本文介绍Web 应用防火墙 WAF(Web Application Firewall)的产品功能和对应的文档动态。
2024年
发布日期 | 功能动态 | 发布说明 | 相关文档 |
2024-11-07 | WAF 3.0新版基础防护规则 | 支持通过设置引擎配置和规则库管理更简便地对Web业务进行防护。 | |
2024-11-06 | WAF 3.0洪峰限流功能 | 支持配置自定义规则与QPS限流方式与百分比限流方式等,对Web业务进行防护。 | |
2024-03-27 | 企业级客户多账号统一管理 | 只需要购买一套WAF实例,即可接入其他阿里云账号下的云产品资源进行统一防护。 | |
2024-01-16 | 封禁查询 | 在封禁查询页面,通过请求ID查询拦截详情 | |
2024-01-15 | 混合云日志外发配置升级 | 混合云日志支持Kafka外发,可针对不同集群设置不同的Kafka和syslog日志外发配置。 |
2023年
发布日期 | 功能动态 | 发布说明 | 相关文档 |
2023-10-12 | WAF 3.0非中国内地支持API安全 | 非中国内地地域支持API安全功能。 | |
2023-09-21 | WAF 3.0 API安全支持合规审核和溯源审计 | WAF 3.0 API支持对出境数据进行审查和溯源。 | |
2023-08-28 | WAF 3.0支持Cookie属性设置 | WAF 3.0支持为防护对象增加Cookie属性设置。 | |
2023-08-20 | WAF 3.0支持开启IPv6接入 | WAF 3.0支持开启IPv6,将IPv6业务流量接入WAF进行防护。 | |
2023-08-10 | VIP级别的TLS自定义和默认证书配置功能发布 | WAF支持为IPv4版本的VIP自定义SSL证书或TLS策略。 | |
2023-08-01 | 回源标记、规则灰度、机器流量分析功能发布 |
| |
2023-07-14 | 域名DNS状态检测功能发布 | WAF 3.0会对接入的域名进行DNS状态检查,快速识别DNS解析异常的风险域名,避免网站业务受到影响。 | |
2023-06-21 | 域名归属权验证功能发布 | 首次添加域名时,需要验证操作者是否拥有主域名的归属权。验证通过后,您再次添加该主域名下的任意域名时,无需再次验证。 | |
2023-06-10 | WAF 3.0支持国密HTTPS加密 | 选择HTTPS协议时,支持开启国密HTTPS、仅支持国密客户端访问功能。 | |
2023-05-30 | API安全功能更新 | 支持自定义敏感数据类型策略。 | |
2023-05-22 | 基础防护规则新增语义防护功能 | 新增语义防护功能,可防御SQL注入攻击。在此基础上,提供针对非注入型攻击的检测开关。 | |
2023-05-18 | 降配功能更新 |
| |
2023-04-28 | 云产品接入(CLB、ECS)支持添加域名级防护对象 | 支持将CLB实例或ECS实例中的域名,手动添加为防护对象。 | |
2023-04-14 | 流量计费保护功能发布 | 启用流量计费保护后,如果按量付费实例一小时内的峰值QPS流量超过设置的流量计费保护阈值,实例进入沙箱,且该小时流量费和功能费为0,从而避免因QPS暴涨而产生超高账单。 | |
2023-03-03 | API安全功能更新 |
| |
2023-02-24 | 包年包月基础版、高级版、企业版、旗舰版支持的重保场景防护、混合云防护节点规格变更 |
| |
2023-02-08 | 智能白名单、误报屏蔽、宽松与严格规则组功能发布 |
| |
2023-02-08 | WAF 3.0支持函数计算一键接入WAF | WAF通过SDK模块化的方式与函数计算原生架构集成,支持为函数计算上的Web应用绑定的自定义域名开启安全防护,通过识别应用或者应用中函数的业务流量恶意特征,将正常和安全的流量回源至后端函数,避免函数被恶意侵入。 | |
2023-01-19 | WAF 3.0支持资源组和标签管理 | 对接阿里云资源管理服务,新增资源组和标签对账号下的资源做分组和权限隔离。 | |
2023-01-17 | Bot管理功能更新 |
|
2022年
发布日期 | 功能动态 | 发布说明 | 相关文档 |
2022-12-22 | WAF 3.0 中国内地地域支持API安全功能 | 支持自动梳理已接入WAF防护的业务的API资产,检测API风险(例如未授权访问、敏感数据过度暴露、内部接口泄露等),并通过报表还原API异常事件,提供详细的风险处理建议和API生命周期管理参考数据,帮助您实现API安全防护。 | |
2022-11-29 | WAF 3.0 CNAME接入域名时,支持重试及回源长连接配置 | 通过CNAME接入域名时,支持重试及回源长连接配置。 | |
2022-11-28 | WAF 3.0日志服务支持记录自定义请求头部、请求体、响应头和响应体 | 新增request_body、request_header、response_header和response_info字段,用于记录自定义请求头部、请求体、响应头和响应体。 | |
2022-11-25 | WAF 3.0支持日志服务存储容量告警功能 | 当日志存储使用量超过80%时,您会收到短信和邮件,提醒您日志存储空间即将占满,请您及时升级容量,避免因日志存储空间容量占满,导致新的日志数据无法写入专属日志库,造成日志数据不完整。 | |
2022-11-24 | WAF 3.0支持包年包月计费模式 | 支持先付费后使用的付费方式。 | |
2022-11-23 | WAF 3.0支持将四层或七层CLB实例、ECS实例接入WAF | 支持通过添加引流端口的方式将要防护的四层或七层CLB实例、ECS实例接入WAF防护。 | |
2022-11-17 | WAF 3.0支持自助降配功能 | 根据业务的变化,您可以对已购买的QPS扩展规格、弹性后付费QPS规格、域名扩展数、日志存储容量自助降配。 | |
2022-10-30 | WAF 3.0 OpenAPI发布 | 针对常见控制台配置操作开放对应的API接口,方便用户执行批量化操作。 | |
2022-10-27 | WAF 3.0弹性后付费和沙箱功能发布 | 当您因大促等场景有短期或突发的业务流量上涨,且实际QPS用量可能超过版本内QPS和扩展QPS之和时,可开启弹性后付费,对超出的QPS用量进行后付费结算,避免实例因QPS超用进入沙箱,影响正常业务。 | |
2022-10-19 | WAF 3.0监控与告警功能发布 | 您可以通过设置告警,使WAF在网站请求流量中检测到攻击事件、异常流量时向您发送告警通知,帮助您及时掌握业务的安全状态。 | |
2022-09-23 | WAF 3.0支持配置自定义header获取客户端真实源端口 | WAF 3.0接入配置支持启用“流量标记”,选择“客户端真实源端口”。通过配置真实客户端源端口所在的头部字段名,WAF 3.0可记录该头部字段并将该头部字段传递回源站。 | |
2022-08-24 | WAF 3.0支持回源超时时间支持自定义配置 | WAF 3.0接入配置支持新建连接、读连接、写连接超时时间自定义,用户可以根据自身业务情况,灵活调整以满足业务需求。 | |
2022-08-12 | WAF 3.0 MSE接入功能发布 | 如果您的Web业务启用了阿里云微服务引擎MSE(Microservices Engine)服务,您可以通过MSE接入WAF,将Web业务流量引流到WAF 3.0进行安全防护。 | |
2022-07-22 | WAF 3.0信息泄露防护功能发布 | 信息泄露防护支持网站过滤服务器返回内容(异常页面或关键字)中的敏感信息(包含身份证号、电话号码、银行卡号、敏感词汇),脱敏展示敏感信息或返回默认异常响应页面。 | |
2022-07-22 | WAF 3.0网页防篡改功能发布 | 网页防篡改支持锁定需要保护的网站页面(例如敏感页面),被锁定的页面在收到请求时,返回已设置的缓存页面,预防源站页面内容被恶意篡改。 | |
2022-07-20 | WAF 3.0新增包年包月计费模式 | WAF 3.0支持先付费后使用的付费方式。通过包年包月,您可以提前预留资源,同时享受更低的价格,帮您更大程度节省支出。 | |
2022-07-14 | WAF 3.0资产中心功能发布 | 通过资产中心模块帮助您梳理云上、云下的域名资产,并根据资产在云上的攻击态势,进行风险等级评估,帮助您掌握业务的整体防护状态。 | |
2022-06-23 | WAF 3.0 Bot管理功能发布 | 支持网页防爬场景化规则、App防爬场景化规则。通过设置防爬场景化规则,更有针对性地对业务进行爬虫风险防护。 | |
2022-05-30 | WAF 3.0重保场景防护功能发布 | 提供重保防护规则组、海量IP封禁、协同防御和COOKIE安全相关能力,为客户提供强攻防对抗场景下的高等级防护能力。 | |
2022-04-21 | WAF 3.0 CC防护功能发布 | CC防护功能为网站拦截针对页面请求的CC攻击(拦截后返回405拦截提示页面)。 | |
2022-04-21 | WAF 3.0区域封禁功能发布 | 区域封禁功能通过识别客户端访问请求的来源区域,一键封禁来自特定区域的访问或者允许特定区域的访问,解决部分地区高发的恶意请求问题。 | |
2022-01-22 | WAF 3.0全新版本发布 | WAF 3.0不仅支持2.0版本的CNAME接入,更实现了与应用型负载均衡ALB等云产品的云原生架构集成,支持云产品接入,并重构了控制台的防护配置交互逻辑,为您带来更高的安全运维效率、更流畅的交互体验和更多的新能力。 |