High Performance Security

Les sites les plus fréquentés au monde confient leur première ligne de défense. Les utilisateurs de HAProxy bénéficient des avantages du SSL sans nécessiter de grandes ressources matérielles et réduisant l’exposition de leurs services sur Internet.

HAProxy détecte et stoppe les attaques de type DDoS, force brute SQL/XSS. Une journalisation avancée permet d’identifier les intrusions et d’assurer la conformité aux protocoles réseau.

Protection contre les attaques DDoS et les bots avec HAProxy Enterprise

Chaque jour, les médias font leurs titres sur des entreprises qui perdent des millions de dollars ou voient leur réputation irrémédiablement ternie à cause d’attaques par déni de service distribué (DDoS) ou de réseaux de bots. HAProxy Enterprise s’appuie sur des règles ACL et des tables de persistance pour prévenir les attaques en temps réel via une analyse comportementale innovante. Pour être proactif face aux menaces, participez à notre webinaire et découvrez comment vous protéger efficacement grâce à HAProxy Enterprise.

Sécurité multiniveaux

Identifier et stopper les menaces face à des menaces en constante évolution nécessite une approche multiniveaux. HAProxy vous procure un niveau de sécurité inégalé en stoppant les menaces en première ligne, tout en conservant le niveau de performance qui a fait sa réputation.

 

NIVEAU 1 – Listes de contrôle d’accès (ACL)

Nos listes de contrôle d’accès (ACL) flexibles, qui détectent des critères sur mesure, constituent le premier niveau. Vous pouvez ainsi analyser les en-têtes des requêtes et des réponses ou les métadonnées, puis appliquer le routage ou les mécanismes de protection adaptés. Vous pouvez facilement créer des politiques qui détectent les clients ou les requêtes par plage d’IP, par données SSL, en-têtes ou chemins, géolocalisation ou type de périphérique.

Utilisez le module de mise à jour dynamique inclus dans HAProxy Enterprise pour mettre à jour régulièrement à partir d’un emplacement central les ACL, les fichiers de correspondance ou les tickets TLS.

NIVEAU 2 – Empreinte numérique du client

Le deuxième niveau démasque les clients qui tentent de percer les défences à l’aide de requêtes contrefaites. HAProxy associe une empreinte numérique à chaque client et peut croiser les données pour créer un ID unique.

Les robots et les scanners sont tout de suite détectés, avant d’avoir pu faire des dégâts.

NIVEAU 3 – Suivi en temps réel de l’ensemble du cluster

Le troisième niveau effectue une analyse comportementale sur l’ensemble de votre cluster de proxys. HAProxy effectue un suivi en temps réel des requêtes des clients et stocke ces données pour obtenir une vue d’ensemble de ce qu’un client essaye de faire.

Suivez l’activité selon l’adresse IP, la chaîne de l’agent utilisateur, l’ID de la session, le chemin de la requête, et bien plus encore. Les indicateurs générés comprennent les requêtes/seconde, le nombre total de requêtes effectuées, les erreurs/seconde, le nombre total d’erreurs, les taux d’octets et bien plus encore.

NIVEAU 4 – Pare-feu pour applications web (WAF)

HAProxy offre un quatrième niveau de défense : un pare-feu pour applications web (WAF) intégré. Le WAF détecte et stoppe les attaques de niveau 7, notamment l’injection SQL et les scripts intersites. Le WAF HAProxy prend en charge les jeux de règles ModSecurity, le mode liste blanche strict et un mode WAF SQLi / XSS optionnel et simple à configurer une fois pour toutes.

HAProxy Enterprise propose les fonctionnalités de sécurité suivantes

Proxy inverse

Faites transiter tout le trafic Internet vers vos serveurs d’application via HAProxy, en n’exposant que les services prévus et en enregistrant les requêtes.

Validation HTTP

Validez que les requêtes sont conformes aux spécifications du protocole avant de les envoyer aux serveurs d’application.

Module WAF

Activez un pare-feu d’application Web haute performance, qui gère notamment les listes noires, le mode liste blanche strict et le jeu de règles ModSecurity.

Protection contre les comportements anormaux

Croisez les indicateurs sur le comportement d’un client pour prendre des décisions de routage et d’accès éclairées.

Mises à jour dynamiques des ACL

Mettez à jour pendant l’exécution les ACL, les fichiers de correspondance, ou les fichiers de clés de tickets TLS chargés depuis le disque lors du démarrage de HAProxy.

Protection avancée contre les attaques DDoS, par application

Bloquez les requêtes clients selon plusieurs indicateurs et critères, sur une fenêtre de temps configurable.

Module antibot

Envoyez un challenge Javascript aux requêtes sélectionnées par des règles ACL.

reCAPTCHA v2

Présentez un challenge Google reCAPTCHA v2 aux clients dont le trafic présente un profil anormal.

Module d’assainissement

Filtrez les en-têtes HTTP et vérifiez que leur nom et leur contenu sont conformes à la spécification HTTP.

Module d’empreintes numériques

Générez un identifiant unique basé sur une requête client.

Filtrage du trafic

Bloquez ou routez les requêtes selon toute condition détectée par les ACL dans le trafic HTTP(S).

Contactez les experts de HAProxy qui vous aideront à trouver la solution qui correspond le mieux à vos besoins de déploiement, d’extensibilité et de sécurité.

Ressources

Visitez notre base de connaissances pour explorer plus de sujets