10 апр 2026 · Автор: Команда Netspare
WAF: что блокирует, что пропускает и как проверять
WAF фильтрует HTTP по правилам; не заменяет безопасный код и патчи.
Режимы
Сначала логирование, потом блок после настройки ложных срабатываний.
Обход
Кодировки и различия парсеров; логические баги WAF не видит.
Тесты
- Скан staging с включённым WAF.
- Отдельно rate limits.
- TLS/HSTS обязательны.
Эксплуатация
Версионируйте исключения с обоснованием.
Частые вопросы
WAF закроет Top 10?
Частично; не заменяет контроль доступа.
Достаточно облачного WAF?
Нет, нужны патчи и резервные копии.
Команда Netspare
Другие материалы автораВам также может быть интересно
- TLS-сертификаты: ACME, HTTP-01, DNS-01 и wildcard
Бесплатные сертификаты стали нормой, но продление ломается из-за CDN и DNS. Какой challenge выбрать.
- Чек-лист готовности к DDoS для малого бизнеса
Устойчивость к DDoS — процесс. Команды с плейбуками восстанавливаются быстрее и сохраняют доверие.
- Распространение DNS и TTL: практика для владельцев сайтов
Смена DNS в панели не равна мгновенному обновлению у всех: TTL задаёт время кэша. Как планировать перенос без «мигания» сайта.
- Объектное хранилище или диск VPS: что выбрать для видео, бэкапов и больших файлов
Локальный SSD удобен для БД; объектное хранилище по-другому считает трафик и отказоустойчивость. Сравнение для практики.