Что такое WAF и что он блокирует
Web Application Firewall (WAF) находится между вашими посетителями и веб-приложением, анализируя каждый входящий запрос и решая, разрешить его, заблокировать или запросить дополнительную проверку. В отличие от традиционного сетевого файрвола, который смотрит только на IP-адреса и порты, WAF понимает реальный веб-трафик — URL, заголовки, cookies и данные форм — поэтому может выявлять атаки, направленные непосредственно на ваше приложение.
Он создан для остановки самых распространённых веб-угроз: SQL injection (обман базы данных), cross-site scripting или XSS (внедрение вредоносных скриптов), path traversal, а также вредоносных или недобросовестных ботов. Наборы правил обычно основаны на OWASP Top 10 — отраслевом списке наиболее критичных рисков для веб-приложений.
Как WAF работает на самом деле
Когда приходит запрос, WAF проверяет его по набору правил, прежде чем он достигнет вашего приложения. Эти правила объединяют известные сигнатуры атак (шаблоны для SQL injection, XSS и подобных), данные о репутации (известные вредоносные IP и ботнеты) и поведенческие ограничения, такие как rate limiting, для замедления brute-force и скрапинга. По результатам проверки запрос разрешается, блокируется или запрашивается дополнительная проверка (например, тест, отделяющий людей от ботов).
Поскольку WAF работает на Layer 7, он может принимать решения, недоступные сетевому файрволу — например, пропускать обычный трафик к странице входа, но блокировать запрос, содержащий инъекционную нагрузку. Хорошие WAF позволяют сначала запускать правила в режиме мониторинга, чтобы увидеть, что было бы заблокировано, прежде чем включать принудительное применение.
WAF на edge vs на origin: почему важно расположение
WAF, работающий на edge-узлах CDN, проверяет и блокирует вредоносные запросы на внешнем уровне сети — близко к атакующему и далеко от вашего сервера. Вредоносный трафик отбрасывается до того, как он вообще потребляет CPU, базу данных или пропускную способность вашего origin-сервера, а тот же edge-узел, который фильтрует атаки, поглощает объёмные DDoS-флуды за счёт своей глобальной ёмкости.
WAF, работающий только на вашем собственном сервере (или как плагин), всё равно должен сначала принять и обработать каждый запрос, поэтому атаки и флуды достигают вашей инфраструктуры до фильтрации. Размещение защиты на edge означает, что ваш сервер тратит ресурсы на реальных посетителей, а не на отражение атак.
Настройка: безопасность без ложных срабатываний
Самое сложное в любом WAF — блокировать атаки, не блокируя реальных клиентов. Слишком строгие правила могут пометить легитимные отправки форм или API-вызовы как атаки (ложное срабатывание), в то время как слишком мягкие правила пропускают угрозы. Практичный подход — начать в режиме мониторинга, посмотреть, что бы поймали правила, затем ужесточить их и добавить allowlist для конкретных путей или параметров, нужных вашему приложению.
Эта настройка — постоянная работа, поэтому управляемый WAF так ценен: правила, сигнатуры и пороги для DDoS поддерживаются за вас и обновляются по мере появления новых угроз, так что вы получаете защиту, не становясь при этом инженером по безопасности.
Когда WAF особенно важен
Везде, где пользователи отправляют данные — оформление заказа, контактные формы, вход в систему — цель для инъекционных атак и атак на учётные данные, которые WAF призван останавливать.
WAF блокирует скраперов, credential stuffing и спам-ботов, которые крадут контент и расходуют ресурсы вашего сервера.
Edge-WAF в связке с защитой от DDoS удерживает вас в сети во время флудов, фильтруя и поглощая трафик до того, как он достигнет вас.
Часто задаваемые вопросы о WAF
В чём разница между WAF и обычным файрволом?
Сетевой файрвол фильтрует трафик по IP-адресу и порту (уровни 3-4). WAF работает на уровне приложений (Layer 7): он понимает HTTP-запросы и блокирует атаки уровня приложений, такие как SQL injection и XSS, которые сетевой файрвол не видит.
Нужен ли мне WAF, если у меня уже есть SSL/HTTPS?
Да — они решают разные задачи. SSL/TLS шифрует трафик, чтобы его нельзя было прочитать при передаче; WAF анализирует этот трафик на предмет атак. Зашифрованный запрос всё равно может содержать инъекционную нагрузку — именно это и призван обнаруживать WAF.
Замедлит ли WAF мой сайт?
Edge-WAF добавляет незначительную задержку и может даже ускорить ваш сайт, отбрасывая мусорный трафик до того, как он достигнет сервера. Он работает вместе с кэшем CDN, поэтому легитимные посетители по-прежнему обслуживаются с edge-узла.
Будет ли WAF блокировать реальных посетителей?
Хорошо настроенный WAF минимизирует ложные срабатывания, начиная работу в режиме мониторинга и используя allowlist для легитимных путей вашего приложения. Управляемый WAF берёт эту настройку на себя и поддерживает правила в актуальном состоянии, чтобы реальные клиенты могли пройти.