Почему WAF не является средством для защиты от DDoS?
В статье рассказывается о минусах использования ПО WAF для защиты от DDoS-атак уровня приложений, и почему так делать не рекомендуется.
Встречаются случаи, когда защиту от DDoS-атак уровня приложений пытаются реализовать на базе ПО WAF, однако такой подход является малоэффективным, так как ПО WAF ориентировано на выявление атак с целью несанкционированного доступа и кражи данных, а не отказа в обслуживании.
Два основных минуса такого подхода:
Межсетевые экраны уровня приложений (WAF) не имеют достаточной производительности для того, чтобы проанализировать большой входящий поток запросов, и сами могут выйти из строя, делая веб-ресурс недоступным.
Все решения WAF лицензируются по количеству обрабатываемых запросов (RPS или RPM). Следовательно использования ПО WAF для отражения DDoS-атак уровня приложений будет очень дорогим с точки зрения лицензии на ПО WAF.
Мы рекомендуем выстраивать эшелонированную защиту, максимально эффективно используя каждый из инструментов:
СDN - для расширения географии присутствия, снижения и распределения нагрузки на оригинацию, ускорения доставки web-контента, а также для демпфирования нагрузки на оригинацию с момента начала атаки и до наступления митигации.
DDoS Protection - для защиты web-ресурса от DDoS-атак (атаки класса отказ в обслуживании), на уровнях L3-L4-L7.
Edge Logic Rules - для управления обработкой запросов, управления бот-трафиком, блокировок запросов по различным признакам: GEO IP, VPN, TOR, PROXY, User Agent, TLS-отпечатки и т.д..
WAF - для защиты web-ресурса от атак с целью несанкционированного доступа и кражи данных.
Last updated