WAF для сайта: PT AF, Wallarm, Selectel WAF — детальное сравнение

На российском рынке закрепились три серьёзных WAF: PT AF, Wallarm и Selectel WAF. Разбираем функционал, ценообразование, сертификацию и сценарии применения для разного бизнеса.

WAF Сравнение ФСТЭК OWASP

Web Application Firewall — обязательный компонент периметра безопасности любого современного веб-приложения. После ухода F5, Imperva и Barracuda российский бизнес перешёл на отечественные решения. Лидеры рынка: PT Application Firewall от Positive Technologies, Wallarm и Selectel WAF (на базе движка Wallarm).

PT Application Firewall: корпоративный стандарт

PT AF — флагман Positive Technologies, лидер российского рынка enterprise-WAF. Сертификация ФСТЭК России, входит в реестр отечественного ПО. Применяется в банках, госорганах, объектах КИИ.

Машинное обучение для детекции аномалий — собственная модель PT AF AI
Интеграция с PT MaxPatrol, PT Sandbox, PT Network Attack Discovery
Развёртывание on-premise, в облаке или гибрид
Поддержка REST API, GraphQL, gRPC, WebSocket
Цена: от 1.5 млн ₽/год для среднего проекта, лицензия по RPS

Wallarm: API-first подход

Wallarm изначально создавался как WAF для API. Сильные стороны — глубокая защита REST/GraphQL, автоматический дискавери endpoint-ов, интеграция с Kubernetes. Используется в крупных IT-компаниях, финтехе, маркетплейсах.

Автодискавери и инвентаризация всех API-эндпоинтов
Защита от OWASP API Top 10 (отдельный стандарт от веб-OWASP)
Нативная интеграция с k8s через CRD и Ingress controllers
Detection-режим с активной верификацией атак (отсев false positive)
Цена: от 600 000 ₽/год за облачную версию

Selectel WAF: облачное решение для SMB

Selectel предлагает managed WAF на базе движка Wallarm как сервис в своём облаке. Подходит для проектов, размещённых в инфраструктуре Selectel. Минимум настройки, оплата по подписке.

Включается в 1 клик из панели управления Selectel
Защита OWASP Top 10 из коробки, готовые правила для популярных CMS
Цена: от 9 000 ₽/мес за базовый тариф
Управление через единый интерфейс с другими сервисами Selectel

Что важно при выборе WAF

Сертификация: для КИИ нужна сертификация ФСТЭК и наличие в реестре отечественного ПО
False positive rate: цель — менее 0.5% при включённых блокирующих правилах
Latency: добавочная задержка не должна превышать 20 мс на p99
Интеграции: SIEM, SOC, ticket-системы, CI/CD
Поддержка протоколов: HTTP/2, HTTP/3 (QUIC), WebSocket, gRPC
SLA: для критичных систем — 99.99% доступности с финансовыми гарантиями

Подводные камни внедрения

Главная ошибка — включить WAF в блокирующем режиме сразу после установки. Это гарантированно сломает легитимный трафик: формы с длинными полями, файловые загрузки, нестандартные API-вызовы. Правильный путь: 2-4 недели в режиме мониторинга, анализ логов, тюнинг правил, и только потом активная блокировка.

Частые вопросы

Можно ли использовать open-source WAF (например, ModSecurity)?+

Да, но требует серьёзной экспертизы для настройки и поддержки. Готовых правил OWASP CRS недостаточно — высокий процент false positive. Для бизнеса с серьёзной нагрузкой обычно дешевле взять managed-решение, чем содержать команду эксплуатации.

Нужен ли WAF, если уже есть Anti-DDoS с фильтрацией L7?+

Да. Anti-DDoS L7 фильтрует ботов и объёмные атаки, но не защищает от целевых атак на бизнес-логику: подбор паролей, эксплуатация уязвимостей конкретного приложения, скрейпинг прайса. WAF и Anti-DDoS дополняют друг друга.

Как WAF работает с HTTPS?+

WAF выполняет SSL termination — расшифровывает трафик, анализирует, шифрует обратно. Это требует загрузки приватных ключей в WAF (для on-premise это безопасно, для облачных — оцените риски и используйте HSM).

WAF — не silver bullet. Он работает в связке с безопасной разработкой (SSDLC), регулярными пентестами и Bug Bounty. Команда 1IT помогает выстроить эту связку под требования бизнеса и регуляторов.

Нужна помощь по этой теме?

Обсудим задачу и предложим план за 24 часа. Работаем с компаниями из России и СНГ с 1999 года.

Получить консультацию +7 (495) 648-68-37