首家！华为云完成中国信通院Web应用和API保护（WAAP）能力评估！

在此背景下，云计算标准和开源推进委员会（TC608）与云原生安全实验室（CNSL）于今年3月启动《云原生应用保护平台（CNAPP）能力要求》标准制定工作，组织多家云服务商、安全企业、用云单位先后召开六次专家研讨会，完成了标准文稿的编制，标准中重点提出了WAAP的分级能力要求。

华为云Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。对比业界传统硬件WAF及云WAF，华为云Web应用防火墙WAF具备两大优势能力：

1）0Day漏洞快速修复：专业安全团队7*24小时运营， 0day高危漏洞防护规则最快2小时内更新，第一时间升级预置防护规则，快速抵御最新威胁；

2）保护用户隐私：支持用户对攻击日志中的账号、密码等敏感信息进行脱敏；避免用户的密码等隐私信息暴露在事件日志中。

功能架构图

在WEB安全防护方面，华为云Web应用防火墙覆盖了OWASP TOP 10中常见安全威胁，通过预置丰富的信誉库，对常见Web威胁进行检测并拦截，防护如SQL注入、XSS跨站脚本、命令/代码注入、Webshell上传、恶意爬虫扫描等常见Web攻击。此外，WAF具备防逃逸识别与深度检测能力，至少支持11种编码还原，其中包括url_encode、Unicode编码、xml编码、OCT、HEX（十六进制）、html转义编码，base64等拼接混淆的编码还原能力，攻击绕过难度更大，全面纵深防御常见Web攻击。

在API安全防护方面，Web应用防火墙已实现对客户业务中的API资产进行“自动发现”、“风险识别”、“规则响应与处置”的一站式闭环能力。WAF首先通过外部访问流量帮助客户自动发现API资产并分类管理，并实时地监控API资产是否有可疑的操作行为和异常批量化的调用行为，当发现异常行为后，WAF会快速响应，自动生成规则并预置进Web基础防护配置中，支持通过IP限速拦截异常行为，实现规则自动下发，客户仅需把API防护配置开关打开即可，省心省时省力。

在恶意机器人保护方面，华为云Web应用防火墙具备特征反爬虫与JS动态脚本反爬虫能力。经验证，WAF支持根据工具特征和IP进行多维度的规则匹配，快速识别工具行为，并通过UA区分出浏览器bot与恶意爬虫工具，支持识别常见工具的bot攻击行为，如扫描器、脚本恶意爬虫等；其次，WAF支持通过机器学习，人机识别等自动学习业务特征，将基于攻击特征和业务特征的检测方式进行融合，建立业务特征模型，精准识别bot攻击并生成智能防护规则，提升防御能力。

在应用拒绝攻击保护方面，针对应用拒绝攻击（CC攻击）场景，WAF已验证支持建立威胁情报与可信访问分析模型，通过自动学习正常基线流量，实时感知源站压力并生成智能防护规则，用户可以实时查看自动生成的防护规则与防护结果，支持误报处理，以快速调整防护规则，也可以根据业务特征手动自定义CC防护规则。自定义防护规则支持通过限制IP/Cookie/Referer访问者对防护网站上特定路径的访问频率，基于人机识别、重定向跳转等对单一来源IP访问进行控制，精准识别及有效缓解CC攻击。