WAF: межсетевой экран для веб-приложений
WAF (Web Application Firewall) — это специализированный фильтр между интернетом и сайтом/веб-сервисом, который блокирует атаки на уровне приложения: SQL-инъекции, XSS, перебор паролей, эксплуатацию уязвимостей фреймворков.
Зачем это нужно бизнесу
Обычный сетевой межсетевой экран (firewall) работает на уровне портов и IP-адресов: «пропускать трафик на порт 443, не пропускать на 22». Он не понимает, что внутри HTTPS-трафика идёт SQL-инъекция, попытка взлома админки или массовый брутфорс логинов. Веб-приложения — самая частая мишень атак, потому что они доступны из интернета 24/7 и в них регулярно находят новые уязвимости (фреймворки, CMS, плагины).
Для бизнеса WAF решает три задачи. Первая — защита от массовых автоматизированных атак: боты постоянно сканируют интернет, ищут уязвимые версии WordPress, Bitrix, 1С-Битрикс, Magento. WAF блокирует попытки до того, как они дойдут до приложения. Вторая — виртуальный патчинг: если в фреймворке нашли уязвимость, а обновление выйдет через две недели — WAF можно настроить так, чтобы он блокировал эксплуатацию уязвимости, пока разработчики не выпустят патч. Третья — защита от DDoS уровня приложения (L7): атаки, которые имитируют поведение пользователя, но в больших количествах — обычный анти-DDoS не различает их, а WAF может.
Без WAF любой публичный веб-сервис компании — лотерея. Особенно критично для интернет-магазинов, личных кабинетов клиентов, систем приёма заявок, корпоративных порталов с внешним доступом.
Как это работает
WAF ставится в разрыв между клиентами и веб-сервером: либо как прокси перед приложением, либо как облачный сервис, через который идёт весь трафик к сайту (через DNS-проксирование). Каждый HTTP-запрос проверяется по набору правил, и только «чистые» запросы доходят до приложения.
Базовый набор правил — OWASP Core Rule Set (открытый стандарт): покрывает 10–15 классов типовых атак (SQL-инъекции, XSS, обход аутентификации, удалённое выполнение кода). Поверх базы вендор накручивает собственные правила и сигнатуры конкретных уязвимостей (CVE) — это закрытая часть продукта, она и определяет качество защиты.
Современные WAF используют поведенческий анализ и машинное обучение: учат «нормальное» поведение пользователей на конкретном сайте и блокируют аномалии — например, попытку перебрать 10 000 паролей с одного IP или скачать всю базу товаров за минуту. Также WAF умеет различать боты (поисковые — пропустить, сканеры уязвимостей — заблокировать, парсеры конкурентов — на ваше усмотрение).
WAF бывают трёх типов. Облачный (Cloudflare, Qrator, ServicePipe, StormWall) — самый быстрый в подключении, переключаете DNS и работаете. On-premises (PT AF, Solar webProxy, F5) — ставите аппаратное или виртуальное устройство в своей инфраструктуре, полный контроль над данными. Встраиваемый модуль (ModSecurity для nginx/Apache) — самый дешёвый, но требует ручной настройки и регулярного обновления правил.
Когда нужно компании
- Если у вас публичный сайт или сервис с авторизацией (личный кабинет, интернет-магазин, форма приёма заявок);
- Если на сайте обрабатываются персональные данные, платежи или коммерческая информация;
- Если используется CMS (WordPress, Bitrix, Drupal) — частая мишень из-за уязвимостей в плагинах;
- Если компания — субъект КИИ или работает с финансовыми операциями;
- Если уже были попытки взлома, спам в формах, перебор паролей в админке;
- Если у вас собственная веб-разработка и нужно «прикрыть» приложение, пока разработчики устраняют уязвимости.
Что включает наша услуга
- Аудит веб-приложений заказчика: какие сервисы публичны, какие технологии используют, какие критичные уязвимости видно снаружи;
- Подбор WAF под задачи и бюджет (облачный — быстрее, on-premises — больше контроля, ModSecurity — для разовой защиты под бюджет);
- Подключение через DNS-проксирование или установку в инфраструктуре заказчика;
- Базовая настройка правил OWASP CRS, тонкая настройка под конкретное приложение (исключения для легитимного трафика);
- Подключение к нашему NOC: круглосуточный мониторинг алертов WAF, реакция на инциденты, разбор ложных срабатываний;
- Ежемесячные отчёты: количество заблокированных атак, типы угроз, рекомендации по донастройке.
Связанные термины
- Защита от DDoS — WAF закрывает L7-атаки, для объёмных L3/L4 нужен отдельный анти-DDoS
- Ежеквартальный ИБ-аудит: регулярные проверки безопасности — регулярный аудит проверяет, что WAF настроен правильно и не пропускает атаки
- 187-ФЗ КИИ: критическая информационная инфраструктура — для значимых объектов КИИ защита веб-приложений обязательна
- 152-ФЗ: соответствие закону о персональных данных — если в веб-приложении обрабатываются персональные данные
- Корпоративный антивирус (управление) — комплексная защита не ограничивается одним WAF
Получить расчёт
Зайдите в калькулятор, отметьте чекбокс «WAF» и укажите количество защищаемых веб-сервисов и ожидаемый трафик — получите ориентир. Финальная смета — после обследования веб-приложений и согласования модели (облачный сервис / on-premises).
Хотите оценить стоимость под свою инфраструктуру?
Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).
Открыть калькулятор Получить КП