются индивидуально, в зависимости от количества и типа поступаемого трафика.

Настройка компонентов, хранение и управление поведенческими моделями производится в пределах сетевого периметра.

🔗 Установочные пакеты Nemesida WAF

Основные:

  • nwaf-dynдинамический модуль для Nginx и агент машинного обучения Nemesida AI MLA, предназначен для выявления и/или блокирования аномалий с использованием сигнатурного анализа и поведенческих моделей, а также передачи трафика для дальнейшей обработки через RabbitMQ в модуль Nemesida AI MLC.
  • nwaf-mlc — модуль машинного обучения Nemesida AI MLC, предназначен для построения поведенческих моделей и выявления прочих аномалий (например, DDoS L7, атак методом перебора и т.д.).

Вспомогательные:

  • nwaf-api — модуль Nemesida WAF API, предназначен для передачи информации о заблокированных запросах и результатах работы модулей Nemesida AI и Nemesida WAF Scanner в СУБД PostgreSQL.
  • nwaf-cabinet — модуль Личный кабинет, предназначен для визуализации и анализа событий работы компонентов из СУБД PostgreSQL, управления настройками Nemesida WAF, управления схемами запросов OpenAPI, настройки использования поведенческих моделей, построенных и применяемых модулем Nemesida AI, а также систематизации информации об аномалиях и выявленных уязвимостях.
  • nwaf-scanner — сканер уязвимостей Nemesida WAF Scanner.

Вспомогательные модули недоступны для дистрибутивов, использующих снятую с поддержки версию Python. Перед установкой вспомогательного модуля рекомендуем ознакомиться со списком поддерживаемых дистрибутивов, размещенном на странице каждого модуля.

🔗 Поведенческие модели

Для более точной работы модуля машинного обучения рекомендуем создавать поведенческую модель для каждого конкретного веб-приложения.

В период обучения, для построения более качественных моделей, не рекомендуется производить сканирование веб-приложения на уязвимости, а также направлять другие нелегитимные запросы. Управление ложными срабатываниями производится с помощью модуля Личный кабинет.

Все поведенческие модели, созданные модулем Nemesida AI MLC, хранятся в СУБД PostgreSQL (база данных waf, в которой хранятся также настройки Немезида ВАФ, правила исключений и блокировки, настройки веб-сервера Nginx), доступ к которой осуществляется через компонент Nemesida WAF API. Управление поведенческими моделями осуществляется с помощью интерфейса Личного кабинета или API.

Запросы, определенные как нелегитимные, за исключением DDoS/Brute-force/Flood-атак, не добавляются в обучающую выборку, даже если попадают под действие режима LM.

🔗 Кластер Nemesida WAF

Позволяет объединить множество фильтрующих нод Немезида ВАФ в единый кластер, обеспечив автоматическую синхронизацию настроек, списка заблокированных IP-адресов и прочих параметров между нодами. Для использования функционала все используемые программные ключи должны иметь единый WAF ID.

🔗 Источники сообщений об ошибках

В процессе работы Nemesida WAF информация об ошибках может содержаться:

  • в системных журналах ОС;
  • в журнале работы Nginx;
  • в журнале работы RabbitMQ;
  • в журнале работы модулей Nemesida WAF /var/log/nwaf/.

🔗 Техническая поддержка

Техническая поддержка пользователей Немезида ВАФ Комьюнити оказывается только на форуме или на основе расширенной технической поддержки.

В случае возникновения непредвиденных ошибок в работе Немезида ВАФ свяжитесь с технической поддержкой по телефону +7 (495) 204-19-72, электронной почте или оставьте сообщение на форуме.

🔗 Прочая информация

Доменное имя example.com вместе с поддоменами в руководствах используется в качестве примера.