Що таке WAF і навіщо він вашому бізнесу
Коротке визначення
WAF (Web Application Firewall, веб-фаєрвол) — це фільтр, який стоїть перед вашим вебсайтом і перевіряє кожен HTTP-запит, перш ніж той дійде до сервера. Якщо запит схожий на атаку — спробу SQL-ін’єкції, міжсайтового скриптингу (XSS) чи виконання чужого коду — WAF може заблокувати його або поставити відвідувачу перевірку. Звичайний мережевий фаєрвол працює на рівні портів і IP-адрес; WAF розуміє саму логіку вебзастосунку.
Як це працює на практиці
У хмарній моделі, як у Smart WAF, ви не встановлюєте нічого на свій сервер. Ви спрямовуєте DNS свого домену на наші edge-ноди в ЄС, і трафік іде через них:
- Нормалізація запиту — запит розбирається на складові (метод, URI, заголовки, тіло).
- Перевірка правилами — обидва рушії Coraza (proxy-wasm 0.5.0 і libcoraza FFI) застосовують набір правил OWASP Core Rule Set 4.26, який покриває поширені класи атак без ручного написання сигнатур.
- Драбина challenge — підозрілий клієнт не блокується наосліп, а проходить сходинки: спершу proof-of-work, потім CAPTCHA, а далі Web Bot Auth (RFC 9421 / Ed25519). Люди й перевірені боти проходять; автоматизовані зловживання застрягають.
- Передача на ваш сервер — чистий трафік іде до origin.
Чим WAF корисний бізнесу
- Захищає від типових атак без того, щоб ваші розробники писали правила вручну — спільнота OWASP підтримує базовий набір за вас.
- Дає видимість. Кожна дія фіксується в незмінному (append-only) аудит-логу: видно, що саме заблоковано, коли й чому.
- Автоматичні сертифікати. Для кожного домену видається окремий сертифікат Let’s Encrypt через модуль nginx-acme — жодних ручних дій із TLS.
- Резидентність даних у ЄС. Наші ноди працюють у ЄС (Hetzner, OVH, Scaleway) — це архітектурне рішення, а не платне доповнення.
Коли WAF справді потрібен
Якщо у вас є форма входу, кабінет користувача, приймання платежів чи будь-яка обробка даних відвідувачів — ви вже мішень для автоматизованих сканерів. WAF не замінює безпечний код, але суттєво піднімає планку для атакуючого і дає вам журнал того, що відбувається.
Ми свідомо не робимо перебільшених обіцянок щодо швидкості: наш бюджет на додаткову затримку — до 5 мс за проєктом, і ми не наводимо «продакшн-цифр», яких не виміряли на реальному залізі.
Хочете побачити це на власному домені? Напишіть нам.