Web应用防火墙

WEB应用防火墙是集WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护设备的一款产品。它集成全新的安全理念与先进的创新架构，保障用户核心应用与业务持续稳定的运行。

WEB应用防火墙还具有多面性的特点。比如从网络入侵检测的角度来看可以把WAF看成运行在HTTP层上的IDS设备;从防火墙角度来看，WAF是一种防火墙的功能模块;还有人把WAF看作“深度检测防火墙”的增强。

功能介绍

常见Web应用攻击防护

• 防御OWASP常见威胁：SQL注入、XSS跨站、WebShell上传、后门攻击、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、CSRF、核心文件非授权访问、路径穿越、网站被扫描等。

• 网站隐身：不对攻击者暴露站点地址，避免其绕过Web应用防火墙直接攻击。

• 0day补丁及时更新：及时更新漏洞补丁，防护网站安全。

• 友好的观察模式：针对网站新上线的业务开启观察模式，对于匹配中防护规则的疑似攻击只告警不阻断，方便统计业务误报状况。

深度精确防护

• 支持全解析多种常见HTTP协议数据格式：任意头部字段、Form表单、Multipart、JSON、XML。

• 支持解码常见编码类型：URL编码、JavaScript Unicode编码、HEX编码、HTML实体编码、Java序列化编码、PHP序列化编码、Base64编码、UTF-7编码、UTF-8编码、混合嵌套编码。

• 支持预处理机制：空格压缩、注释删减、特殊字符处理，向上层多种检测引擎提供更为精细、准确的数据源。

• 支持复杂格式数据环境下的检测能力；支持合理的检测逻辑复杂度，避免过多检测数据导致的误报，降低误报率；支持多种形式数据编码的自适应解码，避免利用各种编码形式的绕过。

CC恶意攻击防护

• 控制单一源IP的访问频率，基于重定向跳转验证、人机识别等。

• 针对海量慢速请求攻击，根据统计响应码及URL请求分布、异常Referer及User-Agent特征识别，结合网站精准防护规则综合防护。

• 充分利用阿里云大数据安全优势，建立威胁情报与可信访问分析模型，快速识别恶意流量。

精准访问控制

• 提供友好的配置控制台界面，支持IP、URL、Referer、User-Agent等HTTP常见字段的条件组合，配置强大的精准访问控制策略；支持盗链防护、网站后台保护等防护场景。

• 与Web常见攻击防护、CC防护等安全模块结合，搭建多层综合保护机制；依据需求，轻松识别可信与恶意流量。

虚拟补丁

在Web应用漏洞补丁发布和修复之前，通过调整Web防护策略实现快速防护。

接入方式

CNAME接入（图示①）

• 通过添加域名，并将域名的DNS解析指向WAF的CNAME地址，使域名的Web业务引流到WAF。WAF会拦截攻击请求并将正常业务请求转发回源站服务器。

• 该过程中，WAF作为反向代理集群，同时参与流量的转发和检测防护。

云产品接入（WAF作为反向代理集群）（图示②）

• 通过添加引流端口到WAF的方式，使云产品网关自动改变路由，将Web业务引流到WAF。WAF会拦截攻击请求并将正常业务请求转发回源站服务器。

• 该过程中，WAF作为反向代理集群，同时参与流量的转发和检测防护。

云产品接入（WAF作为SDK插件）（图示③）

如果您的业务已在应用型负载均衡ALB（Application Load Balancer）、微服务引擎MSE（Microservices Engine）或函数计算（FunctionCompute，简称FC）运行，推荐您使用该种接入的方式接入WAF。

• WAF 3.0通过SDK模块化的方式集成在云产品的网关中，通过内嵌在网关中的SDK提取流量并进行检测和防护。该过程中，WAF不参与流量转发，避免因额外引入一层转发而带来各种兼容性和稳定性问题。

• 支持基于实例一键开启安全防护，无需修改DNS，也无需配置证书、端口、回源算法等，简化接入流程，降低对原有业务的影响。

• 支持阿里云原生产品实例支持的所有地域，覆盖更广。

• 支持在多云或混合云本地自建网关（如Nginx），通过混合云SDK服务化接入方式集成。

• 基于服务化接入，WAF 3.0补充完整了各种业务场景下的灵活接入能力，可基于用户的实际网络环境和合规等需求，支持多种环境下的接入部署，并实现由一套控制台统一管控。

↑↑↑长按图片识别二维码关註↑↑↑