Главная Вики Безопасность

WAF: межсетевой экран для веб-приложений

WAF (Web Application Firewall) — это специализированный фильтр между интернетом и сайтом/веб-сервисом, который блокирует атаки на уровне приложения: SQL-инъекции, XSS, перебор паролей, эксплуатацию уязвимостей фреймворков.

Зачем это нужно бизнесу

Обычный сетевой межсетевой экран (firewall) работает на уровне портов и IP-адресов: «пропускать трафик на порт 443, не пропускать на 22». Он не понимает, что внутри HTTPS-трафика идёт SQL-инъекция, попытка взлома админки или массовый брутфорс логинов. Веб-приложения — самая частая мишень атак, потому что они доступны из интернета 24/7 и в них регулярно находят новые уязвимости (фреймворки, CMS, плагины).

Для бизнеса WAF решает три задачи. Первая — защита от массовых автоматизированных атак: боты постоянно сканируют интернет, ищут уязвимые версии WordPress, Bitrix, 1С-Битрикс, Magento. WAF блокирует попытки до того, как они дойдут до приложения. Вторая — виртуальный патчинг: если в фреймворке нашли уязвимость, а обновление выйдет через две недели — WAF можно настроить так, чтобы он блокировал эксплуатацию уязвимости, пока разработчики не выпустят патч. Третья — защита от DDoS уровня приложения (L7): атаки, которые имитируют поведение пользователя, но в больших количествах — обычный анти-DDoS не различает их, а WAF может.

Без WAF любой публичный веб-сервис компании — лотерея. Особенно критично для интернет-магазинов, личных кабинетов клиентов, систем приёма заявок, корпоративных порталов с внешним доступом.

Как это работает

WAF ставится в разрыв между клиентами и веб-сервером: либо как прокси перед приложением, либо как облачный сервис, через который идёт весь трафик к сайту (через DNS-проксирование). Каждый HTTP-запрос проверяется по набору правил, и только «чистые» запросы доходят до приложения.

Базовый набор правил — OWASP Core Rule Set (открытый стандарт): покрывает 10–15 классов типовых атак (SQL-инъекции, XSS, обход аутентификации, удалённое выполнение кода). Поверх базы вендор накручивает собственные правила и сигнатуры конкретных уязвимостей (CVE) — это закрытая часть продукта, она и определяет качество защиты.

Современные WAF используют поведенческий анализ и машинное обучение: учат «нормальное» поведение пользователей на конкретном сайте и блокируют аномалии — например, попытку перебрать 10 000 паролей с одного IP или скачать всю базу товаров за минуту. Также WAF умеет различать боты (поисковые — пропустить, сканеры уязвимостей — заблокировать, парсеры конкурентов — на ваше усмотрение).

WAF бывают трёх типов. Облачный (Cloudflare, Qrator, ServicePipe, StormWall) — самый быстрый в подключении, переключаете DNS и работаете. On-premises (PT AF, Solar webProxy, F5) — ставите аппаратное или виртуальное устройство в своей инфраструктуре, полный контроль над данными. Встраиваемый модуль (ModSecurity для nginx/Apache) — самый дешёвый, но требует ручной настройки и регулярного обновления правил.

Когда нужно компании

Что включает наша услуга

Связанные термины

Получить расчёт

Зайдите в калькулятор, отметьте чекбокс «WAF» и укажите количество защищаемых веб-сервисов и ожидаемый трафик — получите ориентир. Финальная смета — после обследования веб-приложений и согласования модели (облачный сервис / on-premises).

Связанные термины
Расчёт стоимости

Хотите оценить стоимость под свою инфраструктуру?

Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).

Открыть калькулятор Получить КП