⚔️ WAF в режиме мониторинга — это просто дорогой логгер
Разворачиваешь пентест внешнего периметра — и снова видишь знакомую тройку: PT Application Firewall перед вебом, UserGate или Континент на границе сети. Маркетинговые даташиты обещают «полную защиту от OWASP Top 10». Реальность — другая.
🔍 Первое, что нужно понять: WAF и NGFW — принципиально разные инструменты, и обходятся они по-разному. WAF — прокси уровня приложений (L7), который разбирает HTTP-запрос на атомы: заголовки, URI, параметры, тело. NGFW работает на уровнях L3–L7, но «широко», а не «глубоко». Для атакующего это прямая развилка: WAF обманывают через семантику HTTP — мутируют payload, играют с кодировками, эксплуатируют парсерные дифференциалы. NGFW обходят туннелированием через разрешённые протоколы или фрагментацией пакетов. Смешивать подходы — терять время и плодить лишние следы в логах.
🏗 PT Application Firewall разворачивается как обратный прокси: терминирует TLS, полностью разбирает запрос, нормализует его и только потом отправляет на бэкенд. Это означает, что часть техник обхода, построенных на разнице между тем, как WAF и бэкенд по-разному читают одни и те же байты, здесь работает иначе. Сигнатурный движок стабильно ловит классические SQLi и XSS в стандартных параметрах. Но атаки в глубоко вложенных JSON/XML-структурах или с нестандартным Content-Type — уже сложнее.
Реально сильная сторона PT AF — виртуальный патчинг: при интеграции с PT Application Inspector продукт закрывает конкретные уязвимости без изменения кода приложения. Ни один NGFW этого не умеет.
Слепое пятно — атаки на бизнес-логику: IDOR, mass assignment, race conditions. Сигнатурами они не ловятся в принципе. Поведенческий ML-модуль теоретически может заметить аномалию, но только после обучения на нормальном трафике. На практике его нередко отключают — команда ИБ устаёт разгребать false positives.
🔒 UserGate NGFW — не WAF. Его задача — контроль трафика между сегментами и защита периметра. DPI-модуль идентифицирует приложения по сигнатурам и применяет политики. Для инспекции зашифрованного трафика используется TLS-инспекция (SSL bump) с подменой сертификата. Стандартный подход, но с важным следствием: его обычно настраивают выборочно, и в зонах без инспекции туннелирование через разрешённые протоколы работает предсказуемо.
💡 И самый важный практический вывод, который подтверждает опыт аудитов в финансовом и госсекторе: значительная часть российских WAF работает в режиме мониторинга, а не блокировки. Причина банальна — тюнинг политик под конкретное приложение требует ресурсов, которых у команды ИБ просто нет. Полный разбор архитектуры всех трёх продуктов, конкретные техники обхода и выводы по Континент — в статье на форуме.
