DDoSтаточно ли WAF? От чего защищает файрвол для веб-приложений

Представьте, что ваш сайт или мобильное приложение — это уютный дом с открытой дверью. Вы рады всем гостям, но среди них могут быть и те, кто пришёл с недобрыми намерениями. Кто-то способен взломать сейф или выкрасть документы, другие — нагрянуть толпой в 1000 человек и включить все краны, чтобы затопить помещение. 

В этой истории Web Application Firewall (WAF) — охранник, который стоит на входе и проверяет каждого, кто решил пройти в вашу дверь. От каких атак он защищает? И может ли справиться со всеми DDoS-атаками? Разбираемся в нашей статье. 

От каких атак защищает файрвол WAF

Что такое WAF?

Web Application Firewall (WAF) — это межсетевой экран для веб-приложений, который проверяет входящий трафик и отсеивает потенциально опасные запросы. Решение работает только на прикладном уровне (L7 по модели OSI). Это значит, что все проверки проходят «на входе» — до того, как данные начнут обрабатываться веб-приложением. Если совсем коротко, то WAF анализирует всю доступную информацию на уровне HTTP/HTTPS и других протоколов прикладного уровня. Если видит что-то подозрительное в запросе — его теле, заголовках, URI и т.д., то не пропускает его. 

«Подозрительное» в этом контексте — это правила, которые могут указывать на то, что запрос может использовать известные уязвимости. Например, те, что указаны в списках OWASP. 

От каких атак защищает WAF

Web Application Firewall — популярный класс ИБ-решений. С его помощью можно защитить веб-приложение от множества кибератак. В их числе:  

  • SQL-инъекции — один из самых распространённых типов атак на сайты и приложения. Схема довольно простая: злоумышленник внедряет произвольный SQL-код в запрос, что позволяет ему получить доступ к просмотру и редактированию базы;
  • XSS (межсайтовый скриптинг) — также популярный тип атаки. Злоумышленник также пытается использовать вредоносный код. С его помощью он может получить доступ к личным данным пользователя и почти всему в приложении, где задействован JavaScript;
  • инъекция локальных или удалённых файлов (LFI/RFI). К этому типу атак относятся:
    • LFI (Local File Inclusion) — позволяет злоумышленнику запустить локальный файл на сервере. С его помощью удалённый пользователь может получить доступ к произвольным файлам на сервере, в том числе содержащую конфиденциальную информацию,
    • RFI (Remote File Inclusion) — хакер может использовать удалённый файл на сервере
  • RCE (Remote Code Execution) — является максимальной угрозой класса A1 по классификации OWASP. При использовании RCE атакующий дистанционно выполняет код на взломанном компьютере, сервере и т.д.;
  • PHP инъекции — один из способов взлома сайтов. Основан на работе протокола PHP. Суть атаки — выполнить сторонний код на сервере. В самых худших сценариях злоумышленник может выполнить любые PHP-команды;
  • автоматизированные действия — подбор логинов, паролей, промокодов и т.д.. Ещё один пример: автоматическое добавление товаров в в корзины пользователей онлайн-магазинов, что приводит к снижению остатков в продаже; 
  • боты — сканируют веб-приложения на уязвимости, извлекают необходимые данные и т.п.;
  • переборные атаки — подбор пароля и идентификатора пользовательской сессии. 

В наш список вошли не все типы угроз, от которых защищает WAF. В частности, в нём нет самого, казалось бы, очевидного вида — DDoS-атак. Однако давайте поговорим о них отдельно. 

WAF против DDoS

«Защищает ли Web Application Firewall от DDoS-атак?» — один из самых популярных вопросов, которые мы слышим на практике. Ответ на него звучит так: «И да, и нет». 

С одной стороны, WAF может защитить от DDoS-атак, но только в пределах своей зоны ответственности. Если злоумышленники имитируют поведение реальных пользователей на сайте или отправляют огромное количество запросов одновременно — например, к форме входа или к API, — WAF сможет их отфильтровать. Всё это относится к L7. И так как WAF работает именно на прикладном уровне, то он может вовремя отследить и отфильтровать DDoS-атаку. 

Но если речь идёт о грубой, массивной атаке и/или угрозах на уровне сети — когда миллионы пакетов обрушиваются на сервер, чтобы перегрузить всё и сразу, — WAF не поможет. Такие атаки начинаются гораздо раньше — на уровнях L3-L4. Чтобы отразить их быстро и без критических проблем на стороне веб-приложения, требуются специализированные antiDDoS-сервисы. 

Если коротко, то WAF в истории с DDoS — специалист по работе с содержанием, а не с объёмом. Он может быть эффективным средством защиты только при умеренном количестве и мощности DDoS-атак на уровне L7. 

Читайте также: Как защититься от DDoS-атак на уровне L7.

Когда нужно подключать WAF

Если ваш бизнес зависит от сайта или веб-приложения, то ответ однозначный: вам нужен WAF. Он поможет избежать простоев, сохранить репутацию, защитить данные клиентов и закрыть другие риски, которые могут обернуться финансовыми потерями.

WAF — это не универсальный щит для компании, но он способен остановить SQL-инъекции, распознать подозрительную активность, заблокировать бота. И хотя файрвол для веб-приложений не заменит полноценную защиту от DDoS-атак, он играет важную роль в многоуровневой системе безопасности компании.

И напоследок напомним, что в связке с WAF всегда можно использовать специализированный сервис для защиты веб-приложений от DDoS-атак. В этом случае вы получаете комплексное решение, которое поможет избежать большинства актуальных киберугроз для сайта или веб-приложения. Имея такого охранника «на входе», можно не сомневаться: ваш цифровой дом — под надёжной охраной.

WAF для защиты веб-приложений

  • Подключение за 10 минут
  • Поддержка 24×7
Подключить