Обзор UserGate WAF 7.6.x: новая версия межсетевого экрана уровня веб-приложений

Обзор UserGate WAF 7.6.x: новая версия межсетевого экрана уровня веб-приложений

Веб-приложения давно стали основной мишенью злоумышленников, атакующих информационный периметр: по данным отраслевых аналитиков, значительная часть успешных кибератак была направлена именно на уровень приложений, минуя традиционные средства сетевой защиты. SQL-инъекции, межсайтовый скриптинг, эксплуатация уязвимостей устаревшего ПО, боты-парсеры и HTTP-флуд – все это угрозы, с которыми обычный межсетевой экран (и даже NGFW) просто не предназначен бороться.

На этом фоне российский разработчик UserGate планомерно развивает собственный Web Application Firewall, в этом году получивший сокращенное имя uWAF. Для защиты веб-приложений, сайтов и API от узконаправленных атак на уровне приложений uWAF выполняет полный разбор HTTP-пакетов и анализирует содержимое запросов и ответов.

За последний год продукт прошёл несколько значимых этапов развития. В версии 7.4.1 (обзор которой можно прочитать тут) появилась поддержка кластеризации, модуль антибота Malicious User-Agent и управление WebSocket-трафиком. Версия 7.5.0 принесла прирост производительности на 31% (для конфигурации 4 ядра) и 23% (8 ядер), переработанные дашборды с гибкой настройкой виджетов, а также возможность кастомизировать страницу блокировки и код HTTP-ответа. Одновременно была представлена аппаратная платформа E3010 для высоконагруженных инсталляций.

В версии 7.6.0, вышедшей в июне 2026 года, были добавлены дополнительные возможности, необходимые Enterprise-сегменту. Производительность одного узла достигла 20 000 RPS, появилась возможность централизованного мониторинга (UserGate MC) и возможность централизованного сбора логов (LogAn), а инструменты работы с журналом атак в продукте стали заметно удобнее.

В этом обзоре мы рассмотрим актуальную версию uWAF 7.6.0: его функциональность, архитектуру и лицензирование, а также изменения по сравнению с предыдущей версией.

Возможности UserGate WAF

1. Анализ запросов и защита от угроз на уровне веб-приложений.

Основная задача uWAF – анализировать трафик на уровне L7 для выявления и блокировки опасных запросов. Для анализа используются как сигнатуры от собственного центра экспертизы UserGate uFactor, так и правила, создаваемые самими пользователями (администраторами) uWAF. Обновление экспертизы происходит независимо от обновления версии продукта – через подписку Security Updates от команды uFactor.

Какие элементы безопасности веб-приложений реализует uWAF?

  • Защита от угроз OWASP Top 10. Встроенные сигнатуры защиты содержат более 8 800 правил, охватывающих актуальный список угроз OWASP Top 10 в редакциях 2017, 2021 и 2025 годов. Среди типов атак, которые система способна обнаруживать и блокировать:
  • SQL-инъекции и XSS (межсайтовый скриптинг);
  • Использование ошибок аутентификации
  • XXE (атаки через внешние XML-сущности);
  • CSRF (подделка межсайтовых запросов);
  • Command Execution, LDAP-инъекции, XPath-инъекции;
  • Path Traversal и Directory Indexing;
  • Session Hijacking;
  • HTTP Response Splitting и HTTP Parser Attack;
  • Загрузка вредоносных файлов;
  • Vulnerability Scan, Detection Evasion и другие.
  • Защита от ботов и DoS-атак. Модуль антибота позволяет разграничивать легитимных ботов (YandexBot, Googlebot и другие поисковые краулеры из преднастроенного белого списка) и вредоносных (парсеры данных, сканеры уязвимостей) с последующей блокировкой их активности. В библиотеке экспертизы насчитывается более 2 600 вариаций для модуля Malicious User-Agent. Для противодействия DoS-атакам на уровне приложений система блокирует HTTP-флуд и повторяющиеся запросы к эндпойнтам. Фильтрация ботов и атак через WAF разгружает бэкенд, сохраняя вычислительную мощность серверов для реальных пользователей.
  • Виртуальный патчинг. Одна из ключевых возможностей WAF – возможность оперативно закрыть обнаруженную уязвимость без изменения исходного кода приложения и/или без ожидания официального патча от вендора ПО. Это достигается с помощью пользовательского правила блокировки, или с помощью hotfix-сигнатур от центра экспертизы uFactor. Таким образом, не нужно будет проходить полный цикл установки обновлений (тестирование, согласование перезагрузки серверов и т.п.).
  • Предотвращение утечек данных. UserGate WAF анализирует не только входящие запросы, но и исходящие ответы сервера. Если в ответе обнаруживается чувствительная информация – адреса электронной почты, номера телефонов, фрагменты технических ошибок, стектрейсы – такой ответ может быть заблокирован, что снижает риск нежелательного раскрытия данных.
  • Управление WebSocket. Для WebSocket-трафика настраивается раздельное логирование, проверка целостности запроса, белые списки значений заголовка Origin.

2. Создание пользовательских правил с помощью UserGate Policy Language (UPL), кастомизация.

  • Создание исключений для правил новый функционал версии 7.6.0, теперь при необходимости можно более точно настроить действие сигнатур, поставляемых центром экспертизы UserGate.
  • Создание пользовательских правил предусмотрено для сценариев uWAF, которые не покрываются встроенными модулями. Для этого используется язык описания UserGate Policy Language (UPL) собственной разработки UserGate. UPL позволяет описывать условия на основе любого параметра HTTP-запроса (путь URL, заголовки, cookie, тело запроса и ответа, метод, геолокация источника и многое другое). Все правила в рамках профиля обрабатываются параллельно, что положительно сказывается на производительности.
  • Настройка блокировки – действия, отображаемая страница и кода ответа. uWAF позволяет гибко настраивать реакцию системы на заблокированные запросы – как в части содержимого ответа, так и в части HTTP-кода.

Для каждого правила или группы правил блокировки можно применить один из следующих вариантов поведения:

  • отправка пользователю настраиваемой HTML-страницы блокировки с произвольным текстом и кодом ответа. Администратор может загрузить собственный шаблон страницы, что позволяет оформить страницу блокировки в корпоративном стиле и сообщить пользователю контакты для связи с поддержкой.
  • переадресация пользователя на другой адрес с одновременной отправкой настраиваемого текста и кода ответа.
  • разрыв соединения – отправка TCP-пакета с флагом RST без каких-либо данных. Наиболее жесткий вариант, не раскрывающий атакующему информацию о причине отказа.

3. Расшифровка HTTPS.

UserGate WAF обеспечивает полную видимость зашифрованного трафика: устройство может само расшифровывать HTTPS или принимать уже расшифрованный трафик от балансировщика.

4. Дашборды и мониторинг.

  • Дашборды. UserGate WAF оснащен развитой системой визуализации, появившейся в версии 7.5.0 и получившей название «Дашборды 2.0». Интерфейс полностью настраивается: виджеты свободно перемещаются по экрану, поддерживается многоуровневая фильтрация по странам, типам атак, защищаемым ресурсам, кодам состояния и методам HTTP.
  • Журнал атак отображает детальную информацию по каждому срабатыванию: WAF-профиль и слой, сработавшее правило, действие, уровень угрозы, IP-источника, метод и версию HTTP. При открытии карточки события доступны оригинальный запрос и ответ. В версии 7.6.0 добавлена подсветка причин срабатывания: в карточке события выделяется конкретный сегмент трафика – например, значение параметра, содержащее вредоносную нагрузку, что существенно сокращает время расследования инцидентов и упрощает тонкую настройку правил.
  • Экспорт логов. Логи uWAF экспортируются по syslog, SSH, FTP или передаются в SIEM в форматах JSON и CEF. В версии 7.6.0 реализовано прямое подключение узлов WAF к UserGate Log Analyzer для централизованного сбора логов с нескольких узлов без дополнительных ресурсов и промежуточных агентов. Также добавлена интеграция с UserGate Management Center: через единую консоль MC администратор наблюдает за статусом и нагрузкой всех узлов WAF, активирует лицензии.

Новые возможности версии 7.6.x

Версия 7.6.0 внесла ряд улучшений:

  • Подсветка причин срабатывания. В журнале атак теперь выделяется конкретный сегмент трафика, спровоцировавший срабатывание правила фильтрации. Это существенно сокращает время расследования инцидентов.
  • Исключения для системных правил. Администраторы могут создавать точечные исключения для встроенных правил по набору условий (URL-путь, IP-источник, метод, заголовки и т. д.), снижая количество ложных срабатываний без отключения целых модулей.
  • Новые возможности UserGate Policy Language. В UPL добавлен анализ тела запроса и ответа на наличие конкретных сигнатур (регулярные выражения), работа по расписанию, счетчик событий в рамках временного окна (для создания правил ограничения скорости) и широкий набор действий – log_message, set, delete, append, replace, encrypt, body_inject, set_cookie_token, redirect, inc, dec и другие.
  • Управление размером тела пакета для анализа. Можно настраивать максимальный объем тела запроса, который будет подвергаться анализу uWAF.
  • Оптимизация производительности. Теперь один узел uWAF может обрабатывать до 20 000 RPS (ПАК UserGate WAF 8010 или виртуальный uWAF с 200 ядрами).
  • Оптимизация применения профиля защиты. Оптимизировано время применения, теперь оно зависит от объема изменений. Переключение между старым и новым профилем происходит бесшовно; в журнале событий и центре уведомлений отображается ход конфигурирования в реальном времени.
  • Подключение к UserGate MC и LogAn. Узлы WAF теперь подключаются к системе централизованного управления UserGate Management Center для мониторинга статуса, нагрузки и активации лицензий. Прямое подключение к UserGate LogAn позволяет централизованно собирать логи с нескольких узлов WAF быстрее и с использованием меньшего количества ресурсов, чем стандартный syslog.

Архитектура

UserGate WAF работает как reverse-proxy и размещается внутри сетевой инфраструктуры организации – за периметровым NGFW (а при высоких рисках DDoS – еще и за L7 Anti-DDoS-провайдером). Весь HTTP(S)-трафик к защищаемым веб-приложениям проходит через WAF, который анализирует каждый запрос и ответ, пропуская легитимный трафик и блокируя вредоносный.

UserGate WAF поставляется в трех форм-факторах:

  • программно-аппаратный комплекс (ПАК)
  • образ виртуальной машины
  • облачный WAF (WAF-as-a-Service)

Доверенные программно-аппаратные комплексы

UserGate WAF – один из немногих доверенных ПАК с функциональностью WAF. Все ПАК внесены в Реестр Минпромторга (МПТ) и сертифицированы ФСТЭК.

МодельПроизводительность
UserGate WAF D200до 1 200 RPS
UserGate WAF E1000до 2 200 RPS
UserGate WAF E3010до 5 000 RPS
UserGate WAF F8000до 5 400 RPS
UserGate WAF F8010до 20 000 RPS

Производительность и масштабирование виртуальных машин

uWAF оптимизирован для работы с минимальными системными требованиями и поддерживает гибкое вертикальное масштабирование от 4 до 200 ядер ЦП на одном узле. В версии 7.6.0 улучшена оптимизация работы на большом количестве ядер: один узел способен обрабатывать до 20 000 RPS при конфигурации в 200 ядер. Для масштабирования свыше 20 000 RPS или построения отказостойчивой архитектуры поддерживаются программные (HAProxy, Nginx) и аппаратные (DS Integrity NG) балансировщики нагрузки.

Виртуальный образ доступен в форматах OVF (VMware, VirtualBox), QCOW2 (KVM) и VHDX (Hyper-V). Минимальные системные требования: 4 ядра от 2,5 ГГц, 12 ГБ ОЗУ, накопитель от 200 ГБ.

Ядра ЦППроизводительность
4до 1 000 RPS
8до 2 100 RPS
12до 3 200 RPS
16до 3 800 RPS
24до 4 500 RPS
32до 6 000 RPS
200до 20 000 RPS

Облачный формат: WAF as a Service на базе Nubes

Помимо развертывания on-premise, UserGate WAF доступен в формате управляемого облачного сервиса. Первым сервис-провайдером, оказывающим услуги на базе технологий uWAF, является российский облачный провайдер Nubes. Клиент получает полноценный UserGate WAF с сертификатом ФСТЭК России с обновлением баз экспертизы от uFactor в реальном времени.

Трафик к защищаемым приложениям анализируется внутри облачной платформы Nubes – это минимизирует задержки и исключает необходимость передавать трафик за ее периметр. Провайдер берет на себя первичную настройку, тюнинг политик и мониторинг 24/7 с реагированием на инциденты. При необходимости к сервису подключается опциональная защита от DDoS-атак.

Защита закрытого контура

UserGate WAF поддерживает работу в изолированных инфраструктурах без доступа в Интернет. Активация лицензии при этом производится в офлайн-режиме с отдельного компьютера, имеющего доступ в Сеть. Обновления ПО и баз экспертизы могут быть получены через прокси-сервер или внешний накопитель.

Лицензирование

Лицензирование UserGate WAF выстроено по единой логике с остальными продуктами экосистемы UserGate SUMMA и зависит от двух параметров: типа аппаратной платформы (для ПАК) или количества виртуальных ядер ЦП (для виртуального исполнения).

Базовая лицензия является бессрочной и включает право на использование продукта, первый год подписки Security Updates и первый год стандартной технической поддержки.

Подписка Security Updates (SU) дает право на:

  • обновления программного обеспечения WAF;
  • обновления всех модулей экспертизы.

По истечении срока базовые функции продукта продолжают работать без ограничений, однако обновления ПО и модулей экспертизы прекращаются.

Дополнительно может быть приобретен модуль «Временное увеличение мощности» – опция для ситуаций пиковой нагрузки (сезонные акции, приемные кампании в учебных заведениях и др.).

Сертификация

UserGate WAF сертифицирован ФСТЭК России (сертификат №3905 Межсетевой экран UserGate Исполнение 2). В части WAF актуально наличие сертификации по 4-му уровню доверия и по требованиям к МЭ по профилю защиты тип «Г» (межсетевые экраны веб-приложений).

Продукт включен в Единый реестр российского ПО (запись №28542).

Аппаратные платформы внесены в реестр Минпромторга России.

Заключение

UserGate WAF 7.6.x – зрелый отечественный продукт класса WAF, который прошел путь от тестового модуля в составе UserGate NGFW до полноценного корпоративного решения. Версия 7.6.0 закрывает один из главных запросов крупного Enterprise-сегмента – возможность обработки высоких нагрузок на одном узле (до 20 000 RPS при 200 ядрах) с горизонтальным масштабированием через внешние балансировщики.

При этом благодаря гибкой политике лицензирования uWAF остается доступным для малого и среднего бизнеса, и продукт будет и дальше развивать функционал, необходимый этому сегменту заказчиков.

Существенно улучшена управляемость: подсветка причин срабатывания, исключения для системных правил и интеграция с UserGate MC и UserGate LogAn снижают порог вхождения для администраторов и сокращают время реагирования на инциденты. Отдельно стоит отметить наличие собственных доверенных ПАК.

Таким образом, UserGate WAF 7.6.x – обоснованный выбор для организаций, которым необходима сертифицированная отечественная защита веб-приложений с возможностью масштабирования до корпоративных нагрузок и работы в изолированных инфраструктурах.

ООО «ЮЗЕРГЕЙТ», ИНН: 5408308256, Erid: 2SDnjc8ef87

UserGate
Авторы: UserGate
Компания UserGate (ООО "Юзергейт") разрабатывает технологии, обеспечивающие безопасность доступа в интернет, гибкое управление пользователями, улучшение качества интернет-доступа. Решения компании используются в более, чем 50 тысячах организаций в России и зарубежных странах, в тысячах образовательных учреждений, в провайдерских сетях и на домашних компьютерах. Продукты UserGate обеспечивают защиту от интернет-угроз, фильтрацию опасного, незаконного и нежелательного контента, защищая тем самым пользователей от разнообразных рисков, связанных с использованием интернета.
В соавторстве с: CISOCLUB CISOCLUB
Комментарии: