Security

Межсетевые экраны / WAF

Межсетевой экран (firewall) фильтрует трафик по адресам и портам, WAF — разбирает HTTP-запросы и блокирует атаки на само приложение.

Что такое Межсетевые экраны / WAF

Межсетевой экран (он же firewall, сетевой экран, брандмауэр) — средство, которое пропускает или блокирует сетевой трафик по заданным правилам. Базовое правило хорошего экрана — «запрещено всё, что явно не разрешено»: наружу открыты только нужные порты, остальное отбрасывается.

WAF расшифровывается как Web Application Firewall — межсетевой экран уровня веб-приложения. Он не смотрит на адреса и порты, а разбирает сам HTTP-запрос: URI, заголовки, тело, cookie — и ищет в них SQL-инъекции, XSS, обход путей, попытки эксплуатации CVE.

Разница принципиальная. Обычный firewall не может защитить сайт: чтобы сайт работал, порт 443 обязан быть открыт, а инъекция летит именно в этот легальный, разрешённый запрос. Firewall видит «разрешённое соединение на 443», WAF видит ' OR 1=1-- в параметре.

Поколения межсетевых экранов

Тип Уровень OSIЧто анализирует Пример
Пакетный фильтр L3/L4 IP, порт, флаги ACL на роутере
Stateful L3/L4 + состояние Сессии TCP, связанные пакеты iptables, nftables
NGFW L3–L7 Приложение, пользователь, IPS, антивирус FortiGate, UserGate, Check Point
WAF L7 (HTTP) Тело запроса, параметры, логика ModSecurity, NAXSI, Nemesida

NGFW (Next-Generation Firewall) — это stateful-экран плюс встроенные IPS, контроль приложений, привязка правил к пользователю из IdP и инспекция TLS. Одна коробка вместо пяти.

UserGate и Fortinet

Fortinet — американский вендор, его FortiGate — один из самых распространённых NGFW в мире; линейка включает FortiWeb (WAF), FortiAnalyzer, FortiClient. С 2022 года поставки и обновления в России прекращены, что делает эксплуатацию рискованной: без свежих сигнатур IPS устройство быстро устаревает.

UserGate — российский вендор NGFW, продукты входят в реестр отечественного ПО и имеют сертификаты ФСТЭК России. Из-за ухода западных вендоров стал одним из стандартных вариантов замещения наряду с Ideco, Континент (Код Безопасности) и PT NGFW.

Это важно не из патриотизма, а из-за регуляторики: если экран защищает ИСПДн или государственную систему, он должен быть сертифицированным СЗИ. Требования к межсетевым экранам задаёт приказ ФСТЭК России № 9 от 09.02.2016: типы (А, Б, В, Г, Д — от экрана уровня сети до экрана уровня веб-сервера) и шесть классов защиты.

Практика

Минимальный набор для VPS: default deny на входе, открыты 22 (лучше — только со своего адреса), 80, 443.

ufw default deny incoming
ufw default allow outgoing
ufw allow from 203.0.113.7 to any port 22 proto tcp
ufw allow 80,443/tcp
ufw enable

WAF в режиме ModSecurity + OWASP Core Rule Set перед Nginx:

modsecurity on;
modsecurity_rules_file /etc/nginx/modsec/main.conf;
# main.conf: SecRuleEngine DetectionOnly на старте,
# неделю смотрим ложные срабатывания, потом On

Никогда не включайте новый WAF сразу в блокирующем режиме: CRS из коробки ломает загрузку файлов, API с JSON-телом и админки CMS. Сначала DetectionOnly, потом разбор логов, потом блокировка.

Связанные термины

Готовы запустить GPU-задачу?

Запустить GPU-сервер