Интеллектуальный анализ безопасности
NSFOCUS WAF использует Intelligent Detection на базе машинного обучения, снижая ложные срабатывания и пропуски атак. Система анализирует поведение запросов, формирует профили нормальной активности и применяет модель положительного поведения, дополняемую сигнатурной моделью для выявления известных угроз.
Защита приложений и API
WAF обеспечивает защиту по OWASP Top 10 и API Top 10, предотвращая SQL‑инъекции, XSS, CSRF, XML/LDAP/SSI/XPath‑атаки, удаленное включение файлов, перебор путей, WebShell и фишинг. Поддерживаются контроль загрузки файлов, защита cookie, управление доступом к URL и предотвращение веб‑парсинга.
Контроль ответов и предотвращение утечек данных
Система анализирует исходящий трафик и предотвращает утечку конфиденциальной информации, включая данные банковских карт, идентификаторы личности и другие чувствительные данные. Поддерживается защита от переполнения буфера и механизм предотвращения потери данных.
Безопасность веб‑сервера и сети
WAF обеспечивает маскировку веб‑сервера, защиту расширений, списки контроля доступа, защиту от ARP‑спуфинга и отравления cookies. Поддерживаются VLAN 802.1Q, декодирование VLAN, защита в магистрали и порт‑каналах. Реализован мониторинг состояния сервера в реальном времени.
Защита от DDoS‑атак уровня приложений
NSFOCUS WAF защищает от TCP‑флудов, HTTP/S GET/POST‑флудов до 1 Гбит/с, атак «Low‑and‑Slow» и атак методом перебора. Поддерживается интеграция с внешними и облачными системами Anti‑DDoS.
Сервисы безопасности и управление политиками
WAF включает фильтрацию контента и конфиденциальной информации, репутацию IP‑адресов, геолокационный контроль, виртуальное исправление уязвимостей и гибкие политики по уровню риска. Поддерживаются исключения, декодирование Base64, анализ ложных срабатываний и автоматическая оптимизация.
Поддерживаемые протоколы и доставка приложений
Поддерживаются HTTP/HTTPS, XML/SOAP, WebSocket, HSTS и полный стек IPv4/IPv6. Реализованы разгрузка SSL, сжатие HTTP, балансировка нагрузки L7 и защита от взлома веб‑страниц.
Высокая доступность
WAF поддерживает схемы HA: active/active, active/passive, VRRP. Реализован программный bypass, аппаратный bypass при сбое, аварийный режим при перегрузке и офлайн‑захват сервера.
Управление и отчетность
Поддерживаются веб‑интерфейс и SSH, SNMP и Syslog, REST API, мониторинг в реальном времени, централизованные журналы и отчёты, включая PCI‑DSS.
Основные функции
| Функция | Техническое описание |
| Интеллектуальный анализ безопасности | Технология Intelligent Detection™ на основе машинного обучения, поведенческий анализ, автоматический разбор ложных срабатываний, сигнатурная модель. |
| Защита веб‑приложений и API | OWASP Top 10 и OWASP API Top 10, защита от SQL‑инъекций, XSS, CSRF, XML/LDAP/SSI/XPath‑инъекций, WebShell, обхода путей, атак на XML, фишинга и веб‑скрейпинга. |
| Безопасность API | Обнаружение угроз и злоупотреблений API, контроль структуры запросов и схем, защита API‑эндпоинтов. |
| Контроль файлов и запросов | Проверка загрузки и скачивания файлов, защита cookie (подпись и шифрование), контроль доступа к URL‑адресам. |
| Предотвращение утечек данных (DLP) | Контроль исходящего трафика, защита персональных и конфиденциальных данных, маскирование чувствительной информации, предотвращение кражи данных. |
| Безопасность веб‑сервера и сети | Маскировка веб‑сервера, защита серверных расширений, списки контроля доступа (ACL), защита от ARP‑подмены, защита от отравления cookie, поддержка VLAN 802.1Q, защита trunk‑линий и порт‑каналов. |
| Защита от DDoS‑атак уровня приложений | TCP‑флуды (SYN/ACK), HTTP/HTTPS GET/POST‑флуды (до 1 Гбит/с), медленные (low‑and‑slow) атаки, интеграция с локальными и облачными решениями NSFOCUS Anti‑DDoS. |
| Сервисы безопасности | Фильтрация контента и конфиденциальной информации, репутация IP‑адресов, геолокация по IP, виртуальное исправление уязвимостей (virtual patching), политики по уровням риска, исключения, декодирование Base64. |
| Поддерживаемые протоколы и стандарты | HTTP/HTTPS, XML/SOAP, WebSocket, поддержка HSTS, полный стек IPv4/IPv6. |
| Доставка приложений | Разгрузка HTTPS/SSL, сжатие HTTP‑трафика, балансировка нагрузки уровня 7, модель позитивной безопасности (whitelist‑подход), сигнатурная модель (negative security), защита веб‑страниц, предварительная загрузка страниц, захват офлайн‑серверов. |
| Высокая доступность | Режимы Active/Active и Active/Passive, VRRP, программный обход (software bypass) и аппаратный bypass интерфейсов, аварийный режим при перегрузке по числу новых подключений, загрузке CPU и памяти. |
| Управление и отчётность | Веб‑интерфейс управления, CLI по SSH, SNMP, Syslog, REST API, отчёты по PCI‑DSS, централизованное ведение журналов, панель мониторинга в реальном времени, Geo‑IP‑аналитика и блокировка. |
| Виртуальные и облачные варианты | Поддержка виртуальных WAF для VMware и KVM, развертывание в AWS, AliCloud, HUAWEI, ZTE, Wo Cloud, Softbank, OpenStack. |