WAF (Web Application Firewall, файрвол веб-приложений) — дополнительный модуль для защиты веб-приложений от таргетированных атак, таких как SQL Injection, XSS, PHP Injection, Remote Code Execution и других.
Он подключается только вместе с услугой защита сайта от DDoS-атак, потому что работает с уже очищенным трафиком. WAF определяет вредоносные запросы среди валидных, не являющихся частью DDoS-атаки.
Как работает DDoS-Guard WAF
WAF работает на основе правил — регулярных выражений, которые помогают выделить в запросе потенциально вредоносные данные, характерные для хакерских атак. WAF DDoS-Guard использует как собственные правила DDoS-Guard, так и правила из открытых баз.
Каждый поступающий запрос сопоставляется с набором правил, каждое правило имеет свой «вес» — степень серьезности угрозы. Если запрос соответствует правилу (то есть похож на вредоносный), «вес» правила прибавляется к общему рейтингу запроса. Если суммарный рейтинг запроса будет больше заданного порога, WAF зафиксирует попытку атаки и не пропустит запрос.
Клиенту доступен журнал инцидентов — запросов, которые WAF определил как вредоносные. Пользуясь им, можно менять пороговое значение так, чтобы уменьшить количество ложных срабатываний. Отчеты позволяют владельцу и администратору сайта анализировать векторы атак и закрывать уязвимости, которые пытались использовать хакеры.