.PNG)
1Что такое WAF
WAF (Web Application Firewall) — это межсетевой экран уровня приложений, который защищает веб-приложения от атак: SQL-инъекций, XSS (межсайтового скриптинга), CSRF, подбора паролей, DDoS на уровне L7 и эксплуатации уязвимостей. WAF анализирует HTTP/HTTPS-трафик между пользователем и веб-сервером и блокирует вредоносные запросы до того, как они достигнут приложения.
Классический межсетевой экран (NGFW) фильтрует трафик по IP-адресам и портам. WAF «понимает» структуру HTTP-запросов и отличает легитимный запрос от SQL-инъекции или попытки обхода аутентификации. Это критически важно для интернет-магазинов, банковских порталов, SaaS-сервисов и государственных информационных систем.
2WAF vs обычный межсетевой экран (Firewall)
| Параметр | Firewall / NGFW | WAF |
|---|---|---|
| Уровень OSI | L3-L4 (сеть, транспорт) | L7 (приложение) |
| Что анализирует | IP, порты, протоколы | HTTP-запросы, заголовки, тело запроса, cookies |
| Защита от SQL-инъекций | Нет | Да — основная задача |
| Защита от DDoS | L3/L4 (volumetric) | L7 (application-layer) |
| Защита API | Ограниченно | Полная: REST, GraphQL, WebSocket |
| Виртуальный патчинг | Нет | Да — закрытие уязвимости до выхода патча |
Важно
3Типы WAF: облачный, on-premise, гибридный
Облачный WAF (Cloud WAF / WAF as a Service)
Трафик проходит через облако провайдера, где фильтруется. Быстрое развёртывание за часы, не требует оборудования. Подходит для СМБ и компаний без собственной ИБ-команды.
On-premise WAF (аппаратный / программный)
Устанавливается в инфраструктуре заказчика. Полный контроль над данными и политиками. Необходим для ГИС, КИИ и объектов с требованиями к локализации данных.
Гибридный WAF
Комбинация облачной фильтрации и локального модуля. Обеспечивает и производительность, и соответствие требованиям регуляторов.
Для большинства российских компаний среднего сегмента оптимален облачный WAF: он не требует капитальных затрат, быстро подключается и масштабируется. Для государственных систем и объектов КИИ, как правило, требуется on-premise решение с сертификатом ФСТЭК.
4Российские WAF-решения: сравнение
После ухода западных вендоров (Cloudflare WAF, AWS WAF, Imperva) российский рынок WAF активно развивается. Ключевые решения, включённые в реестр отечественного ПО:
| Решение | Вендор | Тип | Особенности |
|---|---|---|---|
| PT Application Firewall | Positive Technologies | On-premise | Машинное обучение, виртуальный патчинг, сертификат ФСТЭК |
| Wallarm | Wallarm (штаб-квартира в США) | Облако / On-premise | API Security, автоматическое обнаружение уязвимостей, DevSecOps-интеграция |
| Nemesida WAF | Pentestit | Облако / On-premise | ML-движок, бесплатная Community-версия, защита API |
| SolidWall WAF | SolidSoft | On-premise | Глубокий анализ бизнес-логики, защита от ботов |
| Curator (ex-Qrator) | Curator | Облако | Anti-DDoS + WAF в одном сервисе, глобальная сеть фильтрации |
Как выбрать WAF
5WAF как сервис: когда это выгоднее
Собственный WAF стоит дорого: лицензия, серверы, инженеры для настройки правил и анализа событий. Компаниям среднего сегмента часто выгоднее подключить WAF как управляемый сервис (MSSP):
Нет капитальных затрат
Оплата по подписке вместо покупки лицензии и оборудования. Экономия от 70% в первый год.
Экспертная настройка
Правила фильтрации настраивают специалисты по безопасности веб-приложений, а не дежурный администратор.
Мониторинг 24/7
Аналитики SOC отслеживают атаки в реальном времени и корректируют правила WAF при появлении новых угроз.
Виртуальный патчинг
При обнаружении уязвимости в веб-приложении WAF-правило закрывает вектор атаки до выхода официального патча.
Статистика
43% кибератак нацелены на веб-приложения
По данным Positive Technologies за 2025 год. Без WAF веб-приложение — главная точка входа для злоумышленников
6Как КРЕДО-С обеспечивает защиту веб-приложений
КРЕДО-С предоставляет WAF как управляемый сервис по модели MSSP. Мы разворачиваем и настраиваем WAF, интегрируем события с SOC, мониторим атаки круглосуточно и реагируем оперативно. Содержать штат WAF-инженеров не нужно — всё берёт на себя наша команда.
24/7
Мониторинг
веб-атак
<15м
Реагирование
на обнаруженную атаку
99.9%
Доступность
сервиса WAF
от 30K
₽/мес
управляемый WAF
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Юрий Вишняков
Руководитель отдела практической информационной безопасности
Мониторинг ИТ-инфраструктуры клиентов и оперативное реагирование на инциденты. Руководит командой SOC-аналитиков 24/7. Экспертиза: SIEM, EDR/XDR, Threat Hunting, IR.