Що таке WAF і навіщо він вашому бізнесу

Коротке визначення

WAF (Web Application Firewall, веб-фаєрвол) — це фільтр, який стоїть перед вашим вебсайтом і перевіряє кожен HTTP-запит, перш ніж той дійде до сервера. Якщо запит схожий на атаку — спробу SQL-ін’єкції, міжсайтового скриптингу (XSS) чи виконання чужого коду — WAF може заблокувати його або поставити відвідувачу перевірку. Звичайний мережевий фаєрвол працює на рівні портів і IP-адрес; WAF розуміє саму логіку вебзастосунку.

Як це працює на практиці

У хмарній моделі, як у Smart WAF, ви не встановлюєте нічого на свій сервер. Ви спрямовуєте DNS свого домену на наші edge-ноди в ЄС, і трафік іде через них:

  1. Нормалізація запиту — запит розбирається на складові (метод, URI, заголовки, тіло).
  2. Перевірка правилами — обидва рушії Coraza (proxy-wasm 0.5.0 і libcoraza FFI) застосовують набір правил OWASP Core Rule Set 4.26, який покриває поширені класи атак без ручного написання сигнатур.
  3. Драбина challenge — підозрілий клієнт не блокується наосліп, а проходить сходинки: спершу proof-of-work, потім CAPTCHA, а далі Web Bot Auth (RFC 9421 / Ed25519). Люди й перевірені боти проходять; автоматизовані зловживання застрягають.
  4. Передача на ваш сервер — чистий трафік іде до origin.

Чим WAF корисний бізнесу

  • Захищає від типових атак без того, щоб ваші розробники писали правила вручну — спільнота OWASP підтримує базовий набір за вас.
  • Дає видимість. Кожна дія фіксується в незмінному (append-only) аудит-логу: видно, що саме заблоковано, коли й чому.
  • Автоматичні сертифікати. Для кожного домену видається окремий сертифікат Let’s Encrypt через модуль nginx-acme — жодних ручних дій із TLS.
  • Резидентність даних у ЄС. Наші ноди працюють у ЄС (Hetzner, OVH, Scaleway) — це архітектурне рішення, а не платне доповнення.

Коли WAF справді потрібен

Якщо у вас є форма входу, кабінет користувача, приймання платежів чи будь-яка обробка даних відвідувачів — ви вже мішень для автоматизованих сканерів. WAF не замінює безпечний код, але суттєво піднімає планку для атакуючого і дає вам журнал того, що відбувається.

Ми свідомо не робимо перебільшених обіцянок щодо швидкості: наш бюджет на додаткову затримку — до 5 мс за проєктом, і ми не наводимо «продакшн-цифр», яких не виміряли на реальному залізі.

Хочете побачити це на власному домені? Напишіть нам.

Побачте це на власному домені

Ми підключаємо перших партнерів вручну. Назвіть свій домен — решту зробимо ми.

Подати заявку на ранній доступ