Когда сайт, API или корпоративный сервис выходят в интернет, базовой сетевой защиты уже недостаточно. Здесь на первый план выходят облачный Firewall и WAF. Их часто путают, но задачи у них разные.
Что делает Cloud Firewall
- фильтрует трафик по IP, портам, протоколам, географии
- блокирует несанкционированный доступ
- помогает ограничить DDoS на сетевом уровне
- управляет правилами доступа между сегментами инфраструктуры
Что делает WAF
- анализирует HTTP/HTTPS-трафик на уровне приложения
- защищает от SQL-инъекций, XSS, LFI/RFI, path traversal
- отслеживает аномальные запросы к сайту и API
- снижает риск эксплуатации уязвимостей в веб-приложениях
Проще говоря: Firewall защищает сеть, WAF — само веб-приложение.
Как правильно настраивать Cloud Firewall ⚙️
- Используйте принцип deny by default — запрещено всё, кроме явно разрешённого
- Открывайте только нужные порты и только для доверенных источников
- Ограничивайте административный доступ по IP, VPN или bastion-host
- Разделяйте публичные и внутренние сервисы отдельными правилами
- Включайте логирование и отправку событий в SIEM/мониторинг
- Регулярно пересматривайте правила: старые “временные” разрешения часто становятся точкой компрометации
Best practices для WAF 🛡️
- Начинайте с режима monitoring, а не instant block — это снижает риск ложных срабатываний
- Включайте готовые rule sets: OWASP Core Rule Set, managed rules провайдера
- Настраивайте исключения под особенности приложения, чтобы не ломать бизнес-логику
- Защищайте не только сайт, но и API endpoints, особенно авторизацию и платежные сценарии
- Добавляйте rate limiting для защиты от brute force, credential stuffing и bot-атак
- Следите за TLS: WAF должен видеть расшифрованный трафик, иначе часть атак останется незамеченной
Типичные ошибки 🚫
- Firewall настроен, а WAF отсутствует — веб-атаки проходят
- WAF включён “по умолчанию”, но без тюнинга — много false positive или слабая защита
- Нет алертов и логов — атака обнаруживается слишком поздно
- Не защищены staging, admin-панели и внутренние API
- Правила не тестируются после релизов приложения
Практический минимум
- Cloud Firewall — закрыть всё лишнее, ограничить доступ, включить логи
- WAF — включить managed rules, настроить rate limiting, проверить false positives
- Мониторинг — собирать события в одном месте и отслеживать инциденты
- Ревизия — пересматривать политику безопасности после каждого значимого изменения инфраструктуры
Итог
Связка Cloud Firewall + WAF — это не “две одинаковые защиты”, а два уровня обороны. Первый контролирует, кто и откуда может подключаться, второй — что именно пытаются сделать внутри веб-трафика. Только в комбинации они дают реальную защиту для современных веб-сервисов и API. ✅
👀 Ниже стоит посмотреть подборку каналов про IT — там много полезного по инфраструктуре, безопасности и облакам.