Как стать автором
Поиск
Написать публикацию
Обновить

Практический опыт построения надежной защиты российских веб-приложений

Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров2.6K

Веб‑приложения стали основой цифрового бизнеса — через них компании взаимодействуют с клиентами, партнёрами и сотрудниками, а также автоматизируют ключевые процессы. Вместе с тем растёт и интерес киберпреступников к этим системам: уязвимости в веб‑приложениях и их API всё чаще используются как точка входа в корпоративную инфраструктуру.

По данным ComNews, в 2024 году количество атак на веб‑ресурсы российских компаний выросло в четыре раза по сравнению с предыдущим годом. Среднее число попыток атак и подозрительных действий на один домен достигло 65 миллионов в месяц — против 15 миллионов годом ранее.

Если раньше в прицеле были в основном государственные структуры и крупные корпорации, то теперь под удар попадает бизнес любого масштаба. К числу часто используемых техник относятся SQL-инъекции, межсайтовый скриптинг (XSS), атаки на учетные записи и захват пользовательских сессий. Это лишь часть широкого набора методов, применяемых злоумышленниками. Последствия таких атак варьируются от утечек данных и остановки сервисов до штрафов и репутационных потерь.

Современная архитектура защиты включает в себя межсетевые экраны веб-приложений (WAF, Web Application Firewall) как один из ключевых компонентов. WAF-системы анализируют входящий HTTP(S)-трафик, блокируют вредоносные запросы и предотвращают эксплуатацию уязвимостей веб-приложений.

Почему для защиты веб-приложений важна балансировка нагрузки

Балансировщик нагрузки — ещё один критически важный компонент архитектуры современных веб‑приложений. Он обеспечивает масштабируемость и стабильную работу сервисов. В связке с WAF балансировщик формирует основу надежной и безопасной работы веб-приложений.

Именно поэтому в своё время ведущие западные производители L7-балансировщиков — такие как F5, Citrix NetScaler и Kemp — расширили функциональность своих решений за счёт интеграции WAF. Это была одна из первых дополнительных функций в балансировщиках нагрузки: поскольку весь HTTP(S)-трафик в любом случае проходит через балансировщик, логично анализировать его непосредственно на этом уровне.

Почему западные решения не подходят для защиты российских веб‑приложений

Однако в российских условиях такие решения часто оказываются неприменимыми — по целому ряду причин:

  • Отсутствие адаптации к местным реалиям. Зарубежные решения не учитывают специфику широко используемых в России бизнес‑приложений, таких как 1С и Bitrix24 CRM, которые всё чаще развёртываются в виде веб-сервисов и работают через интернет. Это ведёт к проблемам с интеграцией, стабильностью и качеством защиты. Более того, в текущей геополитической обстановке возможность локализации, поддержки и доработки таких решений практически отсутствует — доступ к обновлениям ограничен, а интерес вендоров к российскому рынку существенно снизился.

  • Производительность. Поскольку западные решения обрабатывают трафик программно на универсальных процессорах (x86 CPU), одновременное выполнение нескольких функций — таких как балансировка нагрузки, WAF и другие — приводит к конкуренции за вычислительные ресурсы. Это может вызывать снижение производительности и делать поведение системы менее предсказуемым под высокой нагрузкой.

  • Несоответствие требованиям регуляторов. Западные решения для балансировки нагрузки не включены в Единый реестр российской радиоэлектронной продукции Минпромторга, а также не имеют необходимых сертификатов соответствия требованиям ФСТЭК. Это делает их использование невозможным в госсекторе, финансовой сфере и на объектах критической информационной инфраструктуры.

Интеграция DS Proxima с российскими WAF: эффективная альтернатива западным решениям

В отличие от западных «комбайнов» с объединёнными функциями балансировки и защиты, альтернативный подход предполагает использование связки специализированных решений. В его основе — аппаратный балансировщик нагрузки DS Proxima интегрированный с продуктами ведущих российских разработчиков WAF. Это позволяет максимально точно учитывать требования локального рынка, специфику популярных бизнес-приложений и нормативы регуляторов.

В этой статье мы делимся практическим опытом построения надёжной и масштабируемой системы на базе интеграции DS Proxima с российским решением SolidWall WAF — продуктом для защиты веб-приложений и API. Эта связка успешно прошла совместное тестирование, подтвердив свою эффективность и работоспособность. Технические детали и архитектурные особенности будут рассмотрены далее.

Описание тестового стенда

Архитектура решения
Архитектура решения

Для имитации реальной сетевой нагрузки в тестовой инфраструктуре использовались генераторы трафика, которые создавали HTTPS-запросы, моделирующие поведение клиентских устройств. Эти запросы направлялись на межсетевые экраны веб-приложений SolidWall WAF, где выполнялись:

  • терминация HTTPS (SSL-офлоадинг),

  • анализ трафика веб-приложений, обнаружение атак (вторжений) и их блокировка,

  • передача отфильтрованных HTTP(S)-запроcов на backend-серверы.

Кластер backend-серверов с установленным на каждом узле NGINX эмулировал различные группы защищаемых веб-приложений. Обратный трафик от backend-серверов проходил через WAF, также подвергаясь проверке.

Балансировку трафика между всеми компонентами обеспечивала пара устройств DS Proxima, обрабатывающих два контура:

  • Контур между клиентами и WAF: используется L4-балансировка на основе hash-функции. Устройства DS Proxima распределяют входящий HTTPS-трафик по кластеру SolidWall WAF, обеспечивая равномерную загрузку и стабильность соединений. Применение hash-функции позволяет сохранять сессионную привязку трафика к одному устройству, что важно для корректной обработки запросов.

  • Контур между WAF и backend-серверами: реализована контент-зависимая маршрутизация (content switching). SolidWall WAF анализирует параметры HTTP-запросов — например, URL или путь — и определяет соответствующую группу веб-приложений, подставляя нужный IP-адрес и порт. Далее DS Proxima выполняет L4-балансировку внутри выбранной группы серверов — также на основе hash-функции.

Архитектура построена с учётом симметричной маршрутизации: прямой и обратный трафик одного соединения всегда проходит через одно и то же устройство WAF. Это обеспечивает корректную работу stateful-фильтрации и сохранение сессий.

DS Proxima поддерживает линейное масштабирование. Высокая производительность до 1 Тбит/c обеспечивает стабильную работу даже под высокой нагрузкой.

Для обеспечения отказоустойчивости DS Proxima выполняет непрерывный контроль состояния WAF и backend-серверов на разных уровнях:

  • L3 — проверка IP-доступности (ICMP Ping);

  • L4 — доступность TCP-порта (TCP keepalive);

  • L7 — работоспособность приложения (HTTP GET).

Возможно логическое объединение проверок (например, доступность IP-адреса и корректный HTTP-ответ).

В ходе тестирования были отработаны различные сценарии отказов: обрыв сетевого канала, отключение отдельных узлов WAF и backend-серверов. Во всех случаях система демонстрировала корректную работу — трафик автоматически перенаправлялся на доступные ресурсы, без потери сессий и с сохранением заданной логики маршрутизации. Это подтвердило надёжность архитектуры и устойчивость к сбоям.

Оба устройства DS Proxima объединены в отказоустойчивый кластер по протоколу VRRP с автоматическим переключением на резервный узел при сбоях основного.

Результаты теста

Результаты тестов подтвердили эффективность связки DS Proxima и SolidWall WAF в задачах защиты и масштабирования веб-приложений. Интеграция этих компонентов позволяет значительно повысить общую производительность и надёжность всей системы за счёт:

  • гибкости масштабирования в двух независимых контурах балансировки (между клиентами и WAF, а также между WAF и backend-серверами);

  • непрерывного мониторинга состояния всех узлов и сетевых каналов;

  • автоматического перенаправления трафика при сбоях.

Реализованный архитектурный подход демонстрирует рациональное распределение задач между компонентами системы:

  • DS Proxima выполняет маршрутизацию и балансировку трафика в высоконагруженных средах на уровне L4, обеспечивая масштабируемость и отказоустойчивость;

  • SolidWall WAF реализует обработку трафика на уровне L7, включая SSL-офлоадинг, анализ HTTP(S)-трафика, фильтрацию вредоносных запросов и защиту от атак.

Такой подход исключает дублирование функций и конкуренцию за вычислительные ресурсы. Это особенно критично для систем, обслуживающих чувствительные или критически важные бизнес-процессы, где важны предсказуемая производительность и высокая доступность.

Заключение

В рамках совместного проекта была создана референсная архитектура для защиты веб-приложений, изначально ориентированная на надёжность, масштабируемость и соответствие требованиям российского рынка.

Мы продолжаем развивать экосистему технологических партнёров в области защиты веб-приложений — в неё входят не только WAF, но и решения класса Anti-DDoS. Это даёт заказчикам возможность гибко выбирать инструменты в зависимости от задач, особенностей инфраструктуры и требований к уровню безопасности.

Если у вас есть практический опыт в этой области — поделитесь в комментариях: как у вас организована защита веб-приложений, какие решения используются и для каких компонентов требуется балансировка трафика?

А если вам близка тема производительной балансировки — присоединяйтесь к нашему Telegram-каналу. Там мы регулярно делимся новостями и реальными кейсами по работе с L4-балансировщиками.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
WAF каких производителей вы используете для защиты веб-приложений?
14.29% SolidWall2
14.29% PT AF2
7.14% Код Безопасности1
0% WAF другого российского производителя0
7.14% WAF встроенный в L7-балансировщики (F5, Citrix, Kemp и др.)1
28.57% WAF другого иностранного производителя4
28.57% Не используем WAF4
Проголосовали 14 пользователей. Воздержались 4 пользователя.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Используете ли вы отдельный балансировщик в связке с WAF или предпочитаете встроенные решения?
14.29% Используем связку из отдельного L4-балансировщика и WAF1
0% Используем связку из отдельного L7-балансировщика и WAF0
14.29% Используем встроенный в L7-балансировщике WAF1
71.43% Не используем балансировщики для WAF5
Проголосовали 7 пользователей. Воздержались 4 пользователя.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Для каких других устройств, обрабатывающих веб-трафик, вам нужна балансировка?
50% NGFW4
12.5% Anti-DDoS1
0% Anti-Bot0
12.5% TLS-шлюз1
25% Другое устройство2
Проголосовали 8 пользователей. Воздержались 3 пользователя.
Теги:
Хабы:
0
Комментарии21

Публикации

Информация

Сайт
dsol.ru
Дата регистрации
Дата основания
Численность
201–500 человек
Местоположение
Россия