WAF и NGFW: в чём разница и как правильно защитить веб-приложение

от

«В российском ИБ-ландшафте WAF и NGFW часто воспринимаются как взаимозаменяемые или конкурирующие решения. Это ошибка, которая приводит либо к избыточным затратам, либо к критическим уязвимостям. Разница между ними — не в «поколениях», а в фундаментальном различии слоёв, на которых они работают. Понимание этой разницы — ключ к построению эффективной и экономичной защиты.»

Семь уровней OSI и почему это важно

Чтобы понять, где заканчивается зона ответственности межсетевого экрана и начинается работа WAF, нужно вернуться к базовой модели сетевого взаимодействия — OSI. NGFW работает преимущественно на уровнях 3 (сеть, IP-адреса) и 4 (транспорт, порты, сессии). Он видит пакеты, устанавливает соединения, фильтрует трафик по правилам, основанным на IP, портах и состоянии сессии.

WAF работает на прикладном уровне — уровне 7. Он видит не просто пакеты, а законченные HTTP/HTTPS-запросы и ответы. WAF анализирует семантику запроса: что именно передаётся в параметрах URL, в теле POST-запроса, в заголовках. Он понимает структуру JSON, XML, может парсить параметры сессии (cookies), выявлять попытки SQL-инъекций, межсайтового скриптинга (XSS), подбора учётных данных (credential stuffing) и других атак, нацеленных на логику веб-приложения.

Простая аналогия: NGFW, это охрана на въезде на территорию предприятия. Она проверяет пропуск (IP/порт) и машину (состояние соединения). WAF, это служба безопасности внутри офиса, которая следит, чтобы посетитель в переговорной комнате не пытался вскрыть сейф (базу данных) с помощью отмычки (SQL-инъекции) или не подменил документы (XSS). Первый контролирует, кто и откуда пришёл, второй — что именно этот человек делает внутри.

NGFW: граница и контекст

Современный межсетевой экран нового поколения, это не просто статический фильтр пакетов. Он объединяет в себе несколько функций:

  • Инспекция состояния (Stateful Inspection): отслеживание состояния активных соединений и блокировка пакетов, не входящих в легитимные сессии.
  • Контроль приложений (Application Control): идентификация сетевого трафика по типу приложения (например, Telegram, BitTorrent, веб-сёрфинг) и установление политик доступа на этой основе, даже если приложение использует нестандартные порты.
  • Система предотвращения вторжений (IPS): обнаружение и блокировка известных сетевых атак и эксплойтов, часто по сигнатурам, на уровнях 3-4 и частично 7.
  • Антивирус/антималвар в потоке: проверка передаваемых файлов на наличие вредоносного кода.
  • Фильтрация URL: категоризация и блокировка доступа к нежелательным веб-ресурсам.

IPS в составе NGFW может частично пересекаться с функционалом WAF, так как некоторые модули IPS также анализируют HTTP-трафик. Однако фокус IPS — на известные уязвимости и эксплойты (например, CVE), часто на уровне отдельных пакетов или простых сигнатур в payload. Глубокий анализ логики приложения, сессий пользователя, бизнес-правил и защиты от zero-day атак на веб-интерфейсы — за пределами его основной специализации.

WAF: защита логики приложения

WAF создан для защиты от атак, которые используют легитимный HTTP(S)-трафик для достижения злонамеренных целей. Его сила — в понимании контекста веб-приложения.

  • Защита от OWASP Top 10: Это основной ориентир. WAF специализируется на блокировке инъекций (SQL, NoSQL, OS Command), XSS, подделки межсайтовых запросов (CSRF), небезопасных десериализаций.
  • Анализ положительной безопасности (Positive Security Model): Вместо поиска только плохого (сигнатур атак) продвинутый WAF может строить модель нормального поведения приложения: какие параметры, с какими типами данных и в каких диапазонах значений ожидаются. Любое отклонение блокируется. Это эффективно против неизвестных атак.
  • Защита API: Современные приложения heavily используют REST, GraphQL, SOAP API. WAF умеет парсить структуры JSON/XML, валидировать схемы, контролировать лимиты запросов (rate limiting) для предотвращения DoS и брутфорса.
  • Сессионный контроль и защита от ботов: Анализ последовательности действий пользователя, выявление аномальных паттернов (слишком быстрая навигация, заполнение форм), борьба со скрейпингом и автоматизированными атаками.

WAF может работать в разных режимах: прозрачном (прокси), мониторинговом (только обнаружение) или в режиме обратного прокси перед веб-сервером. Последний — самый распространённый.

Пересечение и конфликт: где функции накладываются

Именно на прикладном уровне (L7) происходит основное пересечение. Модуль IPS в NGFW может иметь набор сигнатур для HTTP-атак, например, для некоторых видов SQL-инъекций или известных уязвимостей в веб-серверах (например, Apache Struts).

Проблема в подходе. IPS, как правило, использует сигнатурный и, в лучшем случае, эвристический анализ. Он ищет известные шаблоны атак в потоке данных. WAF же оперирует более высокоуровневыми понятиями: структура запроса, сессия пользователя, бизнес-логика. Он может отличить легитимный SQL-запрос, сгенерированный системой управления контентом, от инъекции, даже если они содержат схожие ключевые слова.

На практике это приводит к конфликтам. Если и NGFW (IPS), и WAF пытаются анализировать один и тот же HTTP-трафик, возможны ложные срабатывания, блокировка легитимного трафика или, наоборот, пропуск атаки из-за несогласованности правил. Важно чётко разграничить зоны ответственности: NGFW отвечает за сетевой периметр, контроль приложений на уровне их идентификации и базовую IPS-защиту от сетевых эксплойтов. WAF отвечает за целостность и безопасность именно веб-приложений и API.

Когда «хватит» NGFW?

Есть сценарии, где развёртывание полноценного WAF может быть избыточным. NGFW с мощным IPS-модулем может быть достаточным, если:

  • Нет публичных веб-приложений: Инфраструктура состоит из внутренних сервисов, VPN, терминальных служб. Угроза атак через веб-интерфейсы минимальна.
  • Веб-приложения статичны и просты: Например, корпоративный сайт-визитка без форм обратной связи, логинов и динамического контента. Основная угроза здесь — дефейс или DDoS, с чем может справиться NGFW в тандеме с CDN.
  • Приложения полностью изолированы и доступны только по белым спискам IP-адресов (например, только из сети головного офиса). В этом случае сетевой контроль NGFW резко снижает поверхность атаки.
  • Бюджетные и ресурсные ограничения при низкой оценке рисков, связанных с компрометацией веб-приложений.

Важно понимать: в этих сценариях NGFW защищает от атак на сетевом уровне и от массовых автоматизированных сканирований. Он не защитит от целевой атаки на уязвимость в веб-скрипте, если злоумышленник каким-то образом получит доступ к этому интерфейсу.

Когда WAF нового поколения становится необходимостью

Внедрение специализированного WAF перестаёт быть опцией и становится обязательным требованием в следующих условиях:

  • Наличие бизнес-критичных веб-приложений: Интернет-банк, маркетплейс, портал госуслуг, CRM с внешним доступом. Здесь сосредоточены персональные данные, финансовые транзакции, коммерческая тайна.
  • Развитая API-экосистема: Мобильные приложения, микросервисная архитектура, интеграции с партнёрами. API, это новая, часто даже более уязвимая, поверхность атаки, требующая специфической защиты (валидация схем, контроль лимитов, защита токенов).
  • Требования регуляторов и стандартов: Для обработки персональных данных (152-ФЗ) и критической информационной инфраструктуры (КИИ, 187-ФЗ) ФСТЭК России прямо рекомендует или предписывает использование средств анализа и контроля трафика на прикладном уровне. PCI DSS для платёжных систем также жёстко требует WAF.
  • Высокий риск целевых атак (APT): WAF с моделями поведенческого анализа и машинного обучения способен выявлять сложные многоэтапные атаки, которые обходят сигнатурные правила.
  • Недостаточная безопасность самого приложения: Если legacy-приложение содержит уязвимости, а на его переписывание нет времени или ресурсов, WAF выступает как виртуальный патч, временно закрывая дыры до момента исправления кода.

«Новое поколение» в контексте WAF подразумевает не просто фильтрацию по сигнатурам, а использование технологий машинного обучения для построения поведенческих моделей, интеграцию с CI/CD для безопасного развёртывания (режим «только обучение» на новых версиях приложений), автоматическое создание правил на основе трафика и повышенную эффективность против атак на API.

Практика разграничения: как строить эшелонированную защиту

Правильный подход — не выбор «или-или», а построение эшелонированной обороны (Defense in Depth), где NGFW и WAF дополняют друг друга.

  1. Периметр (NGFW): Жёсткий контроль входящих/исходящих соединений. Белые списки IP для административных интерфейсов. IPS-модуль включён для отлова массовых сетевых эксплойтов и сканирований. Блокировка доступа к опасным категориям URL.
  2. Уровень приложения (WAF): Все публичные HTTP/HTTPS-сервисы пропускаются через WAF. Настройка начинается с режима обнаружения (Logging/Detection) для анализа трафика и тонкой настройки правил, чтобы минимизировать ложные срабатывания. Затем переход в режим блокировки. Реализуется защита от OWASP Top 10, настраиваются правила для специфичных API.
  3. Согласование правил: Правила IPS на NGFW, касающиеся HTTP, часто можно сделать менее строгими или отключить для IP-адресов, за которыми стоит WAF. Это снижает нагрузку на NGFW и исключает конфликты. WAF становится единственным «судьёй» для прикладного трафика.
  4. Мониторинг и инциденты: Логи и события с обоих устройств должны стекаться в SIEM-систему. Корреляция событий (например, множество блокировок SQL-инъекций с одного IP на WAF + попытка сканирования портов с того же IP на NGFW) помогает выявлять скоординированные атаки.

Вывод: от тактики к стратегии

Вопрос «WAF или NGFW» поставлен неверно. Правильный вопрос: «Какую часть атак мы ожидаем на сетевом уровне, а какую — на уровне приложений, и какие инструменты лучше всего подходят для каждой из этих задач?».

NGFW, это фундамент, контролирующий базовые сетевые потоки и предоставляющий контекст о приложениях в сети. WAF, это специализированный инструмент для защиты самой ценной и уязвимой части современной ИТ-инфраструктуры: веб-приложений и API.

Для соответствия требованиям регуляторов вроде ФСТЭК и защиты от реальных угроз, характерных для российского сегмента интернета, стратегия должна включать оба компонента. Пропуск WAF в инфраструктуре с публичными веб-сервисами сегодня равносилен надежде на то, что сетевой экран сможет прочитать и понять бизнес-логику вашего интернет-банка. Он не сможет. А злоумышленник — попытается.

Оставьте комментарий