Финансовый риск
От 50 000 до 300 000 рублей в час из-за недоступности сайта для клиентов при атаке на прикладном уровне (L7), перерасхода ресурсов CPU/RAM хостинга.
Влияние на KPI
Снижение конверсии заказов. Медленный отклик сайта (TTFB) ухудшает поведенческие факторы и пессимизирует поисковый трафик из Google и Яндекса.
Уровень критичности
Высокий
Кому поручить
DevOps-инженер / Бэкенд-разработчик
Веб-приложения — это фронт вашего бизнеса в интернете. Сайт, личный кабинет, API, мобильное приложение — всё это работает через HTTP/HTTPS и подвергается атакам каждую секунду. SQL-инъекции, XSS, CSRF, подбор паролей, DDoS L7-уровня — список угроз обширен и постоянно растёт.
Web Application Firewall (WAF) — это специализированный инструмент, который анализирует HTTP/HTTPS-трафик и блокирует вредоносные запросы до того, как они достигнут вашего приложения. В этом руководстве мы подробно разберём, как работает WAF, от чего защищает и как выбрать оптимальное решение.
Что такое WAF
Определение
WAF (Web Application Firewall) — это фильтр прикладного уровня (Layer 7), который находится между пользователями и вашим веб-приложением. Он инспектирует каждый HTTP/HTTPS-запрос на наличие признаков атаки и принимает решение: пропустить, заблокировать или запросить дополнительную верификацию.
WAF vs обычный файрвол
Обычный сетевой файрвол (L3/L4) работает с IP-адресами, портами и протоколами. Он не понимает содержимое HTTP-запросов. Для него SQL-инъекция ' OR 1=1 -- выглядит как обычный TCP-пакет на порт 443.
WAF работает на уровне приложения. Он:
- Разбирает HTTP-заголовки, параметры URL, тело запроса, cookies
- Декодирует URL-encoding, base64, unicode
- Понимает структуру JSON, XML, multipart/form-data
- Анализирует контекст: к какому эндпоинту обращение, с какого IP, с какой частотой
Где расположен WAF в архитектуре
Пользователь → DNS → [CDN] → WAF → Балансировщик → Веб-сервер → Приложение
WAF расположен перед вашим веб-сервером. В сочетании с CDN и BGP-защитой он образует многоуровневую систему безопасности:
- BGP Anti-DDoS — фильтрует volumetric и protocol-атаки (L3/L4)
- WAF — фильтрует application-атаки (L7)
- CDN — кэширует контент и распределяет нагрузку
Как работает WAF
Модели обнаружения
#### Сигнатурный анализ (Negative Security Model)
WAF имеет базу известных паттернов атак (сигнатур). Каждый запрос проверяется на совпадение с этими паттернами. Если совпадение найдено — запрос блокируется.
Примеры сигнатур:
' OR 1=1→ SQL-инъекция
Скопируйте эти вопросы и отправьте вашему техническому директору (CTO) или руководителю разработки:
- Настроена ли WAF-фильтрация для отсечения ботов с помощью JS-челленджей без показа капчи реальным пользователям?
- Защищен ли веб-сервер от атак типа Slowloris путем оптимизации HTTP Keep-Alive таймаутов?
- Проверено ли наше приложение на защиту от атак типа HTTP Request Smuggling и отравления кэша?
Словарь по теме
Fingerprinting
Технология идентификации посетителя по уникальным характеристикам браузера и устройства без cookies. Используется для обнаружения ботов.
Origin Server
Основной сервер, где хранится и обрабатывается контент. CDN кэширует контент с origin и раздаёт его пользователям.
Rate Limiting
Ограничение количества запросов с одного IP-адреса за определённый период времени. Первая линия защиты от ботов, брутфорса и простых DDoS-атак.
SQL-инъекция
Атака через внедрение вредоносного SQL-кода в запросы к базе данных. Позволяет получить несанкционированный доступ к данным или изменить их.
Click Fraud
Мошенничество с рекламными кликами. Конкуренты или боты искусственно кликают по объявлениям.
ModSecurity
Open-source WAF для Apache и nginx. Фильтрует вредоносные запросы по правилам OWASP Core Rule Set.
User-Agent
HTTP-заголовок, идентифицирующий браузер или программу. Боты часто имеют пустой или подозрительный User-Agent.
L7 атака
Атака на прикладном уровне (HTTP). Атакующий отправляет валидные HTTP-запросы, которые выглядят как обычные пользователи, но нагружают тяжёлые endpoint'ы.