Корпоративный сайт и веб-приложения — это лицо компании и ключевой канал
взаимодействия с клиентами. Если они будут недоступны, это парализует работу и может подорвать репутацию бизнеса. WAF создает интеллектуальный барьер между вашими приложениями и интернетом, обеспечивая стабильную работу и защиту данных. В этой статье разберем, что такое WAF, как он работает и в каком виде его развернуть — в облаке или on-premise.
В двух словах: что такое WAF
WAF (Web Application Firewall) — это межсетевой экран уровня веб-приложений. Если объяснять совсем просто, это «умный фильтр», который стоит между пользователями и вашим сайтом и проверяет каждый входящий запрос. Легитимный трафик он пропускает, а вредоносный — блокирует.
Работает WAF на седьмом, прикладном уровне модели OSI (L7). Это принципиально отличает его от классических средств информационной безопасности. Обычный сетевой экран смотрит на IP-адреса, порты и протоколы, то есть на «конверт» с данными. WAF же «вскрывает конверт» и анализирует содержимое HTTP- и HTTPS-запросов: какие параметры передаются в формах, что находится в заголовках, какие команды отправляются к базе данных.
Хорошая аналогия — система охраны в бизнес-центре. Турникет на входе (сетевой firewall) проверяет, есть ли у человека пропуск. А WAF — служба безопасности, которая смотрит не только на пропуск, но и на то, что человек несет с собой и какие у него намерения. Даже с действующим пропуском нельзя пронести что-то опасное внутрь здания.
Зачем нужен WAF для сайта и защиты веб-приложений
WAF может показаться избыточным решением: если у приложения уже есть антивирус на сервере и сетевой firewall, зачем нужна еще одна линия обороны? Но давайте посмотрим на статистику успешных атак.
Специалисты компании кибербезопасности «Солар» провели исследование и выяснили, что в 2025 году количество покушений на сайты и приложения российских компаний выросло на 89% по сравнению с 2024. Большинство из них сегодня происходят именно через уязвимости веб-приложений, а не через сетевую инфраструктуру. И при этом, по исследованию Positive Technologies, почти треть российских организаций по-прежнему не защищают свои веб-приложения, несмотря на то, что именно они являются одними из основных целей для киберпреступников.


Конечно, фаервол не дает стопроцентной безопасности, но может сделать приложение менее привлекательным для хакера. Если на этапе разведки он увидит защиту веб-сервиса, то, скорее всего, перейдет к менее защищенным целям. С каждым новым барьером в контуре информационной безопасности надежность ваших систем повышается многократно.
Причины внедрить решения WAF в компании:
- Дополнительная страховка от уязвимостей в коде. Любое приложение пишут люди (пусть и с помощью ИИ) а значит, в коде остаются ошибки. Найти и устранить все уязвимости до релиза практически невозможно, особенно если используется стороннее ПO, плагины и библиотеки. WAF закрывает эти бреши на сетевом уровне, не дожидаясь, пока разработчики выпустят патч безопасности.
- Защита legacy-систем. Старые приложения часто невозможно быстро переписать, а их уязвимости уже могут быть известны злоумышленникам. WAF позволяет защитить их без вмешательства в код.
- Соответствие требованиям регуляторов. Стандарт PCI DSS (для тех, кто обрабатывает платежные данные) требует наличия WAF или регулярного аудита кода. Также наличие средств защиты приложений важно для соблюдения требований по защите персональных данных.
- Снижение нагрузки на команду разработки. Виртуальный патчинг через правила WAF дает время на спокойное исправление уязвимости в коде, не оставляя приложение открытым.
| Без WAF | С WAF |
| Уязвимость в коде = открытая дверь для хакеров | Уязвимость закрывается виртуальным патчем за минуты |
| Атаки обнаруживаются постфактум, по последствиям | Вредоносные запросы блокируются в реальном времени |
| Нет видимости трафика на уровне приложения | Детальная аналитика и логирование запросов L7 |
| Ручное реагирование на инциденты | Автоматическая блокировка по правилам и сигнатурам |
Как работает WAF: анализ запросов, правила и фильтрация трафика
В основе работы WAF лежит проверка каждого HTTP/HTTPS-запроса по набору политик. Чтобы понять логику, рассмотрим путь запроса и модели фильтрации.
Путь запроса через WAF выглядит так:
Пользователь отправляет запрос → запрос попадает на WAF → WAF разбирает его на составляющие (URL, заголовки, параметры, тело, cookie) → проверяет по правилам → принимает решение → пропускает к серверу приложения либо блокирует и возвращает ошибку.

Для управления WAF использует три ключевые модели анализа, которые обычно комбинируются.
- Негативная модель (черный список). WAF хранит базу сигнатур — шаблонов известных атак. Если запрос совпадает с сигнатурой (например, содержит типичную конструкцию SQL-инъекции), он блокируется. Это быстрый и понятный подход, но он защищает только от известных угроз, 0-day уязвимости могут пройти.
- Позитивная модель (белый список). Здесь логика обратная: WAF заранее знает, как должен выглядеть «нормальный» запрос (какие параметры, какой длины, какого типа данные допустимы). Все, что не соответствует эталону, отклоняется. Эта модель эффективна против 0-day, но требует тонкой настройки под конкретное приложение.
- Поведенческий анализ. Современные WAF применяют машинное обучение и анализ аномалий. Система изучает нормальное поведение пользователей и выявляет отклонения: подозрительную частоту запросов, нетипичную географию, странную последовательность действий, — в таком случае запрос может блокироваться в целях безопасности.
Помимо самих моделей, важны режимы работы WAF:
- Режим мониторинга (detection) — WAF только фиксирует подозрительные запросы и пишет логи, ничего не блокируя. Применяется на этапе обучения и настройки, чтобы исключить ложные срабатывания.
- Режим блокировки (prevention) — WAF активно отсекает вредоносный трафик. Это боевой режим для продуктивной защиты.
Отдельно стоит упомянуть работу с шифрованием. Поскольку большая часть трафика идет по HTTPS, WAF должен расшифровывать его (выполнять SSL/TLS-терминацию), чтобы проанализировать содержимое, а затем при необходимости снова зашифровать.
Как работает WAF в облаке
А вот как организована фильтрация трафика через облачного провайдера.
Входящий веб-трафик из интернета проходит через цепочку защиты (Anti-DDoS и WAF), а затем через BGP-соединение попадает в инфраструктуру облачного провайдера, где расположен веб-сервер. VEDGE — виртуальный маршрутизатор — отвечает за маршрутизацию и VPN-соединение.

Сегмент провайдера услуги — провайдер WAF.
Сегмент облачного провайдера — облако, где размещена инфраструктура вашей компании (например, у нас в OXYGEN).
Ключевые компоненты решения:
- Internet — источник трафика (пользователи, боты, хакеры).
- Anti-DDoS — система обнаружения и фильтрации. Отсекает крупные атаки на уровне L3/L4.
- WAF (Web Application Firewall) — фильтрует HTTP/HTTPS трафик, блокируя SQL-инъекции, XSS, и другие атаки на веб-приложения (L7).
- BGP — протокол динамической маршрутизации, который «заворачивает» очищенный трафик от провайдера услуги к вашему облачному сегменту.
В облаке трафик принимает устройство VEDGE. VEDGE маршрутизирует его на Web Server (и, возможно, на Other VMs, если они тоже защищены). Это типичная архитектура Security as a Service от облачного провайдера защиты. Ваш сервер не торчит напрямую в интернет, а получает трафик только через защищенный BGP-туннель от сервиса-очистителя.
OXYGEN — специализируемся на внедрении сервисов в области информационной безопасности.
Мы подберем оптимальный вариант решения под ваши потребности: грамотно интегрируем и настроим межсетевой экран веб-приложений (WAF) с учетом бизнес-процессов вашей организации. В итоге вы обеспечите сохранность финансовых ресурсов и бесперебойное функционирование веб-сервисов.
- Предотвращение сложных атак, в том числе из категорий OWASP Top 10 и WASC.
- Выявление и блокировка неизвестных уязвимостей (0-day).
- Пресечение действий вредоносных ботов и программ-сканеров.
- Обнаружение слабых мест в веб-приложениях.
- Полноценная защита API-интерфейсов и микросервисной архитектуры.
Какие угрозы нейтрализует WAF
Ключевая ценность решений класса WAF заключается в их способности противостоять атакам, которые направлены непосредственно на бизнес-логику веб-приложений.
- SQL-инъекция (SQL Injection). Суть метода: злоумышленник вставляет в поля для ввода данных (к примеру, в форму авторизации) части SQL-команд. Если программное обеспечение не проверяет и не очищает вводимые данные, эти команды будут выполнены базой данных. Итог — хакер получает возможность читать и модифицировать информацию, а также обходить систему аутентификации. WAF выявляет типичные SQL-конструкции и пресекает такие попытки.
- Межсайтовый скриптинг (Cross-Site Scripting, XSS). Это разновидность атаки, при которой на веб-страницу пользователя внедряется опасный код. После открытия страницы этот скрипт запускается в браузере, что дает злоумышленнику возможность похищать cookies, перехватывать пользовательскую сессию или перенаправлять человека на фишинговые ресурсы. WAF блокирует любые попытки вставить исполняемый код в параметры запросов.
- DDoS на прикладном уровне (L7). В отличие от классических объемных атак на сетевом уровне, DDoS седьмого уровня имитируют поведение обычных пользователей. Злоумышленник генерирует большое число «тяжелых» запросов (например, к поисковой системе или базе данных), чтобы полностью исчерпать вычислительные ресурсы сервера. WAF выявляет аномальную активность, применяет ограничение скорости (rate limiting) и фильтрацию ботов.
Читайте подробнее в статье: «DDoS-атака: что это, виды и защита сайта»
- OWASP Top 10. Это авторитетный рейтинг самых опасных угроз для веб-приложений, который ведет международное сообщество Open Web Application Security Project. WAF проектируется так, чтобы закрывать значительную часть этого списка.
Узнайте больше о видах угроз OWASP Top 10 в статье BI.ZONE на Хабре.
Виды WAF: сетевой, хостовый, программный, аппаратный и облачный
Мы уже упомянули, как WAF работает в облаке. Кроме облачных сервисов, еще есть аппаратные и программные решения, которые хороши для своих областей применения.
- Аппаратный тип WAF (сетевой, network-based). Представляет собой физическое устройство, которое размещается в дата-центре рядом с серверным оборудованием. Такое решение дает минимальные задержки при обработке трафика и высокий уровень производительности. Однако у него есть минусы: высокая стоимость, необходимость регулярного технического обслуживания и слабая масштабируемость. Такой вариант оптимален для крупных организаций, имеющих собственную серверную инфраструктуру и подготовленных ИТ-специалистов.
- Хостовый WAF (host-based). Данный тип ставится прямо на сервер с приложением в виде отдельного модуля. Он тесно интегрируется с самим приложением и предоставляет широкие возможности для тонкой настройки. С другой стороны, такой WAF потребляет ресурсы того же сервера, на котором работает, а при большом количестве хостов его сопровождение становится сложным.
- Программный WAF. Реализуется в виде ПО или виртуальной машины. Более гибкий и дешевый, чем аппаратный, хорошо вписывается в виртуализированные среды.
- Облачный WAF (cloud-based). Предоставляется по модели сервиса (SaaS). Трафик проходит через облачную платформу провайдера, где и фильтруется. Это самый быстрый в запуске и удобный в обслуживании вариант: не нужно покупать оборудование, обновления и новые сигнатуры устанавливаются автоматически, а масштабирование происходит «на лету». Если вы хотите быстро и без капитальных затрат закрыть приложение от L7-угроз, можно подключить WAF как облачный сервис и получить готовую защиту с экспертной настройкой.
С чего начать настройку
Внедрение WAF — это не разовое действие, а системный процесс: грамотная настройка и управление, постоянное обновление правил и мониторинг. Однако именно такая работа превращает потенциально уязвимый веб-ресурс в надежный бизнес-инструмент, которому можно без опасений доверять данные клиентов и собственные рабочие процессы.
Главное правило в настройке — последовательность. На первом этапе WAF активируется в режиме наблюдения: система накапливает сведения о нормальном (легитимном) трафике и фиксирует ложные тревоги. После этого выполняется точная подстройка правил под конкретное приложение, и лишь затем WAF переводится в активный режим блокировки. Благодаря такой поэтапности межсетевой экран не будет блокировать настоящие действия и станет надежной преградой на пути злоумышленников.
Подключите WAF и работайте в безопасности!
Источники информации:
- Обзор OWASP Top 10: 2025 // Хабр URL: https://habr.com/ru/companies/bizone/articles/1011196/
- В России зафиксировали почти двукратный рост числа кибератак на сайты и приложения компаний // Газета URL: https://www.gazeta.ru/amp/tech/news/2026/02/03/27766555.shtml
- Цифровая беспечность: почему каждая третья российская компания рискует своими веб-приложениями? // Security Lab URL: https://www.securitylab.ru/news/553678.php
