Веб-приложения ежедневно сталкиваются с тремя типами угроз: эксплуатация уязвимостей, бот-трафик и DDoS-атаки. Раньше для защиты приходилось собирать конструктор из трёх разных сервисов. Check Risk WAF — российский облачный сервис, который объединяет WAF, антибот и анти-DDoS в одной подписке.
- Архитектура и механика работы Check Risk WAF
- Три компонента защиты
- Уровни защиты и режимы работы
- Как настроить защиту: пример работы с DNS
- Сравнение с альтернативами
- Ключевые преимущества сервиса
- Полная комплектация защиты в одном сервисе
- Отказоустойчивая инфраструктура с трёхкратным резервированием
- Бесплатное внедрение силами вендора
- Когда стоит выбрать Check Risk WAF
- Часто задаваемые вопросы
- С какими типами приложений работает Check Risk WAF?
- Что входит в тариф «Пользовательская» за 2000 ₽/мес?
- Как происходит интеграция с SIEM-системами?
- Какие есть режимы работы WAF?
- Как обрабатывается HTTPS-трафик?
- Итог
Архитектура и механика работы Check Risk WAF
Сервис работает как reverse proxy. Вы направляете трафик на ноды Check Risk, где происходит фильтрация, и уже очищенные запросы уходят на ваш сервер. Подключение стандартное — меняете A-запись домена на IP, который выдаёт сервис.
Три компонента защиты
- WAF-модуль анализирует HTTP-запросы и блокирует атаки из OWASP Top 10: SQL-инъекции, XSS, внедрение кода через API;
- Модуль антибот отсекает парсеры, фальшивые скрипты, клик-ботов и брутфорс;
- Анти-DDoS гасит атаки на уровнях L3, L4 и L7, сохраняя доступность ресурса для обычных пользователей.
Уровни защиты и режимы работы
В сервисе предусмотрено четыре уровня защиты: стандартный, расширенный (включён по умолчанию), высокий и максимальный. Вы также можете выбрать один из трёх режимов: «Активная защита» с применением всех правил, «Режим мониторинга» для анализа трафика без блокировки, либо полностью отключить защиту.
Как настроить защиту: пример работы с DNS
Подключение не требует изменений в коде приложения. Вот как выглядит схема перенаправления трафика через Nginx:
2
3
4
5
6
7
8
9
10
11
12
13
14
listen 80;
server_name example.com;
location / {
# Исходный запрос уходит на ноды Check Risk
proxy_pass https://check-risk-node.example.com;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
# После фильтрации очищенный трафик
# направляется на ваш бэкенд
proxy_pass http://your_backend_server;
}
}
После настройки DNS и прокси весь трафик сначала идёт на серверы Check Risk, проходит фильтрацию и только потом — на ваш бэкенд. Злоумышленник даже не достигает вашего сервера.
Сравнение с альтернативами
На рынке есть отдельные WAF, антибот-сервисы и анти-DDoS решения. Ниже таблица показывает отличия подхода Check Risk.
| Характеристика | Check Risk WAF | Отдельный WAF | Антибот-сервис |
|---|---|---|---|
| WAF-фильтрация | Да | Да | Нет |
| Антибот | Да | Обычно нет | Да |
| Анти-DDoS | Да (L3–L7) | Нет | Нет |
| Количество провайдеров | Один | Один | Один |
| Интеграция между модулями | Из коробки | Ручная настройка | Ручная настройка |
Из таблицы видно: покупка трёх разных сервисов потребует отдельной интеграции и дополнительных ресурсов на поддержку. Check Risk WAF даёт всё сразу в одном контуре.
Ключевые преимущества сервиса
Какие плюсы я для себя выделил:
Полная комплектация защиты в одном сервисе
Платформа Check Risk WAF заменяет разрозненные инструменты единым контуром фильтрации HTTP-трафика. Вы получаете централизованное управление политиками безопасности для сайтов, личных кабинетов и SaaS-платформ. Объединение функционала разгружает серверные мощности бизнеса — вычислительные ресурсы тратятся на обработку полезных сессий, а не на технический анализ мусорных сетевых пакетов.
Отказоустойчивая инфраструктура с трёхкратным резервированием
Инфраструктура сервиса развёрнута минимум в трёх географически распределённых центрах обработки данных. Заказчики могут выбирать, на каких мощностях будет работать их выделенная инфраструктура — в список входят FirstVDS, Yandex Cloud, Cloud.ru, Reg.ru. Система гарантирует непрерывную доступность сервиса благодаря аппаратному дублированию компонентов.
Балансировщики нагрузки динамически перенаправляют соединения на резервные узлы, изолированные серверные сегменты предотвращают каскадные сбои при DDoS-перегрузках, резервные оптические каналы связи гарантируют работу фильтрующих машин. SLA сервиса составляет 99.9%.
Бесплатное внедрение силами вендора
Развертывание защитных контуров часто тормозит из-за нехватки штатных инженеров по информационной безопасности. Специалисты Check Risk WAF забирают на себя технические этапы подключения, внедряя сервис в ИТ-архитектуру клиента бесплатно.
Вендор анализирует доменные зоны, подбирает схему маршрутизации и конфигурирует правила под конкретные уязвимости проекта. Процесс установки обходится без перестройки серверной части или изменения исходного кода портала. Инженеры самостоятельно обновляют DNS-записи, тестируют работоспособность и помогают настроить политики безопасности.
Когда стоит выбрать Check Risk WAF
По моему опыту, сервис подходит для следующих ситуаций:
- У вас нет выделенного ИБ-специалиста, а внедрение делают силами вендора бесплатно;
- Вы хотите сэкономить бюджет и не платить за три разных сервиса по отдельности;
- Вам нужна гарантированная доступность 99.9% и WAF защита веб сайтов от DDoS на всех уровнях;
- Вы работаете с российскими ЦОД и требованиями к локализации данных.
Сервис подойдёт и джуниорам, и мидлам, и командам без профильного ИБ-инженера. Вам не нужно разбираться в настройке сложных правил — инженеры Check Risk сделают это бесплатно.
Часто задаваемые вопросы
Ниже разобраны основные вопросы, которые возникают при выборе WAF-сервиса.
С какими типами приложений работает Check Risk WAF?
Сервис поддерживает любые веб-приложения и архитектуры: CMS (WordPress, WooCommerce), API, SPA, SSR, микросервисы. Проксирование работает на любом порту (HTTP/HTTPS), можно подключить несколько upstream’ов.
Что входит в тариф «Пользовательская» за 2000 ₽/мес?
В базовый тариф входит 10 QPS, защита «анти-бот + анти-DDoS + WAF», кластеризация в трёх ЦОД и ширина канала 1 Гбит/с. Безлимитное количество веб-приложений.
Как происходит интеграция с SIEM-системами?
Check Risk WAF отправляет события во внешние системы по Syslog. Из коробки идут коннекторы для PT SIEM, MaxPatrol SIEM и Kaspersky Unified Monitoring and Analysis Platform (KUMA).
Какие есть режимы работы WAF?
Три режима: активная защита (применяются все правила), режим мониторинга (отслеживание без блокировки), защита отключена. Четыре уровня защиты — от стандартного до максимального.
Как обрабатывается HTTPS-трафик?
Сервис выполняет глубокую инспекцию зашифрованного HTTPS-трафика. Можно добавить собственные SSL-сертификаты или получить их от Let’s Encrypt. Система самостоятельно следит за сроками действия сертификатов и автоматически их обновляет.
Итог
Check Risk WAF — российский сервис, который заменяет три инструмента защиты одним. Вы получаете WAF, антибот и анти-DDoS в одной подписке. Инфраструктура развёрнута минимум в трёх ЦОД с SLA 99.9%. Внедрение делают инженеры вендора бесплатно.
Какой из трёх компонентов защиты (WAF, антибот или анти-DDoS) для вашего проекта самый актуальный и почему? Поделитесь мнением в комментариях!