全部產品
Search
文件中心

Web Application Firewall:概述

更新時間:Jul 17, 2024

本文介紹了Web Application Firewall服務支援的所有網站防護配置功能。

模組

功能

描述

開啟方式

相關文檔

Web安全

規則防護引擎

基於內建的專家經驗規則集,自動為網站防禦SQL注入、XSS跨站、WebShell上傳、命令注入、後門隔離、非法檔案請求、路徑穿越、常見應用漏洞攻擊等通用的Web攻擊。

接入後自動開啟。

設定規則防護引擎

規則防護引擎最佳實務

防護規則群組

支援自由組合Web Application Firewall的防護規則,形成有針對性的防護規則群組,應用到具體的網站防護。

說明

目前僅支援自訂規則防護引擎的防護規則群組。

接入後手動開啟。

自訂防護規則群組

使用自訂規則組提升Web攻擊防護效果

網站防篡改

協助您鎖定需要保護的網站頁面(例如敏感頁面),被鎖定的頁面在收到請求時,返回已設定的快取頁面面,預防來源站點頁面內容被惡意篡改。

接入後手動開啟。

設定網站防篡改

防敏感資訊泄露

協助網站過濾伺服器返回內容(異常頁面或關鍵字)中的敏感資訊(例如社會安全號碼、銀行卡號、電話號碼和禁用語),脫敏展示敏感資訊或返回預設異常響應頁面。

接入後手動開啟。

設定防敏感資訊泄露

主動防禦

採用阿里雲自研的機器學習演算法自主學習網域名稱的合法流量,並自動為網域名稱產生定製化的安全防護策略,防禦未知攻擊。

接入後手動開啟。

設定主動防禦

Bot管理

合法爬蟲

提供合法搜尋引擎白名單(例如Google、Bing、百度、搜狗、Yandex等),方便您為網域名稱設定允許存取合法爬蟲的訪問請求。

接入後手動開啟。

設定合法爬蟲規則

爬蟲威脅情報

雲端式平台強大的計算能力,提供撥號池IP、IDC機房IP、惡意掃描工具IP以及雲端即時模型產生的惡意爬蟲庫等多種維度爬蟲威脅情報規則,方便您在全網域名稱或指定路徑下設定阻斷惡意爬蟲的訪問請求。

接入後手動開啟。

設定爬蟲威脅情報規則

Alibaba Antifraud Service

協助您防禦網站關鍵業務(例如註冊、登入、活動、論壇)中可能發生的機器爬蟲欺詐行為。

接入後手動開啟。

設定Alibaba Antifraud Service

App防護

專門針對原生App端,提供可信通訊、防機器指令碼濫刷等安全防護,可以有效識別代理、模擬器、非法簽名的請求。

接入後手動開啟。

設定App防護

存取控制/限流

CC安全防護

基於CC流量特徵,協助您防禦針對頁面請求的CC攻擊,並提供不同模式的防護策略。

接入後自動開啟。

設定CC安全防護

CC攻擊防護最佳實務

IP黑名單

支援一鍵阻斷來自指定IP地址、IP位址區段以及指定地理地區的IP地址的訪問請求。

接入後手動開啟。

設定IP黑名單

掃描防護

協助網站自動阻斷包含指定特徵的訪問請求,例如請求源IP在短期內發起多次Web攻擊或目標遍曆攻擊、請求源IP來自常見掃描工具或阿里雲惡意掃描攻擊IP庫。

接入後手動開啟。

設定掃描防護

自訂防護策略

支援自訂基於精確匹配條件的存取控制規則和訪問頻率限制規則。

接入後手動開啟。

設定自訂防護策略

防護實驗室

賬戶安全

協助您識別與賬戶關聯的業務介面(例如註冊、登入等)上發生的賬戶安全風險事件,包括撞庫、暴力破解、垃圾註冊、弱口令嗅探和簡訊驗證碼介面濫刷。

接入後手動開啟。

設定賬戶安全

賬戶安全最佳實務

防護白名單

網站白名單

通過設定網站白名單,可以讓滿足條件的請求不經過任何Web Application Firewall防護模組的檢測,直接存取來源站點伺服器。

接入後手動開啟

設定網站白名單

Web入侵防護白名單

通過設定Web入侵防護白名單,可以讓滿足條件的請求忽略指定模組(規則防護引擎)的檢測。

接入後手動開啟。

設定Web入侵防護白名單

資料安全白名單

通過設定資料安全白名單,可以讓滿足條件的請求忽略指定模組(防敏感資訊泄露、網站防篡改、賬戶安全)的檢測。

接入後手動開啟。

設定資料安全白名單

Bot管理白名單

通過設定Bot管理白名單,可以讓滿足條件的請求忽略指定模組(爬蟲威脅情報、Alibaba Antifraud Service、智能演算法、App防護)的檢測。

接入後手動開啟。

設定Bot管理白名單

存取控制/限流白名單

通過設定存取控制/限流白名單,可以讓滿足條件的請求忽略指定模組(CC安全防護、IP黑名單、掃描防護、自訂防護策略)的檢測。

接入後手動開啟。

設定存取控制/限流白名單

一鍵關閉WAF防護功能

當您需要臨時關閉WAF防護時,您可以在WAF 2.0控制台的資產中心 > 網站接入中,關閉WAF防護開關。如下圖示。

image

當開關關閉時,您接入網站的流量會臨時繞行WAF防護引擎,並不再記錄攔截和觀察日誌。在您完成應急測試等需要臨時關閉WAF的操作後,推薦您儘快返回WAF 3.0控制台的防護對象頁面,開啟WAF防護開關,記錄攔截和觀察日誌,減少您資產的暴露風險。若您關閉了WAF防護開關或功能,但配置了API安全防護,相關檢測流程仍將繼續執行。

重要

對於開通隨用隨付版本的使用者,即使通過開關臨時關閉WAF防護,仍會正常收取功能費、基礎流量費及API安全流量費(若已啟用API安全)。Bot管理流量費、風險識別服務及自訂規則的流量計費將暫停。

說明
  • 雲產品接入中,微服務引擎(MSE)與Function Compute(FC)尚不支援一鍵關閉繞過功能。針對混合雲部署,該功能需達到指定版本方可生效。詳情請諮詢您的商務經理,或通過工單提交諮詢,我們的支援小組將為您提供精確的版本要求資訊。