Qual é o melhor firewall de aplicativo da Web para IIS?

Essa é uma questão extremamente aberta. Um firewall pode ser software ou hardware, gratuito ou custar dezenas de milhares de dólares. Realmente depende de suas necessidades e orçamento, na medida do "melhor".

Claro que no final, quando você diz “melhor”, eu digo:Cisco.

Observe que o termo “firewall de aplicativo da web” também significa coisas diferentes para pessoas diferentes. Para a Cisco, parece significar um sistema direcionado a XML. Na verdade, você pode precisar de um firewall de uso mais geral, como algo da série ASA. Essas questões de segurança são multifacetadas e não sou especialista em PCI-DSS, portanto, não tenho certeza das nuances de sua solicitação. No entanto, posso dizer que tudo o que você precisa, a Cisco tem, e provavelmente é demais, se você me perdoar o superlativo.

Em primeiro lugar, não tenho certeza de onde vocês que duvidam têm estado nos últimos anos, mas o requisito para um WAF no PCI é uma parte do requisito 6.6 e tem sido o requisito mais comentado dos últimos anos. (Eu postaria um link, mas como sou novo só posso postar um link por mensagem, e estou salvando. Basta pesquisar no Google "6.6 PCI WAF" e você terá mil resultados).

Quanto a qual é “melhor”, melhor é um termo muito relativo. Tente encontrar aquele que melhor se adapta às suas necessidades e orçamento. Se você quiser um ponto de partida, há um breve resumo dos principais participantes aqui: http://www.docstoc.com/docs/9687629/WAF

Testei vários firewalls de aplicativos da Web diferentes de muitos dos principais fornecedores de hardware e software. Nenhum deles realmente teve qualquer efeito notável na minha capacidade de expor manualmente os problemas em aplicativos da web vulneráveis.

Eles estão ficando muito bons em impedir o tipo de ataque que worms ou invasores inexperientes podem tentar, mas um invasor humano determinado sempre pode ajustar facilmente seu vetor de ataque para que ele não acione mais o IDS. Basicamente, todos eles comparam solicitações com expressões regulares, procurando padrões de ataque comuns. Mas eles são tão fáceis de contornar.

Considere um dispositivo como este apenas como uma camada adicional à sua segurança. Não considere isso para evitar que seus desenvolvedores escrevam código livre de vulnerabilidades ou para evitar que seus administradores mantenham sistemas e software atualizados e corrigidos regularmente. Posso dizer de graça que eles não impedirão que as pessoas acessem sua injeção de SQL ou vulnerabilidades de script entre sites.

Eu tentei vários WAFs top de linha. Alguns vêm com balanceadores de carga integrados (pense em F5, Zeus). Outros são WAFs dedicados e independentes. Testei vários deles executando o AppScan em código da web vulnerável conhecido. O melhor desempenho para mim foi o SecureSphere WAF da Imperva. Você vai pagar caro por isso, mas em termos de segurança bruta, registro e personalização, atualmente é o melhor. Você pode adquirir um aparelho virtual ou físico, cada um com suas vantagens. Eles têm licenciamento muito rigoroso e são caros, mas seus recursos de registro e atualizações de assinatura são difíceis de superar.

Também testamos o código dos próprios aplicativos usando AppScan e WebInspect. Como foi mencionado, fazer a revisão do código WAF + é melhor porque você não pode obter 100% apenas com nenhum dos métodos. Isso é muito diferente dos sistemas IDS/IPS, que olham principalmente para o tráfego da camada 3, e não para a camada 7, onde a maioria dos ataques são bem-sucedidos atualmente. Existem também proteções WAF (segurança como serviço) baseadas em nuvem que oferecem a mesma proteção, mas com muito menos investimento.