Как выбрать WAF в 2025 году

В условиях импортозамещения и строгих требований ФСТЭК России и ФСБ всё больше организаций в России переходят на отечественные и open-source решения для защиты веб-приложений. Web Application Firewall (WAF) выступает как критический барьер, анализирующий HTTP/HTTPS-трафик и блокирующий вредоносные запросы до их попадания в приложение. Это особенно важно в микросервисных архитектурах и API-ориентированных системах, где традиционные сетевые файрволы часто бессильны.

Разберемся, каковы базовые требования к WAF в 2025 году, как правильно их настраивать, какие существуют open-source-решения, а также, что предлагают российские разработчики.

Базовые требования к WAF в 2025 году

Современные отечественные и международные стандарты (ГОСТ, ФСТЭК, OWASP) выдвигают следующие ключевые требования к Web Application Firewall:

• Поддержка сигнатурного и поведенческого анализа— обеспечение возможности обнаружения угроз как по известным сигнатурам, так и по аномалиям в поведении трафика.
• Защита от OWASP Top 10 и других категорий атак — предотвращение наиболее распространенных и опасных уязвимостей веб-приложений.
• Фильтрация трафика по URI, параметрам, заголовкам— контроль доступа и блокировка нежелательных запросов на уровне входящего трафика.
• Логирование и аудит событий безопасности— ведение подробных журналов для последующего анализа инцидентов и соответствия требованиям нормативных актов.
• Ведение журнала инцидентов (в соответствии с требованиями 152-ФЗ и приказа ФСТЭК № 239) — обеспечение полноты учета инцидентов для государственных органов и внутреннего аудита.
• Гибкая настройка правил под бизнес-логику— возможность адаптации системы под особенности конкретных бизнес-процессов организации.
• Совместимость с отечественным ПО — обеспечение интеграции с локальными системами безопасности и соблюдение требований национального законодательства.
• Интеграция с SIEM, СУИБ и т. д.

Обеспечение соответствия этим требованиям позволяет организациям повысить уровень защиты своих веб-приложений, снизить риски утечек данных и обеспечить соблюдение нормативных требований в области информационной безопасности.

Настройка WAF: этапы внедрения

Ниже мы рассмотрим универсальный подход, который используется при настройке большинства отечественных WAF-решений:

Этап 1: Развертывание и интеграция

• Установка программного или аппаратного модуля WAF в разрыв трафика (reverse proxy, inline или зеркалирование)
• Настройка SSL/TLS-дешифрации (если требуется анализ HTTPS-трафика)
• Интеграция с инфраструктурой: SIEM, AD/LDAP, API шлюзами, CMS, ERP

Этап 2: Тестовый режим

• Сбор легитимного трафика в течение 5–14 дней
• Выявление ложных срабатываний и исключение «белых» запросов

Этап 3: Настройка правил

• Включение сигнатурных правил на OWASP Top 10
• Внедрение GEO-фильтров, блокировка TOR,, IP-репутаций (по необходимости)

Этап 4: Перевод в режим защиты (Block)

• Поэтапный переход от логирования к блокировке
• Установка порогов чувствительности, включение реакции на отклонения от профиля
• Включение уведомлений по инцидентам (почта, Telegram, SIEM)

Этап 5: Мониторинг и оптимизация

• Постоянная проверка журналов на предмет ложных срабатываний
• Адаптация правил при изменении бизнес-логики приложения
• Обновление сигнатур и политик безопасности
• Ведение документации (журналы, политика защиты, отчёты)

Обзор open-source-решений

Open-source WAF обеспечивают гибкость и экономию, но требуют квалифицированной настройки. Вот одни из лучших решений в 2025 году:

NGINX ModSecurity

ModSecurity — это движок WAF, интегрируемый с NGINX или Apache. Использует OWASP CRS для защиты от OWASP Top 10. Мы активно применяли его в проектах для защиты веб-порталов.

Основные характеристики:

• Анализ трафика в режиме реального времени для мгновенного обнаружения угроз.
• Комплексная защита с использованием набора основных правил OWASP.
• Полная интеграция с NGINX.
• Преимущества активного и поддерживающего сообщества.

Лучше всего подходит для предотвращения распространенных уязвимостей, таких как SQL-инъекции и межсайтовый скриптинг.

SafeLine

SafeLine это локальный WAF для защиты ваших веб-приложений от атак и эксплойтов. Поддерживает сигнатурный анализ, защиту API и базовый поведенческий анализ. Активно развивается в 2025 году.

Основные характеристики:

• Удобный GUI для настройки правил, что упрощает работу без глубоких знаний.
• Поддержка OWASP Top 10 и API-защиты.
• Лёгкая интеграция с NGINX и контейнерами.
• Низкие системные требования: работает на серверах с 2 ГБ RAM.

Coraza

С помощью Coraza WAF вы можете применять политики, используя базовый набор правил OWASP, или создавать собственные. Это расширяемый WAF, который позволяет настраивать функции, возможности и улучшения. Недавно была выпущена версия Coraza v3 с несколькими обновлениями.

Основные характеристики:

• Доступна высококачественная документация.
• Поддерживает интеграцию для развертывания в качестве сервера приложений, контейнера и т. д.
• Масштабируемость для поддержки крупных веб-сайтов.
• Настраиваемые политики.

Лучше всего подходит для общественного проекта с четким планом непрерывного развития.

NAXSI

Naxsi — это высокопроизводительный брандмауэр для веб-приложений с открытым исходным кодом, совместимый с любой версией NGINX. По умолчанию Naxsi блокирует запросы с URI, содержащими шаблоны, которые обычно ассоциируются с уязвимостями веб-сайтов.

Основные характеристики:

• Поддерживает автоматическое обучение для создания правил белого списка.
• Лёгкий и экономичный в плане ресурсов.
• Легко интегрируется с NGINX.
• Подходит для простого развертывания.

Лучше всего подходит для выбора WAF, совместимого с NGINX, в связи с прекращением поддержки ModSecurity.

Облако Flare

CloudFlare — это платформа для обеспечения веб-безопасности и производительности, которой доверяют во всем мире. Она использует машинное обучение для создания наборов правил, которые защищают ваш сайт от новых атак, таких как угрозы нулевого дня. Вы также можете создавать собственные правила в соответствии с требованиями вашего бизнеса.

Основные характеристики:

• Анализ угроз в режиме реального времени.
• Защита от DDoS-атак.
• Легко интегрируется с CDN CloudFlare.
• Контролирует и блокирует использование раскрытых учётных данных.
• Предоставляет аналитические инструменты для изучения веб-трафика и угроз.

Лучше всего подходит для анализа угроз в режиме реального времени благодаря простой в использовании панели управления.

Обзор отечественных WAF решений

Существует особые случаи, когда требуется использовать не обычный файрвол для приложений, а сертифицированный.

Наличие сертификата ФСТЭК критически важно для компаний, которые обязаны соблюдать законы и другие нормативные акты, регламентирующие правила работы в сфере информационной безопасности — например приказ ФСТЭК № 17, который описывает требования к работе со сведениями в информационных системах.

Для таких компаний наличие сертифицированного WAF обязательно — иначе не пройти проверку на соответствие или получить штраф за нарушение требований законодательства.

Коммерческие решения обычно могут выполнять условия регуляторов и быть сертифицированы. Рассмотрим некоторые из них:

Solar WAF

Решение предлагает защиту от OWASP Top 10, интеллектуальную фильтрацию трафика, поведенческий анализ, защиту REST и SOAP API. Есть возможность работы в гибридной модели — часть модулей размещается в периметре заказчика, часть — в облаке Ростелекома. Основной плюс заключается в готовности к интеграции с другими решениями «Solar» (SIEM, SOC, DLP).

UserGate WAF

UserGate WAF применяется как часть комплексного шлюза безопасности (NGFW + WAF). Обнаруживает SQL-инъекции, XSS, directory traversal, обеспечивает защиту от брутфорса. Поддерживает централизованное управление политиками и логирование инцидентов. Это сертифицированное решение, разворачивается в оффлайне, не требует внешнего трафика, однако у него ограниченная гибкость по сравнению с open-source аналогами.

Positive Technologies (PT Application Firewall)

Межсетевой экран WAF для защиты веб-ресурсов организации от всевозможного рода атак. Решение обеспечивает автоматическое блокирование атак нулевого дня, быстрое и точное выявление основных угроз, расширенная защита от DDoS-атак, а также выполнение требований PCI DSS и других международных, государственных и корпоративных стандартов безопасности.

PT Application Firewall отличают простота внедрения, гибкость и адаптивность к специфике приложений, высокая точность детектирования угроз, непрерывный анализ поведения пользователей и использование машинного обучения. Все это обеспечивает безопасность при любом потоке трафика.

Заключение

Грамотно настроенный WAF — это не просто фильтр, а ключевой элемент киберзащиты. От его выбора и настройки зависит защита веб-приложений от атак, уязвимостей и несанкционированного доступа, а также соответствие требованиям регуляторов и бизнес-задачам.

Российский рынок предлагает широкий спектр решений, но подход к выбору должен быть взвешенным. Чтобы обеспечить реальную безопасность, рекомендуем обращаться к профильным специалистам с опытом внедрения WAF в реальных инфраструктурах.

Автор статьи: Филиппова Анастасия Вячеславовна, специалист по информационной безопасности — Астрал. Безопасность.

Оригинал публикации на сайте CISOCLUB: "Как работает настройка WAF для защиты веб-приложений на примере open-source-решений".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.