WAF (Web Application Firewall) - это система фильтрации, встроенная между посетителем и веб-сервером. Она проверяет каждый HTTP- и HTTPS-пакет и останавливает попытки взлома сайта. Базовые правила WAF - это готовые фильтры, которые поставляются вместе с защитой. Они содержат сигнатуры известных атак и шаблоны подозрительного поведения.
Какие атаки останавливают фильтры
- SQL-инъекции: вставка в поле ввода строки вроде admin' OR 1=1--, чтобы изменить запрос к базе данных.
- XSS: добавление вредоносного jаvascript в страницу.
- CSRF: отправка запроса от имени авторизованного пользователя без его ведома.
- LFI/RFI: попытки подключить на сервер файл с другого сайта или с локального диска.
- Обход каталогов: в адресной строке появляется строка вида ../../../etc/passwd.
- Сканирование уязвимостей: обращения сканеров вроде DirBuster, которые перебирают адреса в поиске скрытых папок.
- Подбор паролей: множественные авторизационные запросы с разными комбинациями логина и пароля.
- DDoS на уровне приложения: поток запросов, направленный на исчерпание ресурсов веб-сервера.
- Атаки на API: запросы с искажённой структурой JSON или XML.
Как устроены базовые правила
WAF - это защитник на входе, который проверяет не только кто обращается к сайту, но и что именно передаётся в обращении. В отличие от обычных фаерволов, он не пропускает любой трафик. Если поток данных совпадает с подписью атаки, он останавливается. Даже необычный фрагмент в строке URL достаточен для блокировки. Система ориентируется не на IP-адрес, а на сами данные.
Программа последовательно просматривает
- заголовки HTTP-запросов;
- параметры в адресной строке;
- поля веб-форм;
- файлы cookie;
тело POST-запроса, включая JSON и XML; - поведение посетителя: сколько запросов отправлено и в каком порядке.
Когда обнаруживается действие, подпадающее под правило, запрос немедленно прекращается или пользователя направляют на дополнительную проверку, например ввод CAPTCHA.
Как отключить базовые правила WAF
Способ зависит от типа WAF и платформы. Ниже — общие сценарии.
Вариант 1. Облачные WAF (Cloudflare, Yandex Smart Web Security, AWS WAF и т. д.)
- Зайдите в панель управления провайдера.
- Перейдите в раздел WAF / Безопасность / Правила защиты.
- Найдите блок Базовые правила / Default Rules / Core Ruleset.
Выберите действие:
- Отключить полностью (если опция доступна).
- Перевести в режим мониторинга (только логирование, без блокировки).
- Отключить отдельные правила (снимите галочки с нужных сигнатур).
- Сохраните изменения.
Важно: полное отключение базовых правил резко снижает защиту. Рекомендуется сначала перевести их в режим мониторинга, отследить ложные срабатывания, затем точечно корректировать.
Вариант 2. Программные WAF (ModSecurity, NGINX App Protect)
Откройте конфигурационный файл WAF:
- для ModSecurity:
modsecurity.conf или rules/*.conf; - для NGINX: блок waf в конфигурации сервера.
- Найдите секции с правилами (обычно помечены SecRule или аналогичными директивами).
- Отключите правила одним из способов:
- закомментируйте строки с правилами (# в начале);
- измените действие с
deny/blockна log (только запись в журнал); - укажите phase:1,nolog,pass для пропуска правила.
Перезагрузите сервис:
bash
sudo systemctl reload nginx
# или
sudo service apache2 reloadВариант 3. Хостинговые панели (cPanel, ISPmanager)
- Войдите в панель управления хостингом.
- Перейдите в раздел Безопасность / WAF / ModSecurity.
- Выберите домен или ресурс.
- Отключите модуль целиком или снимите галочки с отдельных правил.
- Примените изменения.
Важные предупреждения
- Не отключайте базовые правила без причины. Это открывает сайт для массовых атак.
- Сначала протестируйте в режиме мониторинга. Анализируйте логи WAF, чтобы понять, какие правила вызывают ложные срабатывания.
- Создавайте исключения точечно. Если блокируется легитимный запрос, настройте правило‑исключение для конкретного URL или параметра.
- Обновляйте сигнатуры. Базовые правила регулярно дополняются — отключение может оставить уязвимости без защиты.
- Проверяйте работу приложения. После изменений протестируйте все формы, API‑эндпоинты и сценарии.
Альтернативы полному отключению
Если базовые правила мешают работе приложения, попробуйте:
- Настроить исключения для конкретных URL, IP‑адресов или User‑Agent.
- Снизить строгость правил (например, заменить block на challenge с CAPTCHA).
- Добавить «белые списки» для доверенных ботов или API‑клиентов.
- Использовать режим обучения (WAF собирает статистику, но не блокирует трафик).
Откючение базовых правил WAF в ISPManager
Если необходимо, вы можете оставить исключительно правила от Imunify360. Всё что для этого нужно сделать, это внести изменения в конфигурацию Apache. Для Debian-based систем в файле по пути /etc/apache2/mods-enabled/security2.conf закомментируйте строку IncludeOptional
/etc/modsecurity/*.conf, а в следующей строке после параметра SecDataDir впишите строку SecRuleEngine On.
Для RHEL-based систем в файле по пути /etc/httpd/conf.d/mod_security.conf закомментируйте следующей строки:
IncludeOptional modsecurity.d/*.confIncludeOptional modsecurity.d/activated_rules/*.confIncludeOptional modsecurity.d/local_rules/*.conf
После внесения изменений перезапустите веб-сервер:
service lsws restart