Встречаются случаи, когда защиту от DDoS-атак уровня приложений пытаются реализовать на базе ПО WAF, однако такой подход является малоэффективным, так как ПО WAF ориентировано на выявление атак с целью несанкционированного доступа и кражи данных, а не отказа в обслуживании.

Два основных минуса такого подхода:

1. Межсетевые экраны уровня приложений (WAF) не имеют достаточной производительности для того, чтобы проанализировать большой входящий поток запросов, и сами могут выйти из строя, делая веб-ресурс недоступным.

2. Все решения WAF лицензируются по количеству обрабатываемых запросов (RPS или RPM). Следовательно использования ПО WAF для отражения DDoS-атак уровня приложений будет очень дорогим с точки зрения лицензии на ПО WAF.

Мы рекомендуем выстраивать эшелонированную защиту, максимально эффективно используя каждый из инструментов:

• СDN - для расширения географии присутствия, снижения и распределения нагрузки на оригинацию, ускорения доставки web-контента, а также для демпфирования нагрузки на оригинацию с момента начала атаки и до наступления митигации.

• DDoS Protection - для защиты web-ресурса от DDoS-атак (атаки класса отказ в обслуживании), на уровнях L3-L4-L7.

• Edge Logic Rules - для управления обработкой запросов, управления бот-трафиком, блокировок запросов по различным признакам: GEO IP, VPN, TOR, PROXY, User Agent, TLS-отпечатки и т.д..

• WAF - для защиты web-ресурса от атак с целью несанкционированного доступа и кражи данных.