Обзор Гарда WAF 3.0, межсетевого экрана для защиты веб-приложений и API

1. Введение
2. Функциональные возможности «Гарда WAF 3.0»
3. Архитектура «Гарда WAF 3.0»
   1. 3.1. Варианты интеграций
4. Системные требования «Гарда WAF 3.0»
5. Работа с продуктом
   1. 5.1. Личный кабинет пользователя
   2. 5.2. Программные модули «Гарда WAF 3.0»
6. Сценарии применения «Гарда WAF 3.0»
   1. 6.1. Обеспечение доступности веб-приложений
   2. 6.2. Предотвращение потери данных
   3. 6.3. Выявление опасных для веб-ресурсов уязвимостей
7. Выводы

Введение

Стремительное развитие онлайн-услуг и цифровизация бизнеса привели к тому, что с атаками на веб-приложения сталкиваются компании любого масштаба — от топовых корпораций до небольших предприятий. Согласно исследованию группы компаний «Гарда» за 2024 год, 78 % российских организаций подвергались DDoS-атакам, причём атак на L7 сейчас в 7,5 раз больше, чем классических L3–L4.

В исследовании Akamai «2024 API Security Impact Study» сказано: в 2024 году с атаками на уровне программных интерфейсов (API) столкнулись 84 % респондентов, что является рекордным показателем по сравнению с 78 % годом ранее. В 2025 году количество инцидентов по части безопасности API продолжает расти.

Эффективное противодействие таким угрозам требует более тонких алгоритмов фильтрации. Для защиты веб-приложений применяются специализированные решения класса WAF (Web Application Firewall), способные анализировать аномалии веб-трафика и блокировать сложные бот-атаки.

«Гарда WAF 3.0» — это продукт группы компаний «Гарда», созданный на основе многолетних наработок и собственной экспертизы в ИБ. Выпущенный на рынок в 2024 году межсетевой экран предназначен для защиты от киберугроз веб-приложений, API, сайтов и сервисов. Фактически предлагаемое решение относится к классу WAAP (Web Application and API Protection), что указывает на более широкие возможности его применения.

При подготовке обзора мы провели тестирование межсетевого экрана «Гарда WAF 3.0». Далее подробно рассмотрим его архитектуру и ключевые компоненты, а также функциональные возможности и практические задачи, которые помогает решать этот продукт.

Недавно мы также разбирали, почему Гарда WAF — на самом деле не WAF. За фасадом межсетевого экрана уровня веб-приложений скрывается функциональная начинка, отвечающая концепции «защита веб-приложений и программных интерфейсов» (WAAP).

Функциональные возможности «Гарда WAF 3.0»

Система «Гарда WAF 3.0» способна детектировать широкий спектр угроз, включая целевые атаки на веб-ресурсы, аномальную активность пользователей, бот-трафик, DDoS-атаки на уровне приложений (L7).

Система отслеживает трафик, выявляя такие угрозы, как парсинг контента, скрапинг (процесс автоматического извлечения информации с веб-сайтов при помощи программ), брутфорс (перебор учётных данных для доступа), взлом административных учётных записей. Она блокирует вредоносные запросы без снижения производительности, а также позволяет управлять действиями пользователей, определяя аномалии в их поведении и защищая от обхода правил безопасности.

Рисунок 1. Система класса WAAP обеспечивает всестороннюю защиту веб-ресурсов

Основные задачи, которые помогает решить «Гарда WAF 3.0»:

• Защита от веб-угроз. Главное назначение продукта — поддерживать доступность веб-ресурсов, выступая защитным барьером от бот-активности и DDoS-атак уровня L7, а также защищать API от угроз из топа OWASP (Open Web Application Security Project, сообщество по обеспечению безопасности веб-приложений). 
• Защита от утечек информации. Продукт помогает минимизировать риски утечки и компрометации конфиденциальных данных (коммерческой тайны, персональных данных, финансовой информации), а также противодействует парсингу контента.
• Выявление уязвимостей. Встроенный сканер уязвимостей определяет уязвимости и аномалии, опасные для веб-ресурсов. Он блокирует попытки выполнения вредоносного кода, защищая сайты от SQL-инъекций, кросс-сайтового скриптинга (XSS) и других уязвимостей.
• Детектирование угроз «нулевого дня». Технологии машинного обучения помогают обнаруживать новейшие виды атак и аномалии в поведении пользователей.
• Соответствие требованиям регуляторов. Внедрение продукта помогает компаниям выполнять положения 152-ФЗ, 187-ФЗ, приказов ФСТЭК России № 17, 21, 35, 235, 239, ГОСТ Р 57580.1-2017.

При разработке продукта вендор ставил перед собой амбициозную цель — создать российский аналог Cloudflare, поэтому «Гарда WAF 3.0» обладает более широкой функциональностью по сравнению с другими решениями на рынке.

Ключевые функции «Гарда WAF 3.0»:

• Мониторинг и фильтрация используемого трафика с возможностью блокировки подозрительных запросов и противодействия атакам.
• Идентификация и анализ потенциальных угроз, ведущих к сбоям ресурсов, замедлению работы веб-приложений, утечке данных и т. д.
• Настройка правил для предотвращения нелегитимного доступа и повреждения данных с учётом специфики веб-приложения и требуемого уровня защиты; адаптация к меняющимся угрозам.
• Защита от бот-активности, направленной на пессимизацию поисковой выдачи сайта, создание избыточной нагрузки на сервер, составление карт сайтов, выявление непубличных URI (Uniform Resource Identifier, унифицированных идентификаторов ресурса) и т. п. В качестве дополнительного контура защиты используются сервисы CAPTCHA.

Благодаря высокой эффективности обнаружения и предотвращения атак межсетевой экран «Гарда WAF 3.0» обеспечивает точную и целенаправленную защиту веб-приложений от любых видов угроз, включая специфические и ранее не детектируемые. Решение позволяет выявлять уязвимости в сложных интеграциях и защищать от неправомерного доступа к внутренним ресурсам через API.

Рисунок 2. Схема прохождения запроса в «Гарда WAF 3.0»

Архитектура «Гарда WAF 3.0»

Продукт включает три функциональных модуля:

• Web Application Firewall. Выявляет автоматизированные атаки и бот-активности. Контролирует и фильтрует трафик по заданным правилами. В связке с «Гарда TI Feeds» также доступна фильтрация запросов по спискам доступа.
• Machine Learning Anomaly Detection System (ML ADS). Обеспечивает дополнительный уровень защиты от веб-атак и аномалий, не распознанных классическими методами обнаружения. Выявляет новые типы угроз и позволяет превентивно адаптировать под них защиту веб-приложений. Модуль детектирует вредоносные активности и бот-атаки с возможностью их автоматической обработки, снижая нагрузку на отдел ИБ.
• Vulnerability Scanner. Служит для обнаружения уязвимостей в веб-приложениях с последующей подготовкой правил блокировки. Сканирует защищаемые веб-ресурсы (домен, URI, адрес, подсети) на наличие уязвимостей и может использоваться для виртуального патчинга, то есть проведения харденинга веб-приложений.

Рисунок 3. Функциональные модули «Гарда WAF 3.0»

Варианты интеграций

Пользователям доступно три варианта развёртывания «Гарда WAF 3.0»:

• On-premise (на сервере заказчика). Классическая установка в собственной инфраструктуре — для тех, кому нужно надёжное решение под полным контролем собственной службы ИБ.
• SaaS (доступ к продукту в облаке). Подойдёт тем, кому необходим оперативный доступ к защите веб-ресурсов без дополнительных вложений и трудозатрат. Развёртывание возможно в течение одного рабочего дня.
• Cloud (установка в облаке заказчика). Установка в собственном публичном или частном облаке заказчика.

Рисунок 4. Варианты поставки «Гарда WAF 3.0»

«Гарда» ориентируется на запросы рынка и предлагает различные варианты интеграции своих решений:

• Интеграция с помощью REST API.
• Интеграция с системой управления событиями (SIEM) по протоколу Syslog.
• Интеграция с помощью SNMP.
• SMTP-рассылка уведомлений об инцидентах за определённый период.
• Передача репутационных списков во внешние СЗИ в виде JSON-списка.

Такой подход позволяет клиенту сформировать оптимальный набор правил и функций, соответствующий конкретным задачам и потребностям бизнеса.

Системные требования «Гарда WAF 3.0»

«Гарда WAF 3.0» работает на серверах под управлением ОС Debian 12 и Astra Linux 1.8. Продукт разворачивается на платформах с процессорной архитектурой x86. Низкие аппаратные требования решения упрощают его внедрение на мощностях клиента.

Минимальные характеристики сервера для установки «Гарда WAF 3.0» приведены ниже.

Рисунок 5. Системные требования для автономной (standalone) инсталляции до 1000 запросов в секунду

Рисунок 6. Системные требования для распределённой (distributed) инсталляции до 1000 запросов в секунду

В случае контейнерного развёртывания системы конкретные аппаратные и программные требования определяются индивидуально по итогам детального анализа инфраструктуры заказчика. Это позволяет оптимально адаптировать решение под особенности конкретной ИТ-среды.

Работа с продуктом

Способ установки межсетевого экрана зависит от варианта развёртывания. При этом вендор учитывает все потребности заказчика и может интегрировать систему с кастомными решениями. «Гарда WAF 3.0» встраивается в существующую ИТ-инфраструктуру и может использовать имеющиеся балансировщики, средства виртуализации, средства мониторинга и т. д.

Рисунок 7. «Гарда WAF 3.0» в ИТ-инфраструктуре

Личный кабинет пользователя

В личном кабинете доступны инструменты управления системой: настройка персонального профиля, конфигурирование защиты серверов кластера, мониторинг атак в реальном времени с визуализацией на графиках. Пользователь может просматривать паттерны угроз, создавать собственные правила при помощи конструктора, генерировать отчёты по безопасности, а также контролировать состояние сервисов. Опционально доступно управление сканированием и уязвимостями.

Рисунок 8. Пользовательские настройки в «Гарда WAF 3.0»

Рисунок 9. Смена первоначального пароля в «Гарда WAF 3.0»

Рисунок 10. Подключение двухфакторной аутентификации в «Гарда WAF 3.0»

Программные модули «Гарда WAF 3.0»

Меню «Гарда WAF 3.0» состоит из следующих основных разделов:

• «События».
• «Отчёты».
• «Структура».
• «ADS».
• «Конструктор правил».
• «Состояние сервисов».
• «Дополнительные возможности».
• «Сканер».

Рисунок 11. Меню «Гарда WAF 3.0»

На вкладке «События» пользователю доступна таблица атак (блокировки сигнатурным методом анализа), таблица блокировок (блокировки дополнительными функциями безопасности), таблица событий машинного обучения (ML) и дашборд.

Рисунок 12. Просмотр таблицы атак в «Гарда WAF 3.0»

Рисунок 13. Детальная информация по атаке в «Гарда WAF 3.0»

В подразделе «Таблица блокировок» отображаются события блокировки запросов несигнатурными методами анализа, а также автоматические действия, выполненные модулем машинного обучения (например, изменение режимов защиты).

Рисунок 14. Просмотр таблицы блокировок в «Гарда WAF 3.0»

В разделе «Таблица событий ML» отображаются уровни аномалий и количественное отклонение от нормальных значений на основе обучения.

Рисунок 15. Таблица событий ML в «Гарда WAF 3.0»

В дашборде представлено графическое отображение статистики работы «Гарда WAF 3.0», в том числе количество атак, факторы риска, активные IP-адреса, текущая нагрузка на сервисы.

Рисунок 16. Дашборд «Гарда WAF 3.0»

Рисунок 17. Дашборд «Гарда WAF 3.0» (продолжение)

На вкладке «Отчёты» пользователю доступно создание отчётов в различных форматах и с различной степенью детализации.

Рисунок 18. Просмотр сведений по ранее созданным отчётам в «Гарда WAF 3.0»

Вкладка «Структура» используется для упорядоченного администрирования веб-ресурсов, присвоения защищаемым ресурсам групповых политик безопасности, а также ролей и уровней доступа пользователям. На вкладке «Структура» представлены подразделы «Тенанты», «Кластеры», «Серверы», «Пути».

Рисунок 19. Вкладка «Структура», подраздел «Тенанты» в «Гарда WAF 3.0»

Рисунок 20. Вкладка «Структура», подраздел «Кластеры» в «Гарда WAF 3.0»

В этом подразделе можно создавать «чёрные» и «белые» списки IP-адресов. Однако вендор рекомендует придерживаться принципов «нулевого доверия», не создавая списки доверенных хостов.

В отдельных вкладках можно настраивать рейт-лимиты, исключить определённые пути для запросов, задавать режим противодействия DDoS-атакам, исходя из выбора которого определяются кастомные наборы.

Рисунок 21. Вкладка «Структура», подраздел «Серверы» в «Гарда WAF 3.0»

Рисунок 22. Вкладка «Структура», подраздел «Пути» в «Гарда WAF 3.0» 

Вкладка «ADS» предназначена для работы с ML-моделью, анализирующей аномальное поведение. Для формирования профиля легитимной активности фильтрующего узла ежеминутно производится снимок состояния. Кроме того, при необходимости оператор может вручную корректировать образ легитимного поведения модели (в процессе обучения).

Рисунок 23. Детектор аномалий в «Гарда WAF 3.0»

Рисунок 24. Снятие снимков кластера сервера в «Гарда WAF 3.0»

Конструктор правил позволяет настраивать исключения и создавать собственные правила или наборы безопасности, если требуется выйти за рамки предустановленных настроек. Базовый набор правил, который защищает «всё от всего», в сочетании с дополнительными функциями безопасности покрывает стек угроз безопасности на 99 %.

Заказчикам с повышенными требованиями к производительности вендор предлагает разработанные целевые наборы сигнатурного анализа, оптимизированные под конкретный контекст защищаемого приложения или специфичные атаки.

Рисунок 25. Конструктор правил в «Гарда WAF 3.0»

При работе с правилами доступны базовый и расширенный интерфейсы. При создании исключений система автоматически предлагает вариант правила.

Рисунок 26. Расширенный интерфейс правил в «Гарда WAF 3.0»

Вкладка «Состояние сервисов» позволяет оперативно отслеживать состояние отдельных сервисов и активность хостов, что дает возможность найти проблемные точки в случае некорректной работы системы.

Рисунок 27. Вкладка «Состояние сервисов» в «Гарда WAF 3.0»

Рисунок 28. Аудит состояния сервисов в «Гарда WAF 3.0»

На вкладке «Дополнительные возможности» доступны журналы аудита. Здесь же настраивается парольная политика и правила валидации, дополнительно можно указать LDAP-сервер.

Рисунок 29. Настройка валидации в «Гарда WAF 3.0»

Рисунок 30. Настройка парольной политики в «Гарда WAF 3.0»

Поддержка LDAP-аутентификации позволяет централизовать управление доступом и интегрировать систему с корпоративными каталогами пользователей.

Рисунок 31. Настройка LDAP-серверов в «Гарда WAF 3.0»

Для сканирования веб-ресурсов на уязвимости используется отдельная сущность — сканер безопасности.

Рисунок 32. Сканер уязвимостей в «Гарда WAF 3.0»

По результатам сканирования можно настраивать правила виртуального патчинга, отслеживать появление на периметре новых приложений и выявлять критические события.

Рисунок 33. Результаты сканирования в «Гарда WAF 3.0»

Сценарии применения «Гарда WAF 3.0»

Сценарии использования продукта вытекают из его основных функций. Типовой вариант — защита сайта от атак, направленных на отказ в обслуживании и приводящих к недоступности ресурсов. «Гарда WAF 3.0» противодействует краже персональных данных клиентов и платёжной информации; предотвращает несанкционированный доступ и модификацию информации; эффективно блокирует утечки данных через уязвимые веб-сервисы и API; пресекает злоупотребления программами лояльности и попытки подбора паролей к учётным записям пользователей.

Обеспечение доступности веб-приложений

Задача: в компании сложная и распределённая инфраструктура с множеством интеграций и специализированных систем. Есть веб-приложения для клиентов и партнёров. Требуется защитить экспонированные в сеть сервисы.

Как помогает «Гарда WAF 3.0»:

• Определяет и блокирует подозрительные HTTP- / HTTPS-запросы с помощью сигнатур и поведенческого анализа.
• Обнаруживает и предотвращает DDoS-атаки на уровне приложения.
• Защищает от SQL-инъекций, кросс-сайтового скриптинга (XSS) и других уязвимостей.
• Анализирует и фиксирует подозрительную активность для последующего анализа и принятия мер.

Результат: внедрение межсетевого экрана «Гарда WAF 3.0» повышает стабильность и отказоустойчивость веб-приложений, сокращает число успешных атак и обусловленных ими инцидентов. За счёт автоматизации процессов обнаружения и блокировки киберугроз оптимизируется работа ИТ/ИБ-специалистов и высвобождаются ресурсы на более приоритетные задачи.

Предотвращение потери данных

Задача: в компании большое количество веб-ресурсов с критической информацией (персональные данные, коммерческая тайна, финансовая информация). Потеря данных опасна для деятельности компании и требует обеспечения надёжной защиты.

Как помогает «Гарда WAF 3.0»:

• Фильтрует вредоносный трафик в реальном времени, минимизируя риски утечек и компрометации данных.
• Блокирует аномальные и подозрительные запросы, способные нанести ущерб системе.
• Пресекает внедрение и исполнение вредоносного кода в контексте веб-приложений.

Результат: установка межсетевого экрана «Гарда WAF 3.0» значительно снижает риски компрометации данных, минимизируя потенциальные финансовые и репутационные потери. В результате внедрения продукта сокращается общее количество инцидентов, связанных с веб-ресурсами, что способствует повышению уровня доверия пользователей и укреплению позиций компании на рынке.

Выявление опасных для веб-ресурсов уязвимостей

Задача: в компании значительно увеличилось количество веб-приложений и API. Нет единого инструмента для контроля обновлений и патчинга уязвимостей. Необходимо своевременно выявлять и устранять уязвимости, которые могут привести к компрометации данных и нарушению работы веб-ресурсов.

Как помогает «Гарда WAF 3.0»:

• Выявляет уязвимости встроенным сканером.
• Применяет автоматический виртуальный патчинг для устранения обнаруженных уязвимостей.
• Обменивается сведениями о найденных уязвимостях со сторонними СЗИ для фиксации и устранения.

Результат: внедрение «Гарда WAF 3.0» обеспечивает своевременное обнаружение и устранение уязвимостей, угрожающих стабильной работе веб-ресурсов. Это позволяет оптимизировать рабочую нагрузку на специалистов по ИБ и повысить общий уровень защищённости веб-систем за счёт комплексного подхода к защите.

Выводы

Благодаря реализации функций защиты API, «Гарда WAF 3.0» относится к новой ступени эволюции межсетевых экранов, представляя собой решение класса WAAP (Web Application and API Protection). Решение предлагает обширный арсенал средств для комплексной защиты сайтов, веб-приложений, сервисов и API. Межсетевой экран «Гарда WAF 3.0» обеспечивает противодействие различным кибератакам и уязвимостям, детектирует аномальную активность и позволяет выявлять угрозы «нулевого дня».

Достоинства:

• Минимальные требования к аппаратным ресурсам и быстрое подключение. Систему может развернуть любой специалист по ИБ без специальной подготовки.
• Возможность интеграции в существующую экосистему безопасности. Продукт можно использовать совместно с SIEM, механизмами защиты от DDoS, файрволами нового поколения (NGFW) и другими средствами обеспечения ИБ.
• Лицензирование по количеству запросов в секунду без ограничений по узлам и функциям. Тарифицируются только легитимные запросы.
• Масштабируемость за счёт применения микросервисов, кастомизация под требования заказчика, вариативность установки.
• Наличие собственной экосистемы, единого центра обмена данных «Гарда TI Feeds», а также возможность интеграции со сторонними СЗИ.
• Настройка и подключение сервисов к защите осуществляются через личный кабинет, где все операции доступны в едином интерфейсе, что обеспечивает оперативное управление правилами безопасности и их оперативную корректировку.
• Решение помогает соответствовать как нормам российского законодательства, так и международным стандартам. В частности, продукт прошёл сертификацию в соответствии с регламентом ТР 2013/027/BY.

Недостатки:

• Отсутствие сертификата ФСТЭК России на продукт. Его получение запланировано в четвёртом квартале 2025 года.
• «Гарда WAF 3.0», как и другие решения этого класса, редко используются «из коробки» — требуется адаптация к контексту защищаемого приложения.