Корпоративное веб-приложение получает тысячи запросов в день. Большинство — легитимные пользователи, API-вызовы, мониторинг. Но среди этого трафика регулярно появляются атаки: SQL-инъекции, межсайтовый скриптинг, перебор паролей, боты, сканеры уязвимостей. Обычный сетевой firewall на такое не реагирует — он работает на уровне IP-адресов и портов и в содержимое HTTP-запроса не заглядывает. Этим пробелом атакующие активно пользуются.
Как работает WAF
WAF (Web Application Firewall, файрвол веб-приложений) — инструмент, который стоит между пользователем и приложением. Он анализирует содержимое каждого HTTP/HTTPS-запроса: URL, параметры, заголовки, тело. Подозрительное блокирует или отправляет в карантин. Легитимный трафик пропускает без задержки.
Принципиальная разница с обычным firewall — глубина анализа. Сетевой экран видит факт соединения. WAF видит содержимое этого соединения и распознаёт атаку там, где традиционный инструмент ничего не заметит.
ВАЖНО! WAF прицельно закрывает уязвимости из OWASP Top 10 — отраслевого перечня критичных векторов атак на веб-приложения. Сюда входят SQL-инъекции, XSS (межсайтовый скриптинг), нарушения контроля доступа, небезопасная десериализация и другие. Именно через эти векторы происходит большинство успешных взломов корпоративных порталов и API.
Технически WAF развёртывают в трёх конфигурациях:
- Inline-режим (самый распространённый) — трафик идёт через WAF, который принимает решение в реальном времени.
- Out-of-band — зеркалирование трафика без блокировки, только для мониторинга.
- Встроенный агент — модуль прямо внутри веб-сервера или приложения.
Современные WAF давно вышли за пределы работы по сигнатурам — готовым паттернам атак. Они применяют машинное обучение для анализа поведения: строят профиль нормального трафика и выявляют отклонения. Без этого невозможно противодействие атакам «нулевого дня», которые ни в каких базах правил ещё не прописаны.
Российский рынок: первый сегмент с полным импортозамещением
Среди всех сегментов корпоративной информационной безопасности WAF стал первым, где российские вендоры полностью вытеснили зарубежных. К началу 2023 года ни одного значимого западного продукта на рынке уже не осталось. Ни NGFW, ни DLP, ни SIEM не достигли такого результата быстрее.
Причина простая: российские разработчики занимали сильные позиции в этом сегменте ещё до 2022 года. Когда западные игроки ушли, рынок не просел — отечественные продукты были готовы. По данным аналитиков N4A, в 2025 году совокупный объём российского рынка WAF и Anti-DDoS достиг 11 млрд рублей — рост на 19% к предыдущему году. Прогноз на 2026–2028 годы — ускорение до 25% среднегодового прироста.
ВАЖНО! В апреле 2025 года ФСТЭК России выпустила приказ №117 с обновлёнными требованиями к защите информации в государственных системах. Это дополнительно стимулирует переход на сертифицированные отечественные решения.
Обзор российских вендоров
По базовой функциональности российские WAF сопоставимы с зарубежными аналогами. Там, где они пока уступают — широта дополнительных возможностей и пиковая производительность в сравнении с топовыми мировыми решениями. Разрыв сокращается с каждым годом.
Positive Technologies — PT Application Firewall
Флагманский продукт одного из лидеров российского рынка ИБ. PT AF применяет машинное обучение для анализа поведения пользователей и обнаружения аномалий — в дополнение к сигнатурным правилам. Продукт глубоко интегрируется с экосистемой Positive Technologies: MaxPatrol SIEM, PT NAD (анализ сетевого трафика), PT Sandbox.
Поставляется как программный комплекс для локального развёртывания. Сертифицирован ФСТЭК. Основная аудитория — средний и крупный бизнес, финансовый сектор, государственные структуры.
Гарда WAF — ГК «Гарда»
Гарда WAF защищает веб-приложения, API и сервисы от кибератак и ботов. В начале 2026 года продукт получил обновлённый личный кабинет с микросервисной архитектурой. Акцент на автоматизацию: минимум ручной настройки правил. Подходит для команд без выделенного специалиста по WAF.
Вебмониторэкс ПроWAF — WMX
Продукт с приоритетом на API Security. ПроWAF анализирует GraphQL, REST, gRPC и другие API-протоколы — актуально для микросервисных архитектур. Доступен как для локального развёртывания, так и в облаке (в том числе через K2 Cloud). Интегрируется с SIEM-системами. Хорошо вписывается в DevSecOps-процессы.
SolidWall WAF — SolidSoft
Продукт с акцентом на производительность и гибкость настройки. Команда активно развивает платформу и оперативно реагирует на запросы рынка. Развёртывается локально.
Молодой продукт. Плюсы и минусы этой позиции предсказуемы: высокая скорость развития при меньшей истории внедрений.
Немезида ВАФ — Pentestit
Продукт от компании с корнями в пентесте, и это заметно в архитектуре. Немезида хорошо обнаруживает атаки, которые обходят стандартные сигнатуры, — особенно атаки, адаптированные под конкретную цель. Работает на Linux. Есть open-source версия для некоммерческого использования — редкость для этого класса решений.
WAF Dallas Lock — ГК «Конфидент»
Dallas Lock — давний игрок российского рынка ИБ, известный сертифицированными продуктами для государственного сектора. WAF вписывается в ту же логику: высокий приоритет на соответствие регуляторным требованиям, интеграция с остальной линейкой Dallas Lock.
Континент WAF — «Код Безопасности»
Продукт от одного из старейших игроков отечественного рынка ИБ. Континент WAF закрывает атаки по методологии OWASP Top 10, защищает от DDoS на уровне приложения, анализирует аномальное поведение трафика. Традиционно силён в государственном и финансовом секторах. Полная интеграция с платформой «Код Безопасности».
UserGate WAF
UserGate строит WAF как часть более широкой экосистемы сетевой безопасности. Продукт поставляется в виде образа виртуальной машины, совместимого с отечественными и зарубежными гипервизорами. Подходит компаниям, которые уже работают с другими продуктами UserGate.
Таблица 1. Сравнение российских WAF-решений по ключевым параметрам
Примечание: Данные актуальны на момент публикации. Отдельные параметры уточняйте у вендора, так как продукты активно развиваются.
Выводы
WAF — специализированный инструмент для анализа HTTP/HTTPS-трафика на уровне содержимого запросов. Обычный сетевой firewall его функцию не заменяет. Основные задачи — блокировка атак из OWASP Top 10, фильтрация ботов, защита API, обнаружение аномального поведения.
Мировой рынок WAF растёт на ~18% в год и к 2030 году превысит 19 млрд долларов. Доминируют облачные модели: трафик уходит к вендору, который фильтрует его на своей глобальной инфраструктуре. Российский рынок движется по иному пути. WAF — первый сегмент корпоративной ИБ, где произошло полное импортозамещение. Объём рынка в 2025 году — 11 млрд рублей, темп роста — 19%, и рынок продолжает ускоряться.
Российские WAF строятся на локальном развёртывании — это принципиальная архитектурная разница с западными продуктами. Базовая функциональность сопоставима с зарубежными аналогами. Разрыв сохраняется по ширине дополнительных возможностей и пиковой производительности.
Среди отечественных вендоров выделяются две полюсные позиции. Positive Technologies, «Код Безопасности» и Dallas Lock — для крупных организаций с высокими требованиями к регуляторному соответствию. Вебмониторэкс и Немезида — для команд разработки и DevSecOps-практик. Гарда WAF и UserGate WAF закрывают широкий корпоративный сегмент без выраженной специализации.
Выбор конкретного продукта зависит от трёх факторов: наличие требования ФСТЭК-сертификации, акцент на API Security или классическую веб-защиту, а также то, насколько глубоко WAF нужно интегрировать с уже имеющейся ИБ-инфраструктурой.