Тема
Режим
Язык
Тема
Режим
Язык
Регистрация
FREE Бесплатный аудит сайта за 15 мин Заказать →

WAF: полное руководство по защите

Полное руководство по WAF: принцип работы, защита от OWASP Top-10, сравнение cloud WAF и on-premise. Как выбрать WAF для бизнеса.

Executive Summary для руководителя
💰

Финансовый риск

От 50 000 до 300 000 рублей в час из-за недоступности сайта для клиентов при атаке на прикладном уровне (L7), перерасхода ресурсов CPU/RAM хостинга.

📈

Влияние на KPI

Снижение конверсии заказов. Медленный отклик сайта (TTFB) ухудшает поведенческие факторы и пессимизирует поисковый трафик из Google и Яндекса.

⚠️

Уровень критичности

Высокий

👤

Кому поручить

DevOps-инженер / Бэкенд-разработчик

Веб-приложения — это фронт вашего бизнеса в интернете. Сайт, личный кабинет, API, мобильное приложение — всё это работает через HTTP/HTTPS и подвергается атакам каждую секунду. SQL-инъекции, XSS, CSRF, подбор паролей, DDoS L7-уровня — список угроз обширен и постоянно растёт.

Web Application Firewall (WAF) — это специализированный инструмент, который анализирует HTTP/HTTPS-трафик и блокирует вредоносные запросы до того, как они достигнут вашего приложения. В этом руководстве мы подробно разберём, как работает WAF, от чего защищает и как выбрать оптимальное решение.

01

Что такое WAF

Определение

WAF (Web Application Firewall) — это фильтр прикладного уровня (Layer 7), который находится между пользователями и вашим веб-приложением. Он инспектирует каждый HTTP/HTTPS-запрос на наличие признаков атаки и принимает решение: пропустить, заблокировать или запросить дополнительную верификацию.

WAF vs обычный файрвол

Обычный сетевой файрвол (L3/L4) работает с IP-адресами, портами и протоколами. Он не понимает содержимое HTTP-запросов. Для него SQL-инъекция ' OR 1=1 -- выглядит как обычный TCP-пакет на порт 443.

WAF работает на уровне приложения. Он:

  • Разбирает HTTP-заголовки, параметры URL, тело запроса, cookies
  • Декодирует URL-encoding, base64, unicode
  • Понимает структуру JSON, XML, multipart/form-data
  • Анализирует контекст: к какому эндпоинту обращение, с какого IP, с какой частотой

Где расположен WAF в архитектуре

Пользователь → DNS → [CDN] → WAF → Балансировщик → Веб-сервер → Приложение

WAF расположен перед вашим веб-сервером. В сочетании с CDN и BGP-защитой он образует многоуровневую систему безопасности:

  • BGP Anti-DDoS — фильтрует volumetric и protocol-атаки (L3/L4)
  • WAF — фильтрует application-атаки (L7)
  • CDN — кэширует контент и распределяет нагрузку

02

Как работает WAF

Модели обнаружения

#### Сигнатурный анализ (Negative Security Model)

WAF имеет базу известных паттернов атак (сигнатур). Каждый запрос проверяется на совпадение с этими паттернами. Если совпадение найдено — запрос блокируется.

Примеры сигнатур:

  • ' OR 1=1 → SQL-инъекция
Чек-лист проверки для владельца бизнеса

Скопируйте эти вопросы и отправьте вашему техническому директору (CTO) или руководителю разработки:

  • Настроена ли WAF-фильтрация для отсечения ботов с помощью JS-челленджей без показа капчи реальным пользователям?
  • Защищен ли веб-сервер от атак типа Slowloris путем оптимизации HTTP Keep-Alive таймаутов?
  • Проверено ли наше приложение на защиту от атак типа HTTP Request Smuggling и отравления кэша?

Словарь по теме

Fingerprinting

Технология идентификации посетителя по уникальным характеристикам браузера и устройства без cookies. Используется для обнаружения ботов.

Origin Server

Основной сервер, где хранится и обрабатывается контент. CDN кэширует контент с origin и раздаёт его пользователям.

Rate Limiting

Ограничение количества запросов с одного IP-адреса за определённый период времени. Первая линия защиты от ботов, брутфорса и простых DDoS-атак.

SQL-инъекция

Атака через внедрение вредоносного SQL-кода в запросы к базе данных. Позволяет получить несанкционированный доступ к данным или изменить их.

Click Fraud

Мошенничество с рекламными кликами. Конкуренты или боты искусственно кликают по объявлениям.

ModSecurity

Open-source WAF для Apache и nginx. Фильтрует вредоносные запросы по правилам OWASP Core Rule Set.

User-Agent

HTTP-заголовок, идентифицирующий браузер или программу. Боты часто имеют пустой или подозрительный User-Agent.

L7 атака

Атака на прикладном уровне (HTTP). Атакующий отправляет валидные HTTP-запросы, которые выглядят как обычные пользователи, но нагружают тяжёлые endpoint'ы.

Получите план защиты под ваш сайт

Оставьте контакт и адрес сайта — пришлём план защиты и список приоритетных шагов.

  • Приоритетные шаги на 7 дней
  • Быстрая обратная связь
  • План в удобном формате
Без спама. Можно указать Telegram (@username) или email.
Написать в Telegram