Привет, Хабр! Я Андрей Дугин, руководитель центра сервисов кибербезопасности RED Security. Про тему кибербезопасности веб-приложений уже, казалось бы, рассказали все, что можно: термины XSS, SQL-инъекции, DDoS знакомы каждому в мире ИБ.

Проблема в том, что знание отдельных уязвимостей и методов защиты не гарантирует комплексной безопасности. Качественный результат дает не борьба с каждой угрозой, а создание системной защиты, где разные решения дополняют и усиливают остальные.

В этом материале я разберу, как ИБ-инструменты взаимодействуют между собой и на какие нюансы важно обратить внимание при их настройке.

Эшелонированная защита

Полноценная кибербезопасность требует комплексного, многоуровневого подхода, который строится на последовательности взаимодополняющих решений:

• Anti-DDoS осуществляет грубую фильтрацию трафика, отсекая мусорные запросы;

• Anti-Bot блокирует вредоносных ботов, которые спамят через контактные формы, воруют контент, сканируют ресурсы и т. п.;

• WAF защищает веб-приложения от эксплуатации уязвимостей и других хакерских атак;

• Load Balancer распределяет нагрузку и помогает избежать перегрузки серверов;

• NGFW разграничивает доступ по IP-адресам и протоколам-портам (как правило) или приложениям (реже).

Да, чем больше слоев защиты, тем выше шанс отразить атаку. Но важно правильно выстроить эту цепочку, иначе можно случайно заблокировать нормальный трафик или перегрузить систему. Пройдемся по ним по порядку. 

Anti-DDoS

DDoS-атаки — классика в арсенале злоумышленников. Поток запросов перегружает сервер, приводит к отказу в обслуживании, а иногда и к финансовым потерям.

Для отражения DDoS-атак первым слоем защиты ставят Anti-DDoS — сервис, который пропускает весь входящий трафик через центр фильтрации. Перед ним стоит задача отсеивать очевидный мусор, но не задушить легитимных пользователей.

Как он работает? Трафик проходит через мощные контентные фильтры, где анализируются поведенческие паттерны. Если запросы ведут себя аномально (например, десятки тысяч однотипных обращений в секунду с одного IP-адреса), то они отсеиваются.

Применяются два подхода. 

Первый — перенаправление через центр очистки трафика на уровне сети интернет-провайдера. Возврат очищенного трафика происходит прозрачно, не требует от клиента изменений конфигурации защищаемых ресурсов, не затрагивает структуру и содержимое пакетов данных, обеспечивает защиту разных сервисов (web, email, DNS и прочие). Есть ограничения в анализе HTTPS-трафика после установки TLS-сессии, однако при интеграции с защищаемым ресурсом по syslog для анализа логов веб-сервера подобное ограничение может быть снято без необходимости получения закрытого ключа защищаемого ресурса.

Второй — перенос точки терминации трафика на центр очистки провайдера Anti-DDoS за счет смены A-записи защищаемого ресурса в DNS. Возврат очищенного трафика к защищаемому ресурсу возможен через интернет, GRE-туннель либо выделенный канал. Для корректной реализации аналитики пользовательских действий на защищаемом веб-сервере потребуется обработка IP-адреса клиента из заголовка X-Forwarded-For (XFF). Такой метод используется для защиты веб-ресурсов.

Anti-DDoS всегда работает в связке с другими инструментами. Он не анализирует сами запросы на глубоком уровне, а лишь снижает общий объем мусорного трафика. Поэтому следующим этапом должен быть Anti-Bot, который уже занимается интеллектуальной фильтрацией ботов.

Anti-Bot

Боты — неизбежная часть интернет-экосистемы. Поисковые роботы помогают индексировать сайты, агрегаторы собирают данные, но есть и вредоносные экземпляры, которые создают реальные проблемы. Они парсят контент, блокируют товары в корзинах интернет-магазинов, перегружают сервер ложными сессиями. Их деятельность редко вызывает мгновенный сбой, но со временем приводит к ощутимым потерям — от снижения производительности ресурса до утраты клиентов.

Фильтрация Anti-Bot всегда идет после Anti-DDoS. Первым слоем грубо отсеивается бесполезный трафик, затем уже проводится более тонкая работа — поведенческий анализ, проверка его источника и соответствие известным сигнатурам. Бот не всегда действует очевидно, но алгоритмы защиты позволяют определить аномальные паттерны: странные перемещения по страницам, необычную скорость запроса, подмену заголовков.

Принцип работы похож на то, как мы распознаем незваных гостей. В подъезде стоит домофон, и он блокирует поток случайных прохожих. Но если домофон пропустил кого-то подозрительного, дальше его встречает камера, а также система проверки, которая отслеживает поведение. Например, человек заходит, но двигается слишком хаотично, идет не к нужной двери, зависает в коридоре. Это уже повод насторожиться.

Anti-Bot анализирует входящие запросы, применяя три ключевых механизма: поведенческий анализ, сигнатурные проверки и динамическое выявление аномалий.

Сигнатурный анализ сверяет запросы с базой данных известных вредоносных ботов. Проверяются заголовки User-Agent, структура HTTP-пакетов и частота обращений, позволяя быстро выявить автоматизированные угрозы.

Если бот не подпадает под сигнатурные правила, в работу включается поведенческий анализ. Алгоритмы отслеживают аномалии в активности: равномерные временные интервалы между запросами, подозрительные переходы по страницам или неестественно высокую скорость взаимодействия.

Для сложных случаев используется активное тестирование. Anti-Bot применяет CAPTCHA, анализ динамических ответов JavaScript и временные блокировки для подозрительных IP-адресов. Если система фиксирует аномалию, доступ может быть ограничен на определенный интервал с повторной проверкой.

Чтобы передавать корректные IP-адреса пользователей через прокси и балансировщики нагрузки, применяется заголовок XFF (X-Forwarded-For). Он сохраняет исходные данные, позволяя защитным механизмам обрабатывать трафик без потери информации о реальном источнике.

Важно понимать разницу между Anti-Bot и WAF. Многие администраторы ошибочно пропускают Anti-Bot, сразу переходя к фаерволу веб-приложений. Но WAF предназначен для защиты от явных хакерских атак, фильтрация нежелательных автоматизированных запросов к логике приложения реализована на нем в меньшей степени. Если пропустить стадию Anti-Bot, нагрузка на WAF возрастет, и фильтровать весь мусор вручную будет сложнее.

Anti-Bot не только блокирует вредоносных ботов, но и помогает избежать ложных ограничений для полезных автоматизированных сервисов. Есть и побочный эффект: если параметры блокировки слишком жесткие либо некорректно настроены, можно случайно перекрыть доступ поисковым роботам, а это уже негативно скажется на видимости сайта.

Этот уровень фильтрации — важная часть комплексной защиты. Он позволяет снизить нагрузку на последующие инструменты безопасности.

WAF

WAF (Web Application Firewall) — ключевой элемент защиты серверных ресурсов. Он выполняет более тонкую работу, чем Anti-DDoS и Anti-Bot. Вместо грубой фильтрации мусорного трафика он анализирует содержимое каждого запроса и ответа, выявляя потенциальные атаки.

Основные угрозы, от которых защищает WAF:

• SQL-инъекции (попытки внедрения вредоносного кода в базы данных);

• XSS-атаки (перехват пользовательских данных через внедрение скриптов);

• подмена заголовков (манипуляции с HTTP-запросами для обхода стандартных проверок);

• дыры в CMS (эксплуатация уязвимостей популярных движков).

Запрос проходит через систему анализа, которая проверяет заголовки, параметры, тело запроса. Если он соответствует заданным правилам безопасности, то передается дальше. Если есть признаки атаки, то он блокируется.

Распространенная ошибка — ставить WAF сразу после Anti-DDoS, пропуская Anti-Bot. Это увеличивает нагрузку на WAF, заставляя его обрабатывать весь трафик, включая нежелательных ботов. Оптимальный порядок такой:

1. Anti-DDoS очищает общий поток мусора.

2. Anti-Bot отфильтровывает автоматизированные угрозы.

3. WAF анализирует содержимое запросов, защищая внутренности приложения.

При настройке важно учитывать несколько моментов:

• HTTPS — WAF работает с защищенными соединениями;

• XFF (X-Forwarded-For) — нужен для корректной передачи исходного IP клиента;

• гибкость фильтрации — слишком жесткие правила могут заблокировать легитимных пользователей.

Фаервол веб-приложений занимает центральное место в эшелонированной защите. Он не может заменить вышеописанные уровни фильтрации, но без него веб-сервис остается уязвимым для целевых атак.

Как развивается рынок решений WAF в России? По данным МТС RED, к 2026 году его объем достигнет 7,2 млрд руб., а среднегодовой рост составит 22%. Темп примерно совпадает с общими показателями роста сферы ИБ (24,6%).

Что стимулирует развитие WAF? Во-первых, рынок веб-приложений растет примерно на 11% в год. Во-вторых, атаки на веб-ресурсы становятся все сложнее и интенсивнее — уже в 2023 году они составили 46% от всех кибератак на компании. В зоне риска — финансовый сектор и ретейл.

До 2022 года рынок WAF в России был под контролем зарубежных вендоров. После ухода иностранных поставщиков отечественные решения резко прибавили в качестве, а выручка российских разработчиков в сегменте выросла в полтора раза. Вендоры улучшили функциональность продуктов, появились новые игроки, а конкуренция внутри рынка усилилась.

Что востребовано больше всего? Мониторинг киберинцидентов, защита от DDoS и WAF — это базовый уровень кибербезопасности для компаний. Именно эти направления составляют более половины спроса на ИБ-сервисы.

Исследование проводилось МТС RED и аналитическим агентством Onside, опрашивали представителей рынка: вендоров, интеграторов и MSS-провайдеров WAF-решений.

Load Balancer

Даже если веб-сервис успешно отбился от DDoS-атак и вредоносных ботов, он может столкнуться с другой проблемой — перегрузкой от легитимного трафика. Это случается во время крупных распродаж в интернет-магазинах, при запуске новых продуктов или просто из-за роста популярности ресурса. Сервер не справляется, пользователи испытывают задержки или вовсе не могут зайти.

Балансировщик нагрузки (Load Balancer) распределяет входящие соединения между несколькими серверными узлами. Это позволяет избежать перегрузки и обеспечить стабильность приложения даже при интенсивном потоке запросов.

Как он работает? Запросы поступают не на один сервер, а на группу машин, между которыми Load Balancer равномерно распределяет нагрузку. Если поток обращений растет, то часть трафика уходит на менее загруженные серверы. При выходе одного из устройств из строя балансировщик исключает его из списка доступных и передает нагрузку другим.

Использование Load Balancer также помогает масштабировать инфраструктуру. Если нагрузка постоянно растет, то можно добавить дополнительные серверы в конфигурацию балансировщика, и он начнет их использовать.

Правильное расположение Load Balancer в системе защиты зависит от нагрузки. Обычно его ставят после WAF, чтобы уже очищенный и проверенный трафик равномерно распределялся между серверными ресурсами. Но если поток запросов слишком велик и фаервол веб-приложений не справляется с обработкой, балансировщик можно разместить до WAF, чтобы заранее распределить нагрузку между несколькими экземплярами средства защиты.

При этом, как и вышеперечисленные инструменты фильтрации, Load Balancer работает через изменение DNS-записи, требует ключи для подключения HTTPS и вставляет заголовок XFF, чтобы сохранить исходный IP-адрес клиента. Если он приходит уже в заголовке XFF, то вставлять его на последующем устройстве не нужно во избежание перезатирания. То есть XFF вставляется на том средстве защиты, которое терминирует трафик непосредственно клиента.

NGFW

Фаервол нового поколения (NGFW) обеспечивает контроль доступа к сетевым портам защищаемых сервисов. Несмотря на техническую возможность разграничения доступа по приложениям и учетным записям пользователей, чаще всего он используется именно для ограничения неразрешенных протоколов и портов. В отличие от WAF, который терминирует на себе соединения клиента, доставляя очищенный трафик к защищаемому ресурсу со своего IP-адреса, NGFW не изменяет пакетов при взаимодействии клиента и сервера.

Его основная задача — предотвратить несанкционированный доступ к критическим ресурсам. Например, если сервер работает на Linux, веб-интерфейс может обслуживать пользователей через порты 80 и 443, но административное управление идет через SSH на порту 22. Этот порт должен быть доступен только администраторам, а из внешнего интернета — закрыт.

NGFW размещается на границе между интернетом и защищаемым ресурсом, чтобы к нему поступал уже отфильтрованный трафик. Он может устанавливаться как до Anti-Bot/WAF, так и после. Но есть нюанс: его отказ приведет к потере сетевой связности всех защищаемых сегментов. Поэтому NGFW никогда не ставят перед Anti-DDoS, иначе мощной атакой его легко можно вывести из строя.

Правильная архитектура средства защиты требует разделения интерфейсов: один отвечает за обработку пользовательского трафика, а другой — за администрирование. Если управление и пользовательский трафик производятся через один интерфейс, то необходимо их разнесение по разным портам и ограничение административного доступа по IP-адресам/подсетям.

С этим инструментом завершается эшелонированная защита. Все уровни — от фильтрации мусора до тонкой очистки — работают в связке, обеспечивая максимальную безопасность без потери доступности ресурса.

Киберзащита веб-сервисов — это не просто установка одного инструмента и ожидание чуда. Без эшелонированного подхода любая система безопасности остается уязвимой. Я разобрал ключевые технологии защиты: Anti-DDoS, Anti-Bot, WAF, Load Balancer и NGFW — каждый выполняет свою функцию и дополняет другие уровни фильтрации.

Важно понимать, что эти решения не заменяют друг друга. Anti-DDoS грубо отсеивает мусор, но толком не защитит от ботов. Anti-Bot блокирует автоматизированные угрозы, но не справится с SQL-инъекциями. WAF ловит атаки на веб-приклад, но не решает проблему перегрузки серверов. Load Balancer распределяет нагрузку, но не предотвращает попытки взлома. NGFW ограничивает доступ к протоколам-портам, но в текущих реализациях практически не инспектирует трафик глубже.

Если в системе защиты есть пробел, злоумышленники его найдут. Чем сложнее им проникнуть, тем выше шанс отбить атаку.

И наконец, безопасность не статична. Угрозы эволюционируют, методы взлома становятся изощреннее, поэтому защитные технологии тоже должны развиваться. Регулярные обновления, тестирование, анализ логов, тюнинг и устранение обнаруженных недостатков — без этих вещей эшелонированная защита превратится в красивый, но бесполезный каркас.