全部產品
Search
文件中心

Web Application Firewall:什麼是Web Application Firewall

更新時間:Jul 11, 2024

Web Application Firewall(Web Application Firewall,簡稱WAF)為您的網站或App業務提供一站式安全防護。WAF可以有效識別Web業務流量的惡意特徵,在對流量清洗和過濾後,將正常、安全的流量返回給伺服器,避免網站伺服器被惡意入侵導致效能異常等問題,從而保障網站的業務安全和資料安全。

功能特性

功能類別

功能說明

業務配置

支援對網站的HTTP、HTTPS流量進行安全防護。

Web應用安全防護

常見Web應用攻擊防護

  • 防禦OWASP常見威脅:SQL注入、XSS跨站、WebShell上傳、後門攻擊、命令注入、非法HTTP協議請求、常見Web伺服器漏洞攻擊、CSRF、核心檔案非授權訪問、路徑穿越、網站被掃描等。

  • 網站隱藏:不對攻擊者暴露網站地址,避免其繞過Web Application Firewall直接攻擊。

  • 0day補丁及時更新:及時更新漏洞補丁,防護網站安全。

  • 友好的觀察模式:針對網站新上線的業務開啟觀察模式,對於匹配中防護規則的疑似攻擊只警示不阻斷,方便統計業務誤判狀況。

深度精確防護

  • 支援全解析多種常見HTTP協議資料格式:任意頭部欄位、Form表單、Multipart、JSON、XML。

  • 支援解碼常見編碼類別型:URL編碼、JavaScript Unicode編碼、HEX編碼、HTML實體編碼、Java序列化編碼、PHP序列化編碼、Base64編碼、UTF-7編碼、UTF-8編碼、混合嵌套編碼。

  • 支援預先處理機制:空格壓縮、注釋刪減、特殊字元處理,向上層多種檢測引擎提供更為精細、準確的資料來源。

  • 支援複雜格式資料環境下的檢測能力;支援合理的檢測邏輯複雜度,避免過多檢測資料導致的誤判,降低誤判率;支援多種形式資料編碼的自適應解碼,避免利用各種編碼形式的繞過。

CC惡意攻擊防護

  • 控制單一源IP的訪問頻率,基於重新導向跳轉驗證、人機識別等。

  • 針對海量慢速請求攻擊,根據統計響應碼及URL請求分布、異常Referer及User-Agent特徵識別,結合網站精準防護規則綜合防護。

  • 充分利用阿里雲巨量資料安全優勢,建立威脅情報與可信訪問分析模型,快速識別惡意流量。

精準存取控制

  • 提供友好的配置控制台介面,支援IP、URL、Referer、User-Agent等HTTP常見欄位的條件組合,配置強大的精準存取控制策略;支援盜鏈防護、網站後台保護等防護情境。

  • 與Web常見攻擊防護、CC防護等安全模組結合,搭建多層綜合保護機制;依據需求,輕鬆識別可信與惡意流量。

虛擬補丁

在Web應用漏洞補丁發布和修複之前,通過調整Web防護策略實現快速防護。

攻擊事件管理

支援對攻擊事件、攻擊流量、攻擊規模的集中管理統計。

靈活性、可靠性

  • 支援負載平衡:以叢集方式提供服務,多台伺服器負載平衡,支援多種負載平衡策略。

  • 支援平滑擴容:可根據實際流量情況,縮減或增加叢集伺服器的數量,實現服務能力彈性擴容。

  • 無單點問題:單台伺服器宕機或者維修,均不影響正常服務。

更多產品資訊,請參見Web Application Firewall產品頁面

產品優勢

產品優勢

優勢說明

10年以上網路安全經驗

  • 建立在阿里巴巴集團10年以上的網路安全經驗上,提供與淘寶、天貓、支付寶等成功應用案例同樣的安全體驗。

  • 由專業的安全團隊為您提供服務。

  • 抵禦已知的OWASP漏洞並不斷修複披露漏洞。

防禦CC攻擊和爬蟲攻擊

  • 協助您抵禦和減緩CC攻擊。

  • 協助您防禦網路爬蟲,避免網路資源消耗。

  • 檢測和阻擋惡意請求,協助您減少頻寬消耗,防止資料庫、SMS、API資源虧空,減少響應延時,避免宕機等。

  • 針對多樣業務情境支援自訂防護規則。

整合巨量資料能力

  • 每天約抵禦數億次網路攻擊。

  • 擁有豐富的IP資料庫。

  • 擁有廣泛的應用案例,對各類常見網路攻擊的模式、方法和簽名有大量研究。

  • 巨量資料分析不斷整合先進的技術。

簡易性、可靠性

  • 5分鐘內部署和啟用。

  • 無需安裝任何軟硬體或調整路由配置。

  • 通過防護叢集作用,避免單點故障和冗餘。

  • 防護流量處理效能高。

應用情境

WAF適用於阿里雲以及阿里雲外所有使用者,主要用於金融、電商、O2O、互連網+、遊戲、政府、保險等行業各類網站的Web應用安全防護。

說明

WAF僅支援通過網域名稱方式進行防護,不支援使用IP直接接入。

如何使用WAF

您購買WAF後,可以通過CNAME接入或透明接入的方式,將網站網域名稱接入到WAF進行防護。

  • CNAME接入

    如果您的來源站點伺服器部署在雲上、雲下,那麼可以使用CNAME接入方式接入WAF。

    CNAME接入通過添加需要防護的網站資訊到WAF控制台,並修改網站網域名稱的DNS解析(設定CNAME解析記錄),將網站的Web請求轉寄到WAF進行防護。詳細內容,請參見添加網域名稱

  • 透明接入

    如果您的來源站點伺服器為ECS伺服器或者部署在阿里雲公網SLB上,那麼除了使用CNAME接入,還可以選擇雲原生的透明接入。

    透明接入將需要防護的網站資訊添加到WAF控制台後,無需修改網域名稱的DNS解析設定,即可將來源站點請求流量轉寄到WAF進行防護。詳細內容,請參見透明接入

合規資質

WAF已通過ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 27701、ISO 29151、BS 10012、CSA STAR、等保三級、SOC 1/2/3、C5、HK金融、OSPAR、PCI DSS等多項國際權威認證。