Как выбрать WAF: облачный или on-premise, чек-лист требований

Что делает WAF и зачем его выбирать осознанно

WAF ставится перед веб-приложением и фильтрует входящие запросы по правилам и моделям: сигнатурные правила ловят известные паттерны атак, поведенческие и ML-механизмы — аномалии и неизвестные сценарии. Базовый контур — защита от OWASP Top 10 (инъекции, XSS, небезопасная десериализация, обход контроля доступа и т. д.), плюс ботозащита, ограничение частоты запросов (rate limiting), виртуальный патчинг и инспекция API.

Почему выбор нельзя свести к бренду: один и тот же продукт может отлично работать на статике и «заваливать» ложными срабатываниями динамический личный кабинет; облачный WAF снимает заботу об инфраструктуре, но требует терминировать TLS на стороне провайдера; on-premise даёт контроль над данными, но перекладывает на вас отказоустойчивость и обновления. Поэтому критерии нужно фиксировать до тендера и проверять на пилоте под вашим трафиком.

Облачный WAF или on-premise: что выбрать

Главная развилка — модель развёртывания. Облачный WAF (как сервис) подключается через изменение DNS/проксирование трафика: провайдер берёт на себя инфраструктуру, масштабирование и часть защиты от DDoS, но трафик и терминация TLS уходят на его сторону. On-premise (программный или ПАК) разворачивается в вашем периметре или ЦОД: полный контроль над данными и тонкая настройка, но обновления, кластеризация и пропускная способность — ваша зона ответственности. Гибрид комбинирует оба подхода. Таблица ниже — ориентир по плюсам и минусам, а не универсальный вердикт.

Ключевые критерии выбора WAF

Модель развёртывания — только первый фильтр. Дальше решают функции и качество защиты, которые проверяются на пилоте, а не по маркетинговым листам:

- **Защита от OWASP Top 10.** Базовый контур: инъекции, XSS, обход контроля доступа, небезопасная конфигурация. Требуйте покрытие актуальной редакции OWASP Top 10 и возможность виртуального патчинга уязвимостей до их исправления в коде. - **Защита API.** REST/GraphQL/gRPC, импорт спецификаций (OpenAPI/Swagger), контроль схемы, защита от перебора и утечек через API — отдельный и часто недооценённый блок. - **Ботозащита.** Отделение легитимных пользователей от ботов, защита от парсинга, credential stuffing и перебора; режимы challenge без вреда для конверсии. - **ML и поведенческий анализ.** Качество моделей определяет, ловит ли WAF неизвестные атаки и аномалии логики — но проверяется только на вашем трафике. - **Ложные срабатывания и режим обучения.** Доля false positive напрямую бьёт по бизнесу: блокировка реальных клиентов хуже пропуска. Нужны режим обучения, гибкие исключения и понятная работа с whitelist. - **Производительность и латентность.** Дополнительная задержка на инспекцию и расшифровку TLS под вашей нагрузкой — критична для ЛК, ДБО и оформления заказа. - **Отказоустойчивость.** Кластеризация, fail-open/fail-close, поведение под пиком и отказом узла — особенно для on-premise. - **Реестр и сертификат ФСТЭК.** Для значимых объектов КИИ и госсектора наличие в реестре отечественного ПО и сертификат ФСТЭК (класс, тип) — входной барьер, а не опция.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом WAF и защиты API](/rating/waf-api-security): здесь — критерии и модели развёртывания, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Определились с критериями — переходите к сравнению поставщиков: **[рейтинг WAF и защиты API →](/rating/waf-api-security)**. Полезно прочитать рядом: [российские WAF 2026: чем заменить F5, Imperva и Cloudflare](/research/rossiyskie-waf-2026-zamena-f5-imperva-cloudflare), [WAF vs WAAP: защита API](/research/waf-vs-waap-zashchita-api) и [защита API в финтехе и e-commerce](/research/zashchita-api-finteh-ecommerce).