Веб‑приложения стали основой цифрового бизнеса — через них компании взаимодействуют с клиентами, партнёрами и сотрудниками, а также автоматизируют ключевые процессы. Вместе с тем растёт и интерес киберпреступников к этим системам: уязвимости в веб‑приложениях и их API всё чаще используются как точка входа в корпоративную инфраструктуру.
По данным ComNews, в 2024 году количество атак на веб‑ресурсы российских компаний выросло в четыре раза по сравнению с предыдущим годом. Среднее число попыток атак и подозрительных действий на один домен достигло 65 миллионов в месяц — против 15 миллионов годом ранее.
Если раньше в прицеле были в основном государственные структуры и крупные корпорации, то теперь под удар попадает бизнес любого масштаба. К числу часто используемых техник относятся SQL-инъекции, межсайтовый скриптинг (XSS), атаки на учетные записи и захват пользовательских сессий. Это лишь часть широкого набора методов, применяемых злоумышленниками. Последствия таких атак варьируются от утечек данных и остановки сервисов до штрафов и репутационных потерь.
Современная архитектура защиты включает в себя межсетевые экраны веб-приложений (WAF, Web Application Firewall) как один из ключевых компонентов. WAF-системы анализируют входящий HTTP(S)-трафик, блокируют вредоносные запросы и предотвращают эксплуатацию уязвимостей веб-приложений.
Почему для защиты веб-приложений важна балансировка нагрузки
Балансировщик нагрузки — ещё один критически важный компонент архитектуры современных веб‑приложений. Он обеспечивает масштабируемость и стабильную работу сервисов. В связке с WAF балансировщик формирует основу надежной и безопасной работы веб-приложений.
Именно поэтому в своё время ведущие западные производители L7-балансировщиков — такие как F5, Citrix NetScaler и Kemp — расширили функциональность своих решений за счёт интеграции WAF. Это была одна из первых дополнительных функций в балансировщиках нагрузки: поскольку весь HTTP(S)-трафик в любом случае проходит через балансировщик, логично анализировать его непосредственно на этом уровне.
Почему западные решения не подходят для защиты российских веб‑приложений
Однако в российских условиях такие решения часто оказываются неприменимыми — по целому ряду причин:
Отсутствие адаптации к местным реалиям. Зарубежные решения не учитывают специфику широко используемых в России бизнес‑приложений, таких как 1С и Bitrix24 CRM, которые всё чаще развёртываются в виде веб-сервисов и работают через интернет. Это ведёт к проблемам с интеграцией, стабильностью и качеством защиты. Более того, в текущей геополитической обстановке возможность локализации, поддержки и доработки таких решений практически отсутствует — доступ к обновлениям ограничен, а интерес вендоров к российскому рынку существенно снизился.
Производительность. Поскольку западные решения обрабатывают трафик программно на универсальных процессорах (x86 CPU), одновременное выполнение нескольких функций — таких как балансировка нагрузки, WAF и другие — приводит к конкуренции за вычислительные ресурсы. Это может вызывать снижение производительности и делать поведение системы менее предсказуемым под высокой нагрузкой.
Несоответствие требованиям регуляторов. Западные решения для балансировки нагрузки не включены в Единый реестр российской радиоэлектронной продукции Минпромторга, а также не имеют необходимых сертификатов соответствия требованиям ФСТЭК. Это делает их использование невозможным в госсекторе, финансовой сфере и на объектах критической информационной инфраструктуры.
Интеграция DS Proxima с российскими WAF: эффективная альтернатива западным решениям
В отличие от западных «комбайнов» с объединёнными функциями балансировки и защиты, альтернативный подход предполагает использование связки специализированных решений. В его основе — аппаратный балансировщик нагрузки DS Proxima интегрированный с продуктами ведущих российских разработчиков WAF. Это позволяет максимально точно учитывать требования локального рынка, специфику популярных бизнес-приложений и нормативы регуляторов.
В этой статье мы делимся практическим опытом построения надёжной и масштабируемой системы на базе интеграции DS Proxima с российским решением SolidWall WAF — продуктом для защиты веб-приложений и API. Эта связка успешно прошла совместное тестирование, подтвердив свою эффективность и работоспособность. Технические детали и архитектурные особенности будут рассмотрены далее.
Описание тестового стенда
Для имитации реальной сетевой нагрузки в тестовой инфраструктуре использовались генераторы трафика, которые создавали HTTPS-запросы, моделирующие поведение клиентских устройств. Эти запросы направлялись на межсетевые экраны веб-приложений SolidWall WAF, где выполнялись:
терминация HTTPS (SSL-офлоадинг),
анализ трафика веб-приложений, обнаружение атак (вторжений) и их блокировка,
передача отфильтрованных HTTP(S)-запроcов на backend-серверы.
Кластер backend-серверов с установленным на каждом узле NGINX эмулировал различные группы защищаемых веб-приложений. Обратный трафик от backend-серверов проходил через WAF, также подвергаясь проверке.
Балансировку трафика между всеми компонентами обеспечивала пара устройств DS Proxima, обрабатывающих два контура:
Контур между клиентами и WAF: используется L4-балансировка на основе hash-функции. Устройства DS Proxima распределяют входящий HTTPS-трафик по кластеру SolidWall WAF, обеспечивая равномерную загрузку и стабильность соединений. Применение hash-функции позволяет сохранять сессионную привязку трафика к одному устройству, что важно для корректной обработки запросов.
Контур между WAF и backend-серверами: реализована контент-зависимая маршрутизация (content switching). SolidWall WAF анализирует параметры HTTP-запросов — например, URL или путь — и определяет соответствующую группу веб-приложений, подставляя нужный IP-адрес и порт. Далее DS Proxima выполняет L4-балансировку внутри выбранной группы серверов — также на основе hash-функции.
Архитектура построена с учётом симметричной маршрутизации: прямой и обратный трафик одного соединения всегда проходит через одно и то же устройство WAF. Это обеспечивает корректную работу stateful-фильтрации и сохранение сессий.
DS Proxima поддерживает линейное масштабирование. Высокая производительность до 1 Тбит/c обеспечивает стабильную работу даже под высокой нагрузкой.
Для обеспечения отказоустойчивости DS Proxima выполняет непрерывный контроль состояния WAF и backend-серверов на разных уровнях:
L3 — проверка IP-доступности (ICMP Ping);
L4 — доступность TCP-порта (TCP keepalive);
L7 — работоспособность приложения (HTTP GET).
Возможно логическое объединение проверок (например, доступность IP-адреса и корректный HTTP-ответ).
В ходе тестирования были отработаны различные сценарии отказов: обрыв сетевого канала, отключение отдельных узлов WAF и backend-серверов. Во всех случаях система демонстрировала корректную работу — трафик автоматически перенаправлялся на доступные ресурсы, без потери сессий и с сохранением заданной логики маршрутизации. Это подтвердило надёжность архитектуры и устойчивость к сбоям.
Оба устройства DS Proxima объединены в отказоустойчивый кластер по протоколу VRRP с автоматическим переключением на резервный узел при сбоях основного.
Результаты теста
Результаты тестов подтвердили эффективность связки DS Proxima и SolidWall WAF в задачах защиты и масштабирования веб-приложений. Интеграция этих компонентов позволяет значительно повысить общую производительность и надёжность всей системы за счёт:
гибкости масштабирования в двух независимых контурах балансировки (между клиентами и WAF, а также между WAF и backend-серверами);
непрерывного мониторинга состояния всех узлов и сетевых каналов;
автоматического перенаправления трафика при сбоях.
Реализованный архитектурный подход демонстрирует рациональное распределение задач между компонентами системы:
DS Proxima выполняет маршрутизацию и балансировку трафика в высоконагруженных средах на уровне L4, обеспечивая масштабируемость и отказоустойчивость;
SolidWall WAF реализует обработку трафика на уровне L7, включая SSL-офлоадинг, анализ HTTP(S)-трафика, фильтрацию вредоносных запросов и защиту от атак.
Такой подход исключает дублирование функций и конкуренцию за вычислительные ресурсы. Это особенно критично для систем, обслуживающих чувствительные или критически важные бизнес-процессы, где важны предсказуемая производительность и высокая доступность.
Заключение
В рамках совместного проекта была создана референсная архитектура для защиты веб-приложений, изначально ориентированная на надёжность, масштабируемость и соответствие требованиям российского рынка.
Мы продолжаем развивать экосистему технологических партнёров в области защиты веб-приложений — в неё входят не только WAF, но и решения класса Anti-DDoS. Это даёт заказчикам возможность гибко выбирать инструменты в зависимости от задач, особенностей инфраструктуры и требований к уровню безопасности.
Если у вас есть практический опыт в этой области — поделитесь в комментариях: как у вас организована защита веб-приложений, какие решения используются и для каких компонентов требуется балансировка трафика?
А если вам близка тема производительной балансировки — присоединяйтесь к нашему Telegram-каналу. Там мы регулярно делимся новостями и реальными кейсами по работе с L4-балансировщиками.
