Недостатки использования WAF при митигации DDoS-атак

Встречаются случаи, когда защиту от DDoS-атак уровня приложений пытаются реализовать на базе ПО WAF, однако такой подход является малоэффективным.

Межсетевые экраны уровня приложений, или WAF, служат для обнаружения и предотвращения атак, направленных на несанкционированный доступ к системе, использование уязвимостей и кражу данных.

Для выполнения своих задач WAF требует значительных вычислительных ресурсов, чтобы анализировать каждый поступающий запрос. В случае DDoS-атаки может возникнуть ситуация, когда производительности вычислительного кластера, на котором установлено ПО WAF, или самого ПО WAF недостаточно для обработки возросшего количества входящих запросов. В результате веб-ресурс может стать недоступным для пользователей.

WAF лицензируется в зависимости от количества обрабатываемых запросов (RPS или RPM). Поэтому во время DDoS-атак, если нагрузка на WAF увеличивается, стоимость защиты может значительно возрасти. В некоторых случаях WAF перестаёт обрабатывать запросы, которые превышают уровень, определённый лицензией.

Чтобы обеспечить более эффективную защиту, рекомендуется использовать многоуровневую систему защиты, где WAF будет последним уровнем защиты перед веб-сервером. В этой системе WAF будет обрабатывать только те запросы, которые не были заблокированы специализированными системами защиты от DDoS-атак.