...
Anti-Malware.ru представляет новое сравнение продуктов класса «файрвол веб-приложений» (Web Application Firewall, WAF). Шесть продуктов российских вендоров сравниваются по 235 критериям, охватывающим архитектуру, производительность, технологии, механизмы защиты, лицензирование, техподдержку и пр.
- 1. Введение
- 2. Актуальные веб-угрозы и роль WAF в борьбе с ними
- 3. Требования заказчиков к современному WAF
- 4. Методология сравнения российских продуктов класса WAF
- 5. Сравнение российских продуктов класса WAF
- 5.1. Общие сведения
- 5.2. Архитектура и взаимодействие с инфраструктурой
- 5.3. Реализация механизмов защиты
- 5.3.1. Блокировка атак
- 5.3.2. Сигнатурный анализ
- 5.3.3. Репутационный анализ
- 5.3.4. Поведенческий анализ
- 5.3.5. Машинное обучение
- 5.3.6. Позитивная модель безопасности
- 5.3.7. Корреляция
- 5.3.8. Локальная (on-premise) защита от ботов и DDoS-атак
- 5.3.9. API Firewall
- 5.3.10. XML Firewall
- 5.3.11. Предотвращение эксплуатации уязвимостей
- 5.3.12. Защита от веб-угроз из OWASP Top 10
- 5.3.13. Специализированные механизмы защиты
- 5.4. Эксплуатация и обслуживание
- 6. Выводы
Введение
Предыдущее сравнение WAF на Anti-Malware.ru вышло до событий и перемен 2022 года, и в нём фигурировали главным образом зарубежные продукты и решения, которые доминировали тогда на рынке ИБ в целом и в отдельных его сегментах. Сегмент файрволов веб-приложений не был исключением. В таблицах предыдущего сравнения имелся один российский продукт — Positive Technologies Application Firewall — и условно российский Wallarm, доступный тогда в составе InfoWatch Attack Killer и услуг Qrator Labs.
Сегодня, в начале 2026 года, мы видим перед собой совсем другой рынок. В ряде сегментов эволюционный путь дошёл до того, что заказчики мигрируют с одного отечественного решения на другое отечественное. Ещё буквально несколько лет назад такой сценарий развития событий было трудно предвидеть. Теперь же это реальность, в которой перед компаниями и организациями встаёт трудный и сложный вопрос выбора среди многочисленных предложений.
Частью миссии Anti-Malware.ru, как и прежде, является помощь в таком выборе. Продолжая нашу давнюю традицию давать материал для принятия информированных и взвешенных решений, мы вновь сравниваем между собой продукты класса Web Application Firewall по детализированному списку критериев.
Актуальные веб-угрозы и роль WAF в борьбе с ними
Даже если организация или предприятие не занимается интернет-бизнесом — т. е. не является, например, маркетплейсом, у которого всё построено вокруг покупок онлайн, — у неё, как правило, всё равно есть веб-приложения. Кто-то эксплуатирует веб-почту, к которой можно получить доступ снаружи, у кого-то есть разного рода личные кабинеты для сотрудников или клиентов. Если же бизнес-модель тесно связана с интернетом, то веб-приложения — это вообще ядро, ключевой информационный актив.
Неудивительно, что к веб-приложениям приковано пристальное внимание самых разных злоумышленников. Некоторые стремятся вызвать отказ в обслуживании и потребовать выкуп за то, чтобы восстановить доступность сервиса для клиентов, кто-то наживается на бонусных программах, для кого-то веб-приложение является удобной точкой входа, с которой можно начать взлом и проникновение в организацию.
Соответственно, возникают весьма разнообразные угрозы, начиная от DDoS-атак и заканчивая эксплуатацией уязвимостей. Некоторые известны давно (например, межсайтовое исполнение сценариев — Cross-Site Scripting, XSS) и годами возглавляют рейтинги самых опасных, другие стали актуальными сравнительно недавно. В частности, Microsoft обратила внимание на рост популярности техники Living Off Trusted Sites (LoTS), в рамках которой известные легитимные веб-сервисы применяются для скрытия вредоносной активности.
При этом атаки на уровне приложений трудно обнаруживать и обрабатывать при помощи универсальных средств защиты, поскольку у таких атак есть собственная специфика, и они, таким образом, требуют такого же специфического СЗИ (средства защиты информации), учитывающего их особенности. Мы писали об этом, например, когда рассматривали новый класс ИБ-решений — «детектирование и реагирование в приложениях» (Application Detection and Response, ADR).
Если, скажем, сетевой экран работает только с IP-адресами и портами, то он не справится с угрозами на уровне веб-приложения, поскольку и легитимные, и вредоносные запросы, говоря упрощённо, являются веб-трафиком. Различить их на таком уровне анализа не удастся. Можно углублять анализ, прибегая к файрволу нового поколения (NGFW), который умеет работать с контекстом, но противодействие веб-угрозам — это, прямо скажем, не основная его задача.
Поэтому специализированные сетевые экраны для веб-приложений пользуются стабильной популярностью, хотя на первый взгляд могут показаться нишевыми решениями. В современных инфраструктурах WAF не конкурирует с NGFW, а дополняет его, целенаправленно занимаясь анализом HTTP-запросов на седьмом уровне модели OSI.
Требования заказчиков к современному WAF
Опрос зрителей телепроекта AM Live показал, что для большинства определяющей характеристикой файрвола веб-приложений является качество обнаружения атак. Кроме того, для многих важны простота администрирования и интеграция с другими средствами защиты, используемыми в компании. Ради всего этого заказчики и эксплуатанты даже готовы пренебречь стоимостью продукта или решения.
По мнению экспертов, которые вели дискуссию в прямом эфире AM Live, среди важных возможностей современного WAF — т. н. виртуальный патчинг, т. е. закрытие уязвимостей до выпуска исправлений. Функциональность по анализу трафика приложений и запросов к ним позволяет файрволу предотвращать эксплуатацию брешей, даже если заплатка от производителя ещё не готова.
Кроме того, мы живём сейчас во время нейросетей и машинного обучения, поэтому в современном WAF хочется видеть, среди прочего, и функции на базе искусственного интеллекта. Здесь мы говорим не только о «несигнатурном» анализе (то, что с нынешними объёмами угроз трудно справиться только при помощи сигнатур, было понятно давно): речь идёт и о своеобразной аналитической помощи, когда ИИ что-то обобщает, ищет закономерности и даёт прогнозы о новых векторах атак.
Далеко не последнее значение для заказчиков имеет такая метрика, как доля потерянного легитимного трафика. Многих зрителей и читателей Anti-Malware.ru и AM Live беспокоят ложные срабатывания и ошибочно принимаемые меры по фильтрации трафика веб-приложений, когда «под раздачу» попадают те, кто ни в чём не виноват. Вред могут наносить в том числе и такие происшествия, а не только действия злоумышленников.
Наконец, примечательным направлением развития для современного WAF является функциональность по защите программных интерфейсов (API). Злоумышленники стали больше интересоваться изъянами межсистемного и межпрограммного взаимодействия, и это приводит к росту атак на API. Стоит отметить, что организация OWASP сочла необходимым выделить особый рейтинг угроз именно по этому направлению — OWASP API Security Top 10. Такой подход говорит о значимости и влиятельности подобных рисков.
Названные выше критерии можно относить к числу наиболее актуальных на данный момент, однако есть и немало иных важных оснований для выбора. Мы постарались составить как можно более полный их перечень. Об этом расскажем далее.
Методология сравнения российских продуктов класса WAF
Для сравнения был сформирован перечень из 235 критериев, разделённых на категории и подкатегории.
Категория № 1 — «Общие сведения» — включает в себя основную информацию о продукте как таковом. Мы обращаем внимание на сертификацию и комплаенс, позиционирование (целевой сегмент), внедрения и пр.
Категория № 2 — «Архитектура и взаимодействие с инфраструктурой» — охватывает интеграционные возможности, используемые технологии, поддерживаемые стандарты, протоколы и пр. Здесь представлено всё, что касается встраивания продукта в инфраструктуру и функционирования в ней.
Категория № 3 — «Реализация механизмов защиты» — является ядром всей системы критериев. В ней представлены следующие подкатегории:
- Блокировка атак.
- Сигнатурный анализ.
- Репутационный анализ.
- Поведенческий анализ.
- Машинное обучение.
- Позитивная модель безопасности.
- Корреляция.
- Локальная (on-premise) защита от ботов и DDoS-атак.
- Функциональность API Firewall.
- Функциональность XML Firewall.
- Предотвращение эксплуатации уязвимостей.
- Защита от веб-угроз из OWASP Top 10 (Broken Access Control, Injection, Insecure Design, Identification and Authentication Failures).
- Специализированные механизмы защиты.
Категория № 4 — «Эксплуатация и обслуживание» — посвящена тому, как пользоваться продуктом: настраивать политику безопасности, работать с журналом событий, выполнять оперативный мониторинг, получать техническую поддержку и обучение.
Сравнение охватывает продукты класса WAF, т. е. программные или аппаратные изделия с возможностью локального развёртывания (on-premise). Сервисы класса WAF, в рамках которых файрвол веб-приложений предоставляется как услуга, в охват этого исследования не включаются. Anti-Malware.ru рассмотрит такие сервисы в рамках отдельного сравнения, которое выйдет в свет позднее.
На основе вышеупомянутого подхода к участию в сравнении были приглашены 8 российских компаний–производителей продуктов класса WAF. Заполненные анкеты поступили от 6 вендоров:
- Positive Technologies (продукт PT Application Firewall).
- SolidSoft (продукт SolidWall WAF).
- «Вебмониторэкс» (продукт «Вебмониторэкс ПроWAF»).
- Группа компаний «Гарда» (продукт «Гарда WAF»).
- Pentestit (продукт «Немезида ВАФ»).
- Группа компаний «Конфидент» (продукт WAF Dallas Lock).
Сравнение этих файрволов веб-приложений по перечню критериев представлено в таблицах ниже.
Сравнение российских продуктов класса WAF
Общие сведения
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Компания-вендор | Positive Technologies | SolidSoft | Вебмониторэкс | Группа компаний "Гарда" | Pentestit | Группа компаний "Конфидент" |
| Штаб-квартира | Россия, Москва | Россия, Москва | Россия, Москва | Россия, Москва | Россия, Орёл | Россия, Санкт-Петербург |
| Веб-сайт | ptsecurity.com | solidwall.ru | webmonitorx.ru | garda.ai | www.pentestit.ru | www.confident.ru |
| Сравниваемые версии | 4.3 | 2.19 | 4.12 | 3.0 | 5.1 | 2.16 |
| Целевой сегмент | Энтерпрайз, госсектор, коммерческие организации | Энтерпрайз, госсектор, малый и средний бизнес | Госсектор, крупный и средний бизнес | Энтерпрайз, госсектор, коммерческие организации | Энтерпрайз, малый и средний бизнес, MSSP | Госсектор, коммерческие организации, образовательные учреждения |
| Сертификаты |
Сертификат ФСТЭК России № 3455 от 27.10.2015: Сертификат соответствия ОАЦ № BY/112 02.02. ТР027 036.01 00687 (Республика Беларусь) |
Сертификат ФСТЭК России № 4652 от 15.02.2023 г.: - «Требования к межсетевым экранам» (ФСТЭК России, 2016); - «Профиль защиты МЭ типа «Г» 4-го класса защиты» (ИТ.МЭ.Г4.ПЗ) (ФСТЭК России, 2016); - «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) – по 4-му уровню доверия Сертификат соответствия ОАЦ № BY/ТР027 036.01 00700 (Республика Беларусь) Сертификат ООО «РусБИТех-Астра» "Ready for Astra" № 29261/2025 от 10.07.2025 |
Сертификат ФСТЭК России № 4899 от 28.12.2024 г.: - «Требования к межсетевым экранам» (ФСТЭК России, 2016); - «Профиль защиты МЭ типа «Г» 4-го класса защиты» (ИТ.МЭ.Г4.ПЗ) (ФСТЭК России, 2016); - «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) – по 4-му уровню доверия |
Сертификат соответствия Республики Беларусь №BY/112 02.02. TP027 036.01 02061 от 07.07.2025 Сертификат совместимости IVA MCU № INT24101 от 15.01.2024 Получение сертификата ФСТЭК России запланировано на 1 квартал 2026 г. |
Не сертифицировано | Сертификат ФСТЭК России № 4863 от 8 октября 2024 года: - «Профиль защиты МЭ типа «Б» 4-го класса защиты» (ИТ.МЭ.Б4.ПЗ) (ФСТЭК России, 2016); - «Профиль защиты МЭ типа «Г» 4-го класса защиты» (ИТ.МЭ.Г4.ПЗ) (ФСТЭК России, 2016); - «Профиль защиты СОВ уровня сети 4-го класса защиты» (ИТ.СОВ.С4.ПЗ) (ФСТЭК России, 2012); «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) – по 4-му уровню доверия |
| ПО в реестре Минцифры | № 1141 от 14.06.2016 | № 8453 от 30.12.2020 | № 8985 от 28.01.2021 | № 18869 от 05.09.2023 | № 4418 от 16.04.2018 | № 21831 от 15.03.2024 |
| ПАК в реестре Минпромторга | Нет | Нет | Да (через партнеров) |
Нет | Нет | Нет |
| Обзор на Anti-Malware.ru | Нет | Нет | Нет | Обзор Гарда WAF 3.0 | Обзор Nemesida WAF | Обзор WAF Dallas Lock 2.11, межсетевого экрана прикладного уровня |
| Комплаенс (соответствие каким требованиям позволяет обеспечить) |
Приказы ФСТЭК России № 17 и 21 Требования по защите КИИ PCI DSS
|
Приказ ФСТЭК России № 21 PCI DSS |
Вендор имеет лицензию на деятельность по разработке и производству средств защиты конфиденциальной информации, лицензию на деятельность по технической защите конфиденциальной информации Продукт находится в репозитории ИТ-решений для финансовой отрасли АФТ (АФТ1059) |
Приказы ФСТЭК России № 21, 17, 31, 235, 239 ГОСТ Р 57580.1-2017 |
PCI DSS | Класс защищенности АС (РД от 30.03.1992) до 1Г Класс защищенности ГИС (Приказ ФСТЭК России от 11.02.2013 № 17) до 1 класса Уровень защищенности ПДн (Приказ ФСТЭК России от 18.02.2013 № 21) до 1 уровня Класс защищенности АСУ ТП (Приказ ФСТЭК России от 14.03.2014 № 31) до 1 уровня Категория значимости КИИ (Приказ ФСТЭК России от 25.12.2017 № 239) до 1 категории Класс защищенности ГИС (Приказ ФСТЭК России от 11.04.2025 № 117) до 1 класса |
| Использование сторонних компонентов с открытым исходным кодом | Используются | Используются | Используются | Не используются | Используются (сторонние библиотеки) |
Используются |
| Крупнейшие публичные внедрения | Информация о внедрениях не разглашается | Информация о внедрениях не разглашается | ЕВРАЗ СберАвто ЦИТ Татарстана |
Крупнейшие - информация не разглашается Публичные: Бессмертный полк Правокард IVA Technologies |
Информация о внедрениях предоставляется под соглашение о неразглашении (NDA) | Информация о внедрениях не разглашается |
Архитектура и взаимодействие с инфраструктурой
Общее
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Наличие Cloud-версии (Managed Service) | Да (Cloud AF) |
Да | Да | Да | Да (у партнеров) |
Нет |
| Наличие Standalone-версии (подходит для IaaS) | Да | Да | Да | Да | Да | Да |
| Наличие ПАК | Да (через партнёров) |
Да (при участии дистрибьюторов, предоставляющих оборудование) |
Да (через партнеров) |
Нет (планируется во 2-3 квартале 2026 г.) |
Нет | Нет |
| Возможность полнофункциональной работы без подключения к внешним облачным сервисам | Да (кроме облачной CAPTCHA) |
Да | Да | Да | Да | Да |
| Возможность работы в закрытом контуре | Да (нужны локальные репозитории ОС при обновлении) |
Да | Да | Да | Да (требует взаимодействия с сервисным API для проверки лицензий и подгрузки Geo/TI-данных) |
Да |
| Возможность развёртывания в контейнере | Да (есть агенты Ingress, Docker) |
Да (в стандартной поставке WAF поставляется в виде программных пакетов Ubuntu / Debian / Astrа, в т. ч. по соображениям производительности и расходования ресурсов, но в случае необходимости WAF поддерживает запуск компонентов в контейнерах) |
Да | Да | Да | Нет |
| Основные поддерживаемые гипервизоры | KVM, ESXi, zVirt и др. | Любые гипервизоры (нет зависимости от гипервизора) | Любые гипервизоры (нет зависимости от гипервизора) | Любые гипервизоры (нет зависимости от гипервизора) | KVM, VMware, VirtualBox | VMware ESXi, Hyper-V, VirtualBox, KVM |
| Поддерживаемые операционные системы для установки | Основная инсталляция: Debian 11 Astra 1.7 Debian 12, Astra 1.8 - в дорожной карте на 2026 г. Агенты: Debian 11, 12.x CentOS 7 Astra 1.7 |
Ubuntu 22.04 Astra Linux 1.7 Debian 12 |
Debian 11, 12.x Ubuntu LTS 18.04, 20.04, 22.04, 24.04 CentOS 7, 8 Stream, 9 Stream Alma/Rocky Linux 9 RHEL 8.x, 9.x Oracle Linux 8.x, 9.x РЕД ОС Альт Сервер 10, 11 SuSe Linux Astra Linux |
Debian 12 Astra Linux 1.8 |
Linux (Debian, Ubuntu, RHEL-based) | Standalone-система |
| Минимальные аппаратные системные требования |
Standalone (All in One) ЦП: 12 vCPU ЦП: 1 vCPU |
100 RPS: 1 сервер ЦП: 4 vCPU ОЗУ: 8 ГБ HDD: 500 ГБ |
ЦП: 2 vCPU ОЗУ: 4 ГБ HDD: 30 ГБ |
ЦП: от 16 ядер 2 ГГц (sse4/avx) ОЗУ: от 32 ГБ HDD / SSD: от 250 ГБ Ethernet: RJ45 от 1 Гбит/с |
ЦП: 6 ядер x 2,4 ГГц ОЗУ: 16 ГБ HDD: 50 ГБ |
Процессор (x86-64): 2 ГГц (4 ядра) Память (ОЗУ): 8 ГБ Объем памяти накопителя не менее 32 ГБ Объем памяти накопителя для хранения файлов регистрации журналов аудита не менее 128 ГБ Сетевая карта: 3хNIC Сетевые интерфейсы: 2хRJ45 (1 Гбит/c), 2xSFP+ (10 Гбит/с) |
| Способы управления | GUI, CLI, REST API | GUI (веб-интерфейс), API, CLI | GUI, CLI, API | GUI, CLI, API | GUI (веб-интерфейс), REST API, CLI | GUI (веб-интерфейс), CLI (SSH, DL Shell) Shell (Bash) - функциональная возможность реализована и будет доступна в следующей сертифицированной версии |
| Языки графического интерфейса | Русский, английский | Русский, английский, корейский, вьетнамский | Русский, английский | Русский | Русский, английский | Русский |
| Поддержка возможности поставки MSS-провайдером | Да | Да | Да | Да | Да | Нет |
| Поддержка мультиарендности | Да (Data Plane - честная реализация, ресурсы одного узла обработки трафика можно разделить на несколько изолированных пространств, без влияния друг на друга; Control Plane - честная реализация, в каждом изолированном пространстве можно задать свои роли, пользователей, политики) |
Да | Да | Да | Да | Нет |
Производительность и отказоустойчивость
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Пропускная способность | Без программных ограничений | Без программных ограничений | Без программных ограничений | Без программных ограничений | Без программных ограничений | 10 Гбит/с |
| Максимум TPS / RPS | 40 000 RPS на Standalone 320 000 RPS - действующая инсталляция, архитектура позволяет больше при необходимости. Кластеры можно объединять в единую управляемую систему |
200 000 RPS и более (для более нагруженных инсталляций требуются индивидуальные конфигурации) |
250 000 RPS (максимальное достигнутое, по факту ограничений нет, зависит от технических характеристик сервера, где развернуто решение) |
100 000 RPS (действующая инсталляция, по факту ограничений нет, зависит от кластера серверов) |
Без программных ограничений | 25 000 RPS |
| Поддержка микросервисной архитектуры | Да | Нет (есть возможность защищать микросервисную архитектуру) |
Да | Да | Да | Нет |
| Поддержка балансировки нагрузки между защищаемыми веб-приложениями | Да | Да | Да | Да | Да | Да |
| Возможность использования имеющихся балансировщиков, брокеров сообщений, систем мониторинга | Да | Да | Да (nginx / angie) |
Да | Да | Да |
| Кластеризация Active-Active | Да | Да | Да | Да | Да | Нет |
| Кластеризация Active-Passive | Да | Да | Да | Да | Да | Да |
| Меры по минимизации ложных срабатываний | Тонкая и гибкая настройка правил, возможность вносить исключения вплоть до конкретных частей запроса и / или ответа, в том числе и содержимого WebSocket. Готовые наборы правил под популярные веб приложения. Парсер позволяет на уровне языковой модели понимать корректность и исполнимость передаваемого синтаксиса, что позволяет блокировать только реальные векторы атак, не перегружая события внешне похожими на атаку запросами | Гибкое подавление ложных срабатываний путем добавления точечных исключений без потери защиты. Быстрое подавление из окна аномалии. Предустановленные точечные подавления в рамках нестандартно выглядящих общих заголовков. Возможность работы с подавлениями в режиме мониторинга | Имеется собственная команда детекта, система настраивается под клиента | Профилирование | Применение ML, возможность в 1 клик экспортировать ложноположительные срабатывания | Граф связей и переходов, нейросетевой анализ входящего трафика, настройка правил |
| Упрощённое ("быстрое") подавление ложных срабатываний оператором | Да (с автозаполнением) |
Да | Да (в одно нажатие) |
Да | Да | Да |
| Возможность тонкой настройки подавления ложных срабатываний | Да (по любой части запроса) |
Да | Да | Да | Да | Да |
| Меры по минимизации потерь легитимного трафика | Контейнерная архитектура позволяет автоматически поднимать дополнительные поды (контейнеры) для обработки всплесков запросов, высвобождать их, перераспределять ресурсы между изолированными пространствами (тенантами). Предусмотрен "канареечный" запуск подов, Graceful HTTP Shutdown. В систему можно добавить дополнительные серверы обработки трафика без влияния на трафик, а потом при необходимости удалить. Встроенные механизмы защиты предоставляют выбор, что делать, если ресурсов не хватает (заблокировать / пропустить без проверки) | Поддержка кластеризации и отказоустойчивости. Возможность настройки default decision для транзакций, которые долго анализируются. Возможность создания white list по любым параметрам запроса | Интеграция в существующие балансировщики, отсутствие деградации трафика | Профилирование ресурса (устранение ложноположительных срабатываний на этапе внедрения) | Тонкая настройка пассивного режима (режим мониторинга) | Режим «тревога» без блокировки, анализ поведения, адаптивные пороги |
Режимы работы
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Сниффер | Да (с помощью агента; вендор отмечает, что считает этот режим недостаточно эффективным и утратившим актуальность) |
Да | Да (через зеркалирование L7-трафика) |
Да | Да | Нет |
| Мост | Нет | Нет | Нет | Нет | Нет | Да |
| Прозрачный прокси | Нет | Нет | Да | Да | Да | Да |
| Обратный прокси | Да | Да | Да | Да | Да | Да |
| Ретроспективный анализ логов / трафика (автономный режим / режим мониторинга) | Да | Нет | Да | Да | Да | Да (частично) |
Технологии, стандарты, протоколы
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Терминация SSL | Да (настраивается из GUI) |
Да | Да | Да | Да (средствами веб-сервера с WAF) |
Да |
| Пассивное расшифрование SSL | Нет | Нет | Нет | Да | Да (средствами веб-сервера с WAF) |
Нет |
| Поддержка сессий, установленных на собственных SSL-сертификатах заказчика | Да | Да | Да | Да | Да (средствами веб-сервера с WAF) |
Да |
| Аппаратное ускорение обработки SSL | Да | Да (если оборудование поддерживает) |
Да (на стороне nginx) |
Нет | Да (средствами веб-сервера (+OpenSSL) с WAF) |
Да |
| Поддержка ГОСТ TLS | Да (настраивается из GUI, ГОСТ + RSA на одном порту) |
Да | Да | Да | Да | Нет (будет реализована в следующей сертифицированной версии) |
| Поддержка HTML5 | Да | Да | Да | Да | Да | Да |
| Поддержка WebSocket | Да (с инспекцией содержимого и возможностью писать исключения) |
Да | Да | Да | Да | Да |
| Поддержка gRPC | Да | Да | Да | Да | Да | Нет |
| Поддержка SOAP | Да | Да | Да | Да | Да | Да (через XML-схемы, WSDL) |
| Поддержка XML | Да | Да | Да | Да | Да | Да |
| Проверка данных в запросах и ответах на соответствие XML Schema | Да | Да | Нет (в дорожной карте на 2026 г.) |
Да | Нет | Да |
| Поддержка JSON | Да (рекурсивное декодирование, правила для JSON path, исключения для JSON-сущностей) |
Да | Да | Да | Да | Да |
| Проверка данных в запросах и ответах на соответствие JSON Schema | Да (лимиты, валидация) |
Да | Да | Да | Да | Нет (только верификация формата) |
| Поддержка разбора JSON Web Token (JWT) с проверкой его валидности | Да | Да | Да | Да | Да | Нет |
| Поддержка REST | Да | Да | Да | Да | Да | Да |
| Поддержка GraphQL | Да (обнаружение атак на GraphQL) |
Да | Да | Да | Да | Нет |
| Поддержка BASE64 | Да | Да | Да | Да | Да | Да |
| Поддержка GZIP | Да (обнаружение атак, закодированных в GZIP в содержимом запроса, рекурсивное декодирование) |
Да | Да | Да | Да (средствами веб-сервера с WAF) |
Да |
| Поддержка Zstandard | Да | Да | Нет | Да | Да (средствами веб-сервера с WAF) |
Нет |
| Поддержка Brotli | Да | Да | Да | Да | Да (средствами веб-сервера с WAF) |
Да |
| Поддержка Protocol Buffers | Да | Да | Да | Да | Да | Нет |
Интеграция
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Межсетевые экраны нового поколения (NGFW) | Да | Да | Да | Да | Да (через REST API) |
Нет |
| Системы управления событиями (SIEM) | Да | Да | Да | Да | Да (через REST API, Syslog) |
Да |
| Сканеры уязвимостей и анализаторы кода (SAST, DAST и пр.) | Да | Да (SolidPoint DAST) |
Да | Да (собственный сканер уязвимостей) |
Да (через REST API + входит в состав WAF) |
Нет |
| Системы контроля БД (DAM / DAF) | Да | Да (WAF может передавать информацию об IP-адресах атакующих, DAM / DAF могут использовать эту информацию для более пристального мониторинга активности с этих адресов в БД. В свою очередь, DAM / DAF могут передать WAF атрибуты для блокировки подозрительных веб-запросов) |
Да | Нет | Да (для PostgreSQL) |
Нет |
| Системы предотвращения утечек (DLP) | Да | Да | Да | Нет | Да (через REST API + входит в состав WAF (анализ ответов)) |
Нет |
| Песочницы | Да | Да | Да | Нет | Кейсов интеграции с песочницами не было | Нет |
| Антивирусы | Да | Да (имеется готовая поддержка нескольких антивирусов, в том числе ClamAV, Kaspersky Scan Engine, а также общая поддержка ICAP для интеграции с данным классом решений) |
Да | Нет | Да | Нет |
| Антифрод | Да | Да (имеется глубокая интеграция с несколькими антифрод-продуктами, направленная на быстрое принятие решений и повышение производительности, в частности Technoscore Iris, а также общие механизмы интеграции с антифрод-системами за счёт анализа cookie, заголовков, API) |
Да | Нет | Да (через REST API + входит в состав WAF) |
Нет |
| Антиботы | Да | Да | Да | Да (собственный модуль) |
Да (через REST API + входит в состав WAF) |
Да (поведенческий анализ, граф связей, ограничения по IP) |
| Защита от DDoS | Да (интеграции с облачными провайдерами и решениями on-premise) |
Да (имеется интеграция с большинством облачных сервис-провайдеров, а также с производителями решений on-premise) |
Да | Да (L7) |
Да (через REST API + входит в состав WAF) |
Да (L4 и L7) |
| Фиды киберразведки (TI) | Да | Да (Kaspersky Threat Intelligence, F6 Threat Intelligence) |
Да | Да | Да (через REST API + входит в состав WAF) |
Нет |
| Репутационные сервисы (IP, URL) | Да | Да | Да | Да | Да (через REST API + входит в состав WAF) |
Да |
| DevOps / DevSecOps | Да | Да | Да | Да | Да (через REST API) |
Нет |
| Наличие полнофункционального REST API | Да | Да | Да | Да | Да | Нет |
| Прочее | Системы BI, системы сбора и обработки событий, системы мониторинга, ITSM-системы, системы периметровой защиты | Интеграция с системами поведенческого скоринга и идентификации | Мессенджеры и платформы коммуникаций, IRP, коллекторы данных (Fluentd, Logstash) | SOAR | - | ЕЦУ (Единый центр управления Dallas Lock) Возможность удаленного доступа к АРМ, находящимся под защитой WAF Dallas Lock |
Реализация механизмов защиты
Блокировка атак
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Блокировка отдельного запроса | Да | Да | Да | Да | Да | Да |
| Возможность временной блокировки запросов от источника | Да | Да | Да | Да | Да | Да |
| Реакция при блокировке | HTTP-ответ, сброс соединения (RST), подставить CAPTCHA, дать вердикт от Sandbox, передать на вышестоящее оборудование IP-адрес на блокировку (через интеграцию) | Блокировать, записать значение источника в список (для автоматического создания репутационных списков), кастомный шаблон ответа, JS-валидация, CAPTCHA, уведомление о срабатывании по Email / Syslog, возможность подключения дополнительных правил к транзакции на основе произвольного источника | Отметка о брутфорсе / принудительном просмотре ресурсов (forced browsing), отметка об атаке типа BOLA, регистрация уязвимости (cookie и JWT), добавление IP-адреса в черный / серый список, отправка уведомления в SIEM‑систему, на Webhook URL, в мессенджер, настроенные в интеграциях | Сброс соединения | Блокировка, фиксирование атаки без блокировки | Блокировка (block), отклонение (reject), тревога (alert), пропуск (pass) |
| Информирование пользователя с указанием уникального идентификатора запроса в случае блокировки | Да | Да | Да | Да | Да | Да |
| Поддержка настройки формата (HTML, JSON и др.) и кода HTTP-ответа, возвращаемого клиенту при блокировке | Да (настраивается из GUI) |
Да | Да | Да | Да | Да |
| Реализация блокирующего правила через перенаправления на JS-валидацию | Да | Да | Да | Да | Да (JS-валидация (режим "Антибот") используется как отдельный (и опциональный) этап проверки) |
Нет |
| Реализация блокирующего правила через перенаправления на CAPTCHA | Да (Yandex, Google, hCaptcha) |
Да | Да | Да | Да | Нет |
Сигнатурный анализ
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Функциональность анализа по сигнатурам | Да (часть правил можно считать сигнатурными) |
Да | Да (при этом подход к обнаружению вредоносного трафика основан на методе, отличном от классического сигнатурного) |
Да | Да (как первичный "легкий" анализ, основным анализатором является ML) |
Да |
| Текущее количество сигнатур | Основной подход к обнаружению вредоносного трафика не использует сигнатуры | Около 2 500 (форматы ModSec и Lib-injection) | Основной подход к обнаружению вредоносного трафика не использует сигнатуры | 510 | >2500 | >25000 |
| Частота обновления баз | С релизом, внепланово под трендовые уязвимости | При обновлении версии WAF раз в квартал, а также в случае экстренной необходимости (например, Log4j). Автоматическое обновление сигнатур — в дорожной карте | Основной подход к обнаружению вредоносного трафика не использует сигнатуры | Ежедневно | По мере выпуска новых сигнатур | Еженедельно |
| Предустановленные сигнатуры для популярных приложений (например, CMS) | Да (Bitrix, Exchange / OWA и еще 8 шт.) |
Да | Основной подход к обнаружению вредоносного трафика не использует сигнатуры | Да | Да | Да (в будущей сертифицированной версии WAF на основе результатов работы сканера будут автоматически подбираться нужные пресеты сигнатур для конкретного защищаемого ресурса) |
| Возможность офлайн-обновления | Да | Да | Да | Да | Да | Да |
| Наличие исследовательского центра, поставляющего сигнатуры | Да (PT ESC) |
Да | Да | Да | Сигнатуры разрабатываются силами вендора, в том числе за счет сбора информации об уязвимостях и способах обхода различных WAF из специализированных источников | Да (внутренний центр ООО «Конфидент») |
| Возможность создавать исключения из сигнатурного анализа | Да | Да | Да | Да | Да | Да |
| Поддержка гибкого точечного подавления отдельных срабатываний сигнатуры без её полного отключения | Да | Да | Да | Да | Да | Да |
Репутационный анализ
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Наличие собственных репутационных баз (IP, URL) | Да | Нет | Да | Да | Да | Да |
| Фильтр по странам (GeoIP) | Да (база ГРЧЦ) |
Да | Да | Да | Да | Да |
| Чёрный и белый список IP-адресов | Да | Да (возможность сформировать как вручную, так и в автоматическом режиме) |
Да | Да | Да | Да |
| Категоризация вредоносных хостов по типу активности (типу атаки) | Да | Нет | Да | Нет | Да | Нет |
Поведенческий анализ
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Обнаружение и защита от ранее неизвестных атак (0-day) | Да | Да | Да | Да | Да | Да |
| Обнаружение и блокировка аномальной / подозрительной активности пользователей | Да | Да | Да | Да | Да | Да |
| Обнаружение ботов на основе значений полей запроса (например, поля User Agent или других полей запроса) | Да | Да | Да | Да | Да | Да |
| Обнаружение ботов на основе последовательности переходов по ресурсам веб-приложения | Да | Да | Нет | Да | Да | Да (граф связей) |
| Обнаружение ботов с помощью внедряемого JavaScript-кода (включая обнаружение использования инструментов автоматизации) | Да | Да | Да | Да | Да | Нет |
| Детектирование бот-активности по аномальному превышению медианного времени задержки ответа веб-приложения по сравнению с историческими данными | Да | Да | Нет (в дорожной карте на 2026 г.) |
Да | Вендор использует другие метрики, от использования этой метрики отказались | Нет |
| Возможность настройки верификации ботов с помощью обратного DNS-запроса | Нет (вендор отмечает, что считает этот механизм неэффективным) |
Да | Да | Нет | Да | Нет |
| Возможность индивидуальной настройки параметров противодействия переборным атакам для отдельных логических действий в приложении | Да | Да | Да | Да | Да | Да |
| Возможность блокировки явных переборов любых параметров запроса | Да | Да | Да | Да | Да | Да |
| Обнаружение признаков фрода с помощью функций поведенческого анализа | Да (агрегация событий) |
Да (цепочки действий, обнаружение перебора по сессионным идентификаторам, бот-детектор, сигнатуры на поиск ботов и краулеров) |
Нет | Нет | Да | Нет |
Машинное обучение
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Интерпретируемый и редактируемый майнинг порогов детектора переборных атак с помощью ML | Да | Да | Нет | Да | Да | Да |
| Автоматическая настройка порогов срабатывания модуля противодействия переборным атакам и медленным ботам, анализирующего частоту запросов на конкретный URL или к конкретной функции веб-приложения | Да | Да | Нет (в дорожной карте на 2026 г.) |
Да | Да | Нет |
| Автоматическое определение и описание статического контента на основе анализа статистики запросов к защищаемым приложениям | Да (определение статического контента; вендор отмечает, что применяется другая логика, статический контент не проверяется, функциональность настраивается в GUI) |
Да | Нет (исключение статики из анализа WAF реализуется на стороне веб-сервера) |
Нет | Да | Нет |
| Автоматическое построение модели маршрутизации запросов для веб-приложения | Нет (загрузка схемы OpenAPI) |
Да | Да | Да | Нет | Да |
| Полная интерпретируемость и корректируемость результатов машинного обучения | Да | Да | Да | Да | Да | Нет |
| Возможность инкрементного обучения (только для изменений, произошедших с момента предыдущего обучения) | Да (вендор отмечает, что модели предобучены, такой подход рассматривается как более эффективный, т. к. обучение и переобучение моделей требует больших эксплуатационных расходов) |
Да | Да | Да | Да | Нет |
| Поддержка автоматизированного динамического профилирования веб-приложений | Да | Да | Да | Да | Да | Реализована и будет доступна в следующей сертифицированной версии |
| Адаптация WAF к изменяемому приложению | Да (гибридная модель позволяет подстраиваться под изменения приложения; ML-модели, используемые в защите, предобучены и не требуют переобучения, только изменения чувствительности) |
Да (на основе автоматических задач; вручную; возможность загрузки спецификации OpenAPI) |
Да (принцип работы по негативной модели подразумевает постоянную адаптацию) |
Да | Да (за счет экспорта ложноположительных срабатываний и дообучения) |
Да |
| Нейросетевой анализ трафика | Своя реализация детектирования аномалий, анализ загружаемых файлов на WebShell | Не используется (в дорожной карте на ближайшую перспективу) |
Не используется (в дорожной карте на 2026 г.) |
Не используется | Используется классический алгоритм машинного обучения Random Forest | Механизм нейронной сети выявляет отклонения от эталонного поведения, заданного настройками и сигнатурами WAF. Нейросеть фиксирует аномалии, которые могут указывать на ложноположительные или ложноотрицательные срабатывания сигнатур, с последующей регистрацией соответствующих событий в журнале аудита WAF |
Позитивная модель безопасности
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Функциональность создания и использования позитивной модели безопасности | Да | Да | Да (для API Firewall) |
Да | Да | Да |
| Создание эталонной (позитивной) модели безопасности | Да | Да (на основе автоматических задач; вручную; возможность загрузки спецификации OpenAPI) |
Да (для API Firewall) |
Да | Да (средствами ML путем накопления незаблокированных запросов в период обучения, прикладывая к обучению негативную модель) |
Да |
| Автоматическое переключение созданной эталонной (позитивной) модели безопасности в режим блокировки | Нет (сознательная позиция) |
Нет (сознательная позиция для снижения риска ложных срабатываний) |
Нет | Нет | Да | Нет |
| Ручной интерфейс управления эталонной (позитивной) моделью безопасности | Да | Да | Да (для API Firewall) |
Да | Да (дообучение через экспорт ложноположительных срабатываний) |
Да |
| Позитивные модели определения и фильтрации статического контента | Да | Да | Нет | Нет | Автоматическое (полуавтоматическое) определение статического контента без участия модели | Да |
| Позитивные модели валидации протокола HTTP, включая контроль заголовков, cookie и др. | Да | Да | Нет | Да | Да | Да |
| Рекурсивные модели синтаксического анализа запросов и ответов с поддержкой различных видов сжатия, кодирования и способов передачи данных с произвольным уровнем вложенности | Да (настраиваются глубина рекурсии и определяемые форматы base64, JSON, XML, GraphQ, GZIP, ASCII-Hex, URL-encode, сущности HTML. Каждая часть HTTP-запроса декодируется своим настраиваемым набором, в том числе ответы и WebSocket) |
Да | Да | Нет | Да | Нет |
| Модели источников – определение характеристик источника на основе параметров запроса | Да | Да | Нет | Нет | Да | Нет |
| Модели определения логических действий (бизнес-действий) в приложении, параметров логических действий и их значений | Нет (можно описать бизнес-логику для критически важных Endpoint API) |
Да | Нет | Нет | Нет (бизнес-логика не анализируется) |
Нет |
| Модели определения последовательностей бизнес-действий, проверки успешности действий | Нет (можно описать бизнес-логику для критически важных Endpoint API) |
Да | Нет | Нет | Нет (бизнес-логика не анализируется) |
Нет |
| Модели идентификации, аутентификации и контроля сессий в приложении | Да | Да | Да (для API Firewall) |
Нет | Нет (бизнес-логика не анализируется) |
Да |
| Модели защиты от переборных атак и атак типа «умный DoS» на уровне отдельных логических действий и произвольных параметров действия | Да | Да | Да | Нет | Нет (бизнес-логика не анализируется) |
Да |
Корреляция
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Наличие возможности корреляции доступных методов обнаружения между собой (сигнатурный анализ, правило корреляции, репутационный анализ, поведенческий анализ, отклонение от профиля и т. д.) | Да (в пользовательских правилах) |
Да (возможность корреляции различных модулей WAF в одном правиле) |
Да | Нет | Неприменимо (другая концепция) |
Нет |
| Наличие предустановленных правил корреляции для детектирования атак | Да | Да | Да | Нет | Неприменимо (другая концепция) |
Нет |
| Возможность создания собственных правил корреляции | Да | Да | Да | Нет | Неприменимо (другая концепция) |
Нет |
Локальная (on-premise) защита от ботов и DDoS-атак
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Функциональность защиты от вредоносных ботов | Да | Да | Да | Да | Да | Да |
| Выявление паразитного трафика | Да | Да | Да | Да | Да | Да |
| Возможность блокировки периодических однотипных запросов от одного источника | Да | Да | Да | Да | Нет (если IP-адреса источника меняются) |
Да |
| CAPTCHA | Да (Yandex, Google, hCaptcha) |
Да | Да | Да | Да | Нет |
| Функциональность защиты от DDoS | Да | Да | Да | Да | Да | Да |
| Принципы определения L7 DDoS-атаки | С помощью ML-модели | Детектор переборных атак, поведенческий анализ, сигнатурные механизмы, валидация протокола, последовательность действий, детектирование перебора конкретного параметра, JS-валидация | Не раскрываются (коммерческая тайна) | Балльная система, rate limiting | Geo, Privacy, TI, поведенческий анализ | Flood-атаки (HTTP-flood, scanning) Превышение лимитов запросов / ошибок |
| Принципы реагирования на L7 DDoS-атаки | Блокировка, CAPTCHA, сброс соединения, Rate Limit, передача фида на периметровое оборудование | Блокировать, блокировка на уровне Nginx (LRB-кеш), записать значение источника в список (для автоматического создания репутационных списков), кастомный шаблон ответа, JS-валидация, CAPTCHA, уведомление о срабатывании по Email / Syslog, возможность подключения дополнительных правил к транзакции на основе произвольного источника | Не раскрываются (коммерческая тайна) | Блокировка, CAPTCHA | Блокировка, фиксирование атаки без блокировки, фиксирование возможной атаки без блокировки | Ограничение числа запросов, переход в усиленный режим защиты, блокировка IP-адреса |
| Возможность ограничения количества запросов, направляемых приложению в единицу времени | Да | Да | Да | Да | Да | Да |
API Firewall
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Функциональность API Firewall | Да | Да | Да | Да | Да | Да (частично: защита SOAP, XML-RPC) |
| Аутентификация и авторизация запросов к API | Да | Да | Да | Да (частично) |
Да | Да |
| Контроль частоты запросов к API | Да | Да | Да | Да | Да | Да |
| Проверка входящих данных на наличие вредоносных инъекций | Да | Да | Да | Да | Да | Да |
| Мониторинг и аудит активности API | Да | Да | Да | Да (частично) |
Да | Да |
XML Firewall
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Построение позитивной модели безопасности для контента XML-документа | Да (своя реализация в правиле "Превышение ограничения для XML") |
Да | Нет (в дорожной карте на 2026 г.) |
Нет | Нет | Да |
| Валидация XML-документа по схемам XSD / WSDL | Нет (вендор отмечает, что функциональность использовалась ранее, но не показала достаточной эффективности) |
Частично (XSD-схемы есть, WSDL — в дорожной карте) |
Нет (в дорожной карте на 2026 г.) |
Нет | Нет | Да |
| Защита от атаки XXE | Да | Да | Да | Да | Да | Да |
| Защита от атаки XML Bomb | Да | Да | Да | Да | Нет | Да |
| Защита от атаки XPath Injection | Да | Да | Да | Да | Да | Да |
Предотвращение эксплуатации уязвимостей
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Виртуальный патчинг уязвимостей | Да | Да | Да | Да | Да | Нет |
| Обнаружение и блокировка точек ввода данных (Data Entry Points) | Да | Да (при интеграции с DAST) |
Да | Нет | Да | Да |
| Функциональность сканера уязвимостей | Да | Да (при интеграции с DAST) |
Да | Да | Да | Нет |
| Возможность автоматического обнаружения уязвимостей в веб-приложениях | Да | Да (при интеграции с DAST) |
Да | Да | Да | Нет |
Защита от веб-угроз из OWASP Top 10
Broken Access Control
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Защита от Path Traversal (Directory Traversal) | Да | Да | Да | Да | Да | Да |
| Защита от Cross-Site Request Forgery | Да | Да | Да | Нет | Да | Да |
| Защита от Open Redirect | Да | Да | Да | Да | Да | Да |
| Защита от Direct Request (Forced Browsing) | Да | Да | Да | Нет | Да | Да |
Injection
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Защита от XSS | Да | Да | Да | Да | Да | Да |
| Защита от SSI | Да | Да | Да | Да | Да | Да |
| Защита от HTTP Response Splitting | Да | Да | Да | Нет | Да | Да |
| Защита от SQL-инъекций | Да | Да | Да | Да | Да | Да |
| Защита от OS Command-инъекций | Да | Да | Да | Да | Да | Да |
| Защита от удалённого исполнения кода | Да | Да | Да | Да | Да | Да |
Insecure Design
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Защита от изменения скрытых параметров формы (CWE-472) | Да | Нет | Нет | Нет | Нет | Да |
| Защита от устойчивых Cookie с конфиденциальной информацией (CWE-539) | Да | Нет | Нет | Нет | Нет | Да |
| Защита от использования метода GET с конфиденциальным содержимым запросов (CWE-598) | Да | Да | Нет | Нет | Нет | Да |
| Защита от Clickjacking | Да | Да (через принудительное автоматическое добавление HTTP-заголовков безопасности к ответам веб-приложения) |
Да | Нет | Нет | Да |
Identification and Authentication Failures
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Подпись Cookies | Нет | Нет (в дорожной карте) |
Нет | Нет | Нет | Нет |
| Шифрование Cookies | Да | Нет | Нет | Нет | Нет | Нет |
| Защита от фиксации сессии (CWE-384) | Да | Да | Нет | Нет | Нет | Да |
| Защита от переиспользования реквизитов сессии (CWE-613) | Да | Да | Нет | Нет | Нет | Да |
| Защита небезопасных прямых ссылок (Insecure Direct Object References) | Да | Да | Да | Нет | Да | Да |
| Защита от слабых паролей | Да | Да | Нет | Нет | Нет | Да |
| Обнаружение и защита от атак полного перебора на учетные данные пользователей (Brute Force Login) | Да | Да | Да | Да | Да | Да |
| Разграничение доступа к ресурсам на основе имени пользователя | Да | Да | Нет | Нет | Нет | Да |
| Определение смены геолокации или IP-адреса у сессии | Да | Да | Нет | Нет | Нет | Да |
Специализированные механизмы защиты
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Защита от атак на небезопасные настройки веб-приложения (CWE-1349) | Да | Да | Да | Да | Да | Да |
| Защита от Server-Side Request Forgery | Да | Да | Да | Да | Да | Да |
| Защита от веб-функций из недоверенного источника (CWE-830) | Да | Нет | Да | Да | Да | Да |
| Защита от Local File Inclusion | Да | Да | Да | Да | Да | Да |
| Защита от Web Shells | Да (правило + движок на основе ML + возможность отправки файла по ICAP) |
Да | Да | Да | Да | Да |
| Защита от утечек информации (Web Scraping и пр.) | Да | Да | Да | Да | Да | Да |
| Защита от атак на пользователей приложения (контроль поведения пользователей) | Да | Да (не только контроль поведения пользователей, но и контроль логических действий) |
Нет | Да | Да | Да |
| Защита от атак на бизнес-логику приложения | Да | Да | Да | Нет | Нет | Да |
| Функциональность наложенного шифрования для защиты веб-приложений, работающих по открытому протоколу передачи данных (HTTP) | Да | Да | Да | Нет | Да (средствами веб-сервера с WAF) |
Нет |
| Проверка HTTP-транзакций на соответствие RFC и лучшим практикам контроля (ограничение разрешенных методов, контент-типов, строк запроса, заголовков, ограничение их длин, количества) | Да (системные правила, осуществляющие проверку помимо валидации запросов прокси-сервером Nginx или Envoy) |
Да | Да | Да | Да | Да |
Эксплуатация и обслуживание
Общее
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Наличие возможности создания правил обнаружения запросов и ответов на основе задаваемого набора критериев (например: метод, URL, значение параметра, заголовок) и регулярных выражений | Да | Да | Да | Да | Да | Нет |
| Наличие возможности направления предварительно заданного ответа при срабатывании правила | Да (настраивается из GUI, для каждой политики / каждого правила можно задать свой ответ) |
Да | Да | Да | Да | Нет |
| Ролевая модель | Да (в каждом изолированном пространстве можно создать свои роли и пользователей) |
Да | Да | Да | Да (администратор, пользователь) |
Да |
| Возможность назначать пользователям права в рамках ролевой модели на основе LDAP-фильтров | Да | Да | Да (через сторонние IDP) |
Да | Нет (ожидается вскоре) |
Нет |
| Версионность конфигурационных настроек системы | Да | Да | Да | Нет | Да | Да (резервное копирование) |
| Поддержка двухфакторной аутентификации | Да | Да | Да | Да | Да | Нет |
| Поддержка технологии единого входа (Single Sign-on, SSO) | Да | Да | Да | Нет | Нет (запланировано) |
Нет |
| Настраиваемые требования к паролю | Да (минимальная / максимальная длина пароля, время жизни пароля, обязательные символы в пароле, время жизни неактивной учётной записи, количество паролей в истории, предупреждение об истечении пароля, политика временной блокировки, количество неуспешных попыток входа, время блокировки учётной записи, пауза перед ответом на каждый неправильный пароль, блокировка учётной записи, если пароль не был изменён за указанное время, блокировка учётной записи после заданного количества неуспешных попыток входа, время жизни сессии) |
Да (минимальная длина пароля; необходимость использования цифр, специальных символов, строчных и заглавных букв; время жизни пароля) |
Нет (в дорожной карте на 2026 г.) |
Да | Нет (заложена политика по умолчанию) |
Нет |
Политика безопасности
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Блокирование опционально для каждого правила политики безопасности | Да | Да | Да | Да | Да | Нет |
| Доступность шаблонов политик безопасности для распространенных веб-приложений | Да | Да | Да | Да | Неприменимо (акцент защиты смещен от сигнатурного анализа к ML, где модель (профиль) создается автоматически на основе трафика) |
Да |
| Наличие возможности применения нескольких политик безопасности для приложения | Да | Да (разные политики для разных частей одного приложения) |
Да | Да | Неприменимо (акцент защиты смещен от сигнатурного анализа к ML, где модель (профиль) создается автоматически на основе трафика) |
Да |
| Наличие мастера по настройке политики безопасности (первичная настройка и оптимизация) | Да | Да (автоматические задачи) |
Да | Нет | Неприменимо (акцент защиты смещен от сигнатурного анализа к ML, где модель (профиль) создается автоматически на основе трафика) |
Нет |
| Отложенное применение настроек | Нет | Нет | Нет | Нет | Да | Да |
| Применение изменений в профилях защиты без нарушения доступности защищаемых приложений и без разрыва активных пользовательских сессий | Да (применение изменений на части подов обработки, Rolling Update - для значимых изменений, без влияния на правила и политики, Graceful HTTP Shutdown для чувствительных клиентов) |
Да | Да | Да | Да | Да |
| Наличие возможности создания исключений для правил политики безопасности | Да | Да | Да | Да | Да | Да |
| Автоформирование и внедрение политики безопасности контента (Content Security Policy) | Нет | Нет (в дорожной карте) |
Нет | Нет | Нет (запланировано) |
Нет |
Журнал событий
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Хранение событий для каждого правила политики безопасности (возможность найти событие по правилу и наоборот) | Да | Да (настройка режима пометки для отдельных правил) |
Да | Да | Да | Да |
| Зафиксированные события содержат запрос в полном объеме (целиком) | Да | Да | Да | Да | Да | Да |
| Зафиксированные события содержат ответ на запрос | Да | Да | Нет | Нет | Да | Нет |
| Зафиксированные события содержат описание сработавшего правила политики безопасности | Да | Да | Да | Да | Да | Да |
| Маскирование конфиденциальных данных в фиксируемом событии | Да | Да | Да | Нет | Да | Да |
| Наличие возможности экспорта и импорта журнала событий безопасности в полном объеме | Да | Да (есть экспорт журнала событий безопасности через API / Syslog / MONQ, выгрузка в CSV, импорт на уровне БД) |
Да | Да | Да | Да |
| Поддержка гибкой настройки шаблонов экспорта для каждого веб-приложения отдельно | Да | Да | Да | Да | Да (через REST API) |
Нет |
| Хранение легитимных транзакций | Да | Да | Нет | Нет | Да | Нет |
| Настройка глубины хранения по типам данных и по приложениям | Да (по типам данных) |
Да | Нет | Нет | Да | Нет |
| Возможность настройки выгрузки данных по отдельным заданным логическим действиям | Да | Да | Да | Нет | Да | Да |
| Ограничения на хранение событий | По типу события, по времени хранения, по % занимаемого места на диске | Возможность задать различные пороги хранения (пропущенных, заблокированных, попавших под действия транзакций) в разрезе приложений | В зависимости от лицензии | По объему диска и времени | По объему диска | По объему диска и времени |
Оперативный мониторинг
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Наличие гибкой фильтрации записей журнала безопасности по заданным критериям | Да | Да | Да | Да | Да | Да |
| Возможность ручной агрегации записей журнала безопасности по типу атаки, имени параметра, URL, IP-адресу | Да | Да | Да | Да | Да | Да |
| Автоматическая агрегация событий с интенсивным характером (сканирования, брутфорс, спам, краулинг) | Да | Да | Да | Нет | Да | Да |
| Подтверждение (верификация) атаки с использованием встроенного динамического сканера уязвимостей | Нет (вендор отмечает, что считает этот подход неэффективным; используются внешние сканеры и интеграции с ними) |
Нет (есть интеграция с собственным внешним сканером SolidPoint DAST) |
Да | Нет | Да | Нет |
| Подтверждение (верификация) атаки на основе поиска следов компрометации в HTTP-транзакции | Да | Да | Да | Нет | Да | Нет |
| Наличие возможности настройки отчетности для получения сводной информации по событиям | Да | Да | Да | Да | Да | Да |
| Наличие интерфейса с информацией о сетевой загрузке WAF | Да | Да (в интеграции с Zabbix / Prometheus) |
Да (через сторонние системы мониторинга) |
Да (через Prometheus) |
Нет (в разработке) |
Да |
| Наличие интерфейса с информацией о загрузке вычислительных и дисковых ресурсов WAF | Да | Да (в интеграции с Zabbix / Prometheus) |
Да (через сторонние системы мониторинга) |
Да (через Prometheus) |
Да | Да |
| ИИ-аналитика для нужд оперативного мониторинга (поддержка принятия решений, сводки для оператора и т. п.) | Нет | Да (возможность автоматического создания репутационных списков как вариант реакции в разрезе правил; возможность создания сложной структуры правил, которые способны выявлять закономерности в трафике и принимать по ним соответствующие решения: например, формировать репутационные списки, которые могут автоматически пополняться, автоматически опустошаться и легко масштабироваться) |
Нет (в дорожной карте на 2026 г.) |
Нет | ML и встроенная функциональность аналитики выявляет возможные атаки, позволяя оператору составить правило блокирования подобных атак | Нет |
Уведомления
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| По электронной почте | Да | Да | Да | Да | Да | Да |
| Syslog | Да | Да | Да | Да | Да | Да |
| SNMP | Нет | Нет | Да | Нет | Нет (в разработке) |
Нет |
| MONQ | Нет | Да | Нет | Нет | Нет | Нет |
| Мессенджеры | Да | Да (отправка через API) |
Да (Telegram, Mattermost) |
Да | Нет | Нет |
| Возможность включения детальной информации о транзакциях для последующей интеграции с системой мониторинга и анализа безопасности | Да | Да | Да | Да | Да | Нет |
Лицензирование и техническая поддержка
| Параметр сравнения / Продукт | Positive Technologies Application Firewall |
SolidWall WAF | Вебмониторэкс ПроWAF | Гарда WAF | Немезида ВАФ | WAF Dallas Lock |
| Виды лицензий | Срочная, бессрочная | На 1 год, бессрочная | На 1 месяц, на 1 год, на 2 года, на 5 лет и бессрочная | На 1-5 лет, бессрочная | Срочная, от 1 года | Срочная |
| Объекты лицензирования (что оплачивается) | RPS и входящий трафик (Мбит/с), кластерная лицензия, базовые узлы | RPS (только легитимный трафик) | RPM (суммарное количество запросов за месяц) | Количество RPS после обработки WAF, использование ML и сканера уязвимостей | А) тарифный план (функц. возможности WAF) Б) количество фильтрующих нод В) количество поведенческих моделей для более точного анализа |
Право на использование Шлюза безопасности WAF Dallas Lock |
| Наличие некоммерческой версии | Да (демоверсия для ознакомления) |
Да (для пилотных проектов) |
Нет | Да (по запросу) |
Да | Нет (доступна демо-версия) |
| Режим работы технической поддержки | Расширенная: 24x7 Основная: 8x5 |
24x7 | 24x7 | 24x7, 9x5 | Бизнес-часы от вендора, 24х7 от партнеров | Расширенная: 24x7 Основная: 8x5 |
| Каналы технической поддержки | Портал технической поддержки, электронная почта, телефон, выделенный сервис-менеджер, большое комьюнити в Telegram | Электронная почта, телефон, сервис-деск | Электронная почта, мессенджеры | Электронная почта, телефон, Telegram | Электронная почта, телефон | Электронная почта, телефон |
| Языки технической поддержки | Русский, английский | Русский | Русский | Русский | Русский | Русский |
| Расширенная поддержка | Да | Да | Да (выделенный чат) |
Да | Да (от партнеров, включая полное сопровождение WAF) |
Да (в рамках договора) |
| Учебные курсы | Да (основы защиты веб-приложений, архитектура сетевой безопасности предприятия) |
Да (портал обучения, есть курс для администраторов и курс для аналитиков) |
Да (по WAF и API, для пользователей и администраторов) |
Да (2 программы обучения операторов WAF - расширенная и сокращенная) |
Да (WebSecOps + бесплатные онлайн-встречи по тонкой настройке WAF для партнеров) |
Нет |
Выводы
Российские разработчики ведут активную и деятельную работу, стремясь удовлетворить потребность отечественных компаний и организаций в надёжных, широкофункциональных, удобных инструментах, будь то программные или аппаратные решения. Это касается и рынка ИТ, и рынка ИБ в равной мере
Сегмент файрволов веб-приложений не является исключением: мы наблюдаем здесь конкурентную борьбу, в рамках которой каждый из вендоров трудится над достижением функционального паритета с коллегами, но в то же время привлекает внимание потенциальных заказчиков теми или иными особенностями, которых нет у других.
В рамках сравнений Anti-Malware.ru не стремится каким-либо образом ранжировать рассматриваемые продукты и решения. В данном случае наши аналитики не высказывают своего экспертного мнения, так как видят свою задачу в другом: предоставить эксплуатантам и заказчикам как можно больше информации, которая могла бы быть им полезна при принятии решений. Окончательный выбор каждая организация в конечном счёте делает сама, исходя из своих уникальных особенностей и характеристик.
