Le 19/06/2017 à 12:37, lifo@lifo.fr a écrit :
Hello la liste,
Un de mes clients me demande (m’impose ?) (à plus ou moins juste titre) la mise en place d’un WAF.
 
En soit, cela ne me traumatise pas, mais la question sous-jacente est de savoir si je fais investir sur la société un WAF hardware pour la globalité de l’infra, ou si je pose du WAF-OnDemand sur les serveurs/services en fonction des demandes.
 
Dans le second cas, j’ai déjà utilisé naxsi qui est plutôt assez efficace, même si certaines configurations sont semble-t-il assez barbares à comprendre/mettre en place.
 
Par contre, dans le cas d’un WAF matériel, je n’ai absolument aucune idée de quoi regarder comme constructeur/plateforme et autres.
 
Quels sont vos conseils et retour d’expérience en la matière ?
 
Bien à vous en ce beau lundi où les clims tournent à plein régime !
 

Bonjour,

J'utilise régulièrement la solution FortiWeb, de Fortinet, qui existe en format VM ou hardware appliance.
https://www.fortinet.com/products/web-application-firewall/fortiweb.html

Intègre des fonctionnalités intéressantes :
- IPS web
- antivirus / sandboxing
- anti defacement
- vulnerability scan
- authentication offload

et les traditionnels : url rewrite, ssl offload, tls, http/2


gu!llaume