Закрытое бета-тестирование

Веб-фаервол
и обратный прокси
для вашей инфраструктуры

Высокопроизводительная защита веб-приложений на основе OWASP Core Rule Set. Единый бинарный файл — разворачивается за минуты на любом сервере.

⚡ Получить доступ Узнать больше →
OWASP CRS из коробки
Автоматический TLS / Let's Encrypt
GeoIP блокировка
Высокая производительность
Единый бинарный файл
100% On-prem Ваши данные, ваш сервер
1 binary Весь стек в одном файле
OWASP CRS Встроенный ruleset
< 5 мин До первого защищённого сайта
Возможности

Всё необходимое для защиты
веб-приложений

HA-WAF объединяет все компоненты защиты в одно решение без внешних зависимостей.

🛡

WAF на базе OWASP CRS

Встроенный WAF-движок Coraza с актуальными правилами OWASP Core Rule Set. Режимы обнаружения и блокировки, уровни паранойи 1–4, настраиваемый порог аномалий. Защита от SQL Injection, XSS, RCE, LFI и сотен других атак.

Detection / Prevention Paranoia 1–4 Anomaly threshold
🌎

GeoIP фильтрация

Разрешайте или блокируйте трафик по странам происхождения — отдельно для каждого сайта. Белый список разрешённых стран, автообновление карты из URL, добавление заголовка X-Country для бэкенда.

Per-site Auto-update X-Country header
🔒

Автоматический TLS

Интеграция с Let's Encrypt через ACME. Поддержка HTTP-01 и DNS-01 challenge, мультиаккаунтная конфигурация ACME, управление сертификатами через UI. Загрузка собственных PEM-файлов для каждого сайта.

HTTP-01 / DNS-01 Multi-account Custom PEM upload

Rate Limiting

Гибкое ограничение частоты запросов: по количеству соединений, HTTP-запросов или объёму трафика (bytes_in). Настраивается на уровне сайта и per-path — по префиксу, регулярному выражению или точному совпадению.

conn_rate http_req_rate bytes_in_rate Per-path
🚫

IP-списки и автобан WAF

Белые и чёрные CIDR-списки для каждого сайта. Белые списки поддерживают флаг обхода WAF для доверенных источников. Автоматический бан IP за превышение порога WAF-срабатываний — настраиваемые порог и длительность, ответ 429.

CIDR whitelist/blacklist WAF bypass Auto-ban
🔄

Path Routing

Гибкая маршрутизация запросов: proxy, return и redirect. Правила по префиксу, точному совпадению, regex или суффиксу. Поддержка WebSocket и gRPC. Балансировка нагрузки между несколькими бэкендами, манипуляция заголовками, rate limit per-path.

WebSocket gRPC LB Header rewrite
📜

Domain Lists и WAF bypass

Списки доменов (.lst-файлы) с синхронизацией из URL — для маршрутизации трафика на разные бэкенды. Отдельные домены можно исключить из WAF-инспекции прямо в WAFPolicy без изменения правил.

.lst файлы URL sync WAF bypass domains

Кастомные правила и исключения

Пишите собственные директивы SecRule/SecAction — глобально или для конкретного сайта, с приоритетом. Исключения CRS-правил: disable, exclude_arg, exclude_request_header, exclude_url.

SecRule / SecAction Global + per-site Rule exclusions
📊

Мониторинг и метрики

Встроенная поддержка OpenTelemetry: трейсы, метрики и логи через OTLP gRPC. Готовые интеграции с Grafana, VictoriaMetrics и VictoriaLogs. Prometheus /metrics endpoint.

OTel OTLP Grafana Prometheus
👤

SSO и управление доступом

Мультипровайдерный OIDC/SSO, локальные пользователи, API-ключи. Роли viewer и admin. Полный аудит действий для соответствия требованиям ИБ.

OIDC/SSO API keys Roles
💾

Ревизии и резервное копирование

Полные снимки конфигурации с diff-просмотром и откатом. Экспорт и импорт всей конфигурации в JSON — резервные копии и миграция между серверами.

Снапшоты Diff view Rollback Export/Import
🔨

REST API и Web UI

Полнофункциональный REST API с OpenAPI-спецификацией. Веб-интерфейс с поддержкой русского и английского языков. Кастомные TCP/HTTP/HTTPS-порты с опциональным WAF.

OpenAPI RU / EN UI Custom ports
Архитектура

Один бинарный файл,
весь стек

HA-WAF управляет всеми компонентами как единый процесс — без сложной оркестрации и внешних зависимостей.

  • 1

    Proxy Engine — обратный прокси

    Высокопроизводительная обработка входящего трафика, SSL-терминация, балансировка нагрузки между бэкендами, маршрутизация по путям.

  • 2

    WAF Engine — анализ трафика

    Встроенный WAF-движок Coraza с OWASP CRS обрабатывает каждый запрос в режиме реального времени через SPOE-протокол.

  • 3

    REST API + Web UI — управление

    HTTP API на порту 8080 и встроенный веб-интерфейс. SQLite (по умолчанию, без настройки) или PostgreSQL для конфигурации.

  • 4

    ACME — автоматический TLS

    Встроенный клиент Let's Encrypt с поддержкой HTTP-01 и DNS-01 challenge, мультиаккаунтная настройка, автопродление сертификатов.

Internet
|
┌─────────────────────┐
|     HA-WAF           |
|                     |
|  :80  HTTP          |
|  :443 HTTPS / TLS    |
|                     |
|  ┌───────────────┐  |
|  |  Proxy Engine |  |
|  └─────┬────────┘  |
|         | SPOE       |
|  ┌─────┴────────┐  |
|  |  WAF Engine  |  |
|  |  OWASP CRS   |  |
|  └───────────────┘  |
|                     |
|  :8080 REST API     |
|  SQLite / PostgreSQL |
└─────────┬──────────┘
           |
           ↓
   Backend servers
Документация

Документация

Всё необходимое для быстрого старта, тонкой настройки и интеграции HA-WAF в вашу инфраструктуру.

🚀

Quick Start

  • Установка Docker / systemd
  • Добавление первого сайта
  • Базовая конфигурация WAF

Конфигурация

  • GeoIP, Rate Limiting, IP-списки
  • Кастомные правила и исключения CRS
  • TLS, ACME, Path Routing
📄

API Reference

  • OpenAPI-спецификация
  • REST эндпоинты и примеры
  • Аутентификация и API-ключи
📦

Развёртывание

  • Docker Compose с мониторингом
  • Systemd unit для on-prem VM
  • Kubernetes — Helm Chart, Flux CD
  • Бэкап, восстановление, миграция
Документация в разработке — доступна по запросу. Напишите на info@ha-waf.ru
Применение

Кому подходит HA-WAF

🏢

Корпоративные системы

Защита внутренних и внешних веб-сервисов. Соответствие требованиям ИБ без дорогостоящих коммерческих решений. SSO, роли, аудит действий.

🛍

E-commerce платформы

Защита от скрейпинга, автоматизированных атак и мошенничества. Rate limiting для checkout и API-эндпоинтов. GeoIP для гео-рестрикций.

🏥

Критичная инфраструктура

Медицина, финансы, государственный сектор — там, где данные нельзя доверять облачному WAF иностранного вендора. Полный on-prem.

🚀

SaaS и стартапы

Быстрый старт с минимальной конфигурацией. Масштабируется от одного VPS до высоконагруженного кластера. SQLite по умолчанию — ноль зависимостей.

🔫

API Gateway

Защита API от злоупотреблений, инъекций и DDoS. Гибкие правила по URL-путям и заголовкам. gRPC и WebSocket поддерживаются нативно.

🏠

On-prem и частное облако

Полный контроль данных. Развёртывание в Docker, systemd или Kubernetes (Helm Chart). Без зависимости от внешних сервисов.

Развёртывание

Ваш сервер.
Никакой вендорной зависимости.

HA-WAF разворачивается в вашей инфраструктуре — полный контроль над данными и конфигурацией без облачных зависимостей.

📦

Docker образ

Готовый образ для быстрого развёртывания в контейнерной среде

Systemd unit

Готовые конфигурации для запуска как системный сервис на любом Linux-сервере

📜

Docker Compose

Полный стек с OTel Collector, VictoriaMetrics и Grafana в одной команде

Kubernetes / Helm Chart

Официальный Helm chart, HPA, PodDisruptionBudget, Ingress и HTTPRoute. Flux CD манифесты в комплекте.

⚡ Получить доступ ✉ Написать нам