WAF: защита веб-приложений

/ Детали

О продукте

Защита от атак

Анализ всех входящих HTTP-запросов и защита о любых угроз, включая SQL-инъекции, XSS, XXE, RCE и других угроз OWASP TOP-10

Защита от краж

Противодействие взлому ключевых веб-ресурсов, предотвращая утечку данных, компрометацию учетных данных, включая персональные данные

Защита API

Защита API-интерфейсов, включая REST, SOAP, gRPC, GraphQL и веб-сокеты, автоматическое распознавание различных протоколов/форматов и применение соответствующих цепочек парсеров

Обнаружение угроз

Работа без сигнатур и подтверждение угроз в реальном времени

Удобный личный кабинет

Аналитика по атакам, тонкая настройка правил, возможность просмотра отчетов

Запрет подмены

Блокировка действий, связанных с размещением противозаконного или ложного контента

Решение бизнес-задач

Защитить от кибератак

75% атак хакеров направлены на уязвимости веб-приложений/сайтов, т.к. такие атаки не заметны для ИБ инфраструктуры и ИБ служб компании. WAF обнаруживает и блокирует такие атаки.

Обеспечить непрерывную работу приложений

Повышение доступности веб-приложений путем предотвращения отказов сервиса из-за DDoS, перегрузки серверов или иных атак, на целенных на выведение приложения из строя.

Соответствовать нормативным требованиям

Многие отраслевые стандарты и нормативные требования (например, PCI DSS) требуют наличия соответствующих мер безопасности для защиты веб-приложений.

Решить кадровые проблемы

Нет необходимости держать и обучать специалистов. В зону ответственности MWS WAF Premium входит эксплуатация решения, мониторинг, реагирование на атаки, внесение правил блокировки.

Максимальная защита

WAF + AntiDDoS
Сервис WAF обеспечивает защиту на уровне приложений (L7). Для комплексной безопасности мы рекомендуем подключить AntiDDoS: сервис защитит от распределенных атак на сетевом (L3) и транспортном (L4) уровнях.

Создайте многоуровневую защиту и обеспечьте непрерывную работу вашего бизнеса с решением WAF + AntiDDoS.
Защитить инфраструктуру

Технические возможности

Распознавание ошибок и уязвимостей

DAST-сканер распознает типичные ошибки в бизнес-логике и находит специфичные для приложения уязвимости на основе базы знаний о логике приложения

Визуализация поверхности атаки

С помощью различных вариантов DNS- и BGP-запросов, а также других публичных источников визуализируется поверхность потенциальной атаки. Сканирование определяет ошибки конфигурации и серьёзные уязвимости

Распознавание популярных форматов

Автоматически идентифицируются и декодируются все современные форматы данных веб-приложений, включая XML, JSON, WebSockets, Base64, GZIP, VIEWSTATE, PHP, Java и другие

Формирование индивидуального профиля

На основе собранных метрик формируется индивидуальный профиль защищаемых ресурсов, с последующим применением тонко настроенных правил безопасности

Непрерывное обучение

Сбор метрик со всего трафика, обработка собранных метрик в облаке, непрерывное обучение и корреляция событий веб-приложений / пользователей

Виртуальный патчинг

Блокировка вредоносных запросов даже при работе в режиме мониторинга, запрет доступа пользователей до исправления уязвимости

Варианты реализации

Создание новых правил и сигнатур, профилирование существующих под защищаемый ресурс
Выделенная смена экспертов с практическим опытом защиты от кибератак
Фильтрующие узлы на базе программного обеспечения из реестра российского ПО

Трафик пользователей, поступающий заказчику из интернета и направленный на защищаемое веб-приложение, проходит через узлы фильтрации WAF
Входящие запросы проверяются в соответствии с настроенной политикой защиты. Если они содержат в себе следы веб-атаки (вредоносной активности), трафик помечается как зловредный и блокируется, прежде чем достичь веб-приложения
Облако создает адаптированные правила безопасности, сокращая ложные срабатывания

Все возможности WAF
Не нуждается в сопровождении co стороны заказчика, только просмотр статистики в удобном личном кабинете
Без расширения штата и дополнительного найма экспертов по атакам на веб-приложения
Без затрат на вычислительные ресурсы — стоимость инфраструктуры включена во все тарифы

FAQ

Web Application Firewall (WAF) — это система сетевой безопасности, предназначенная для защиты веб-приложений от различных киберугроз. WAF фильтрует и контролирует трафик, поступающий на веб-сервер, анализируя запросы и ответы приложений на наличие подозрительной активности.

Фильтрация трафика. WAF проверяет входящий и исходящий трафик на соответствие определённым правилам безопасности.

Обнаружение аномалий. Система отслеживает поведение пользователей и выявляет необычные или подозрительные действия.

Блокировка атак. В случае обнаружения атаки WAF автоматически блокирует различные типы атак: SQL-инъекции, межсайтовый скриптинг (XSS), несанкционированный доступ к данным и другие, предотвращая потенциальное нарушение периметра безопасности.

Современные WAF поддерживают работу с зашифрованным трафиком HTTPS. Они могут анализировать содержимое запросов и ответов, проверять их на соответствие определённым правилам безопасности и блокировать атаки, даже если они осуществляются через защищённое соединение.

*Для контроля трафика HTTPS и корректной работы WAF должен иметь доступ к сертификату сервера и ключу шифрования. Это позволяет файерволу проверять подлинность соединения и расшифровывать данные для анализа.

WAF не является универсальным решением для борьбы с DDoS-атаками. Для эффективной защиты от DDoS рекомендуем воспользоваться нашим сервисом AntiDDoS.

Напишите нам

Обсудим все детали и разработаем план действий по внедрению цифровых продуктов для вашего бизнеса

Дополнительные продукты

Security Operation Center (SOC)
Центр мониторинга и реагирования на кибератаки
Защита от DDoS-атак
Сервис для защиты от распределенных атак типа «отказ в обслуживании»
Виртуальная инфраструктура. Аттестованный сегмент 152-ФЗ
Защищенное облако для ИСПДн

Последние события

Вебинар
25 ноября 2025 г.
Запись мероприятия
Защити свой бизнес за 60 минут: просто о бэкапах и безопасности данных
Вебинар
16 апреля 2025 г.
Запись мероприятия
Виртуализация на площадке заказчика: от OpenStack до контейнерной платформы
Вебинар
20 марта 2025 г.
Запись мероприятия
Роботизация и BI: от данных к управленческим решениям
Вебинар
13 марта 2025 г.
Запись мероприятия
Сокращаем расходы на офис: что учесть при переходе на VDI
Вебинар
30 января 2025 г.
Запись мероприятия
Высокий сезон без потерь: готовим ИТ‑системы к пиковым нагрузкам
Вебинар
17 декабря 2024 г.
Запись мероприятия
SD-WAN в облаке: подключаем и объединяем филиалы в безопасную сеть
Вебинар
30 октября 2024 г.
Запись мероприятия
Облака в действии: примеры использования в различных сферах
Вебинар
24 октября 2024 г.
Запись мероприятия
Как перейти на российские BI-решения без потери эффективности
Вебинар
19 сентября 2024 г.
Запись мероприятия
Время — деньги: почему КЭДО сегодня в тренде
Вебинар
28 марта 2024 г.
Запись мероприятия
Почему высокотехнологичный бизнес выбирает облако
Вебинар
28 февраля 2024 г.
Запись мероприятия
Скорость х4 и другие плюсы переезда в облако
Вебинар
20 декабря 2022 г.
Запись мероприятия
Корпоративная платформа объединенных коммуникаций CommuniGate Pro от MWS