源站可以配置黑白名單,僅放行 WAF 回源網(wǎng)段以及一些可信 IP 地址網(wǎng)段,其他 IP 地址的連接一律拒絕。
WEB應(yīng)用防火墻 WAF
WAF是部署在Web 服務(wù)器前,通過(guò)轉(zhuǎn)發(fā)代理的方式為業(yè)務(wù)提供保護(hù)的一款產(chǎn)品。通過(guò)對(duì)流量的內(nèi)容檢測(cè),抵御包括SQL注入,XSS攻擊,漏洞攻擊,惡意掃描等類型的攻擊行為。為網(wǎng)站的正常工作保駕護(hù)航。
產(chǎn)品介紹
WEB應(yīng)用防火墻(簡(jiǎn)稱WAF)是對(duì)客戶請(qǐng)求與Web應(yīng)用之間信息的唯一出入口,能根據(jù)不同的策略控制,有效地監(jiān)控了應(yīng)用業(yè)務(wù)和互聯(lián)網(wǎng)之間的任何活動(dòng),保證了內(nèi)部系統(tǒng)的安全。
產(chǎn)品特性
安全防護(hù)
WAF的虛擬補(bǔ)丁可快速對(duì)漏洞進(jìn)行實(shí)時(shí)的防護(hù)與響應(yīng)
源站保護(hù)
隱藏真實(shí)源站,實(shí)現(xiàn)網(wǎng)站隱身,避免真實(shí)地址暴露受到黑客攻擊
訪問(wèn)來(lái)源控制
通過(guò)安全準(zhǔn)入控制,只允許云WAF的IP訪問(wèn),其余定向訪問(wèn)一律禁止,可對(duì)抗指定源站IP進(jìn)行的定向攻擊行為
配置推薦
功能優(yōu)勢(shì)
低延遲
規(guī)則自完善系統(tǒng)
自動(dòng)化彈性擴(kuò)展能力
協(xié)同防御能力
豐富的規(guī)則支持
7*24小時(shí)專家服務(wù)
功能規(guī)格
核心功能 | 說(shuō)明 |
---|---|
混合云接入 | 通過(guò) CNAME 解析接入 WAF,新網(wǎng)公有云和非新網(wǎng)公有云用戶均可接入。 |
0Day 防護(hù) | 安全團(tuán)隊(duì) 7 * 24 小時(shí)監(jiān)測(cè),主動(dòng)發(fā)現(xiàn)并響應(yīng),24 小時(shí)內(nèi)下發(fā)高危 Web 漏洞,0day 漏洞防護(hù)虛擬補(bǔ)丁,受護(hù)用戶無(wú)需任何操作即可獲取緊急漏洞、0day 漏洞攻擊防護(hù)能力,大大縮短漏洞響應(yīng)周期。 |
基礎(chǔ)防護(hù) | 全面防護(hù)以下攻擊類型:SQL 注入、XSS 跨站、WebShell、命令注入、非法 HTTP 協(xié)議請(qǐng)求、常見 Web 服務(wù)器漏洞攻擊、核心文件非授權(quán)訪問(wèn)、路徑穿越等。提供后門隔離保護(hù)及掃描防護(hù)等功能。規(guī)則支持自定義。 |
訪問(wèn)控制 | 提供友好的配置控制臺(tái)界面,支持 IP、URL、Referer、User-Agent 等 HTTP 常見字段的條件組合,打造強(qiáng)大的精準(zhǔn)訪問(wèn)控制策略,可支持盜鏈、網(wǎng)站后臺(tái)保護(hù)等防護(hù)場(chǎng)景。與 Web 常見攻擊防護(hù)、CC 防護(hù)等安全模塊采用聯(lián)動(dòng)機(jī)制,打造多層綜合保護(hù)機(jī)制、可根據(jù)需求,識(shí)別可信與惡意流量。 |
CC攻擊防護(hù) | 對(duì)單一源 IP 的訪問(wèn)頻率進(jìn)行控制,支持重定向跳轉(zhuǎn)驗(yàn)證、及人機(jī)識(shí)別等。針對(duì)海量慢速請(qǐng)求攻擊,根據(jù)統(tǒng)計(jì)響應(yīng)碼及 URL 請(qǐng)求分布、異常 Referer 及 User-Agent 特征識(shí)別,結(jié)合網(wǎng)站精準(zhǔn)訪問(wèn)控制進(jìn)行綜合防護(hù)。 |
全量訪問(wèn)日志 | 實(shí)時(shí)日志的搜索查詢與下載180天內(nèi)日志。 |
防頁(yè)面篡改 | 用戶可設(shè)置將核心網(wǎng)頁(yè)內(nèi)容緩存云端,并對(duì)外發(fā)布緩存中的網(wǎng)頁(yè)內(nèi)容,實(shí)現(xiàn)網(wǎng)頁(yè)替身效果,防止網(wǎng)頁(yè)篡改給組織帶來(lái)負(fù)面影響。 |
防敏感信息泄露 | 將敏感信息如手機(jī)號(hào)、身份證脫敏,防止泄漏,同時(shí)也可以根據(jù)響應(yīng)內(nèi)容進(jìn)行阻斷,響應(yīng)內(nèi)容的格式需為 text/html 或 text/plain。也可以根據(jù)源站的響應(yīng)碼偽裝響應(yīng)內(nèi)容,或者改響應(yīng)阻斷。 |
核心功能 | 說(shuō)明 |
---|---|
地域 | 目前支持大陸地區(qū),華北一、上海兩個(gè)地域,后續(xù)其他地域?qū)㈥懤m(xù)上線 |
域名數(shù)量 | 一個(gè)服務(wù)支持綁定1個(gè)域名 |
日志服務(wù) | 180天 |
帶寬 | 峰值40Mbps |
QPS | 峰值3000 |
HTTP | 支持80、443標(biāo)準(zhǔn)端口接入 |
HTTPS | 支持80、443標(biāo)準(zhǔn)端口接入 |
HTTP2.0 | 除80、443標(biāo)準(zhǔn)端口外,還支持防護(hù)特定的非標(biāo)準(zhǔn)端口上的業(yè)務(wù),但客戶需要自行配置 |
非標(biāo)端口 | 支持HTTP2.0 業(yè)務(wù)的轉(zhuǎn)發(fā)與安全防 |
系統(tǒng)規(guī)則 | 40條/單個(gè)服務(wù) |
CC 防護(hù)規(guī)則 | 20條/單個(gè)服務(wù) |
惡意 IP 封禁* | 5條/單個(gè)服務(wù) |
區(qū)域 IP 封禁 | 10條/單個(gè)服務(wù) |
信息安全防護(hù) | 20條/單個(gè)服務(wù) |
黑白名單 | 1000條/單個(gè)服務(wù) |
網(wǎng)頁(yè)防篡改 | 20條/單個(gè)服務(wù) |
核心功能 | 說(shuō)明 |
---|---|
標(biāo)準(zhǔn)版 | 各版本功能及配額完全一致 |
獨(dú)立IP版 | 在標(biāo)準(zhǔn)版基礎(chǔ)上,享有獨(dú)立ip,相比于標(biāo)準(zhǔn)版,該服務(wù)綁定的域名能在共享防護(hù)IP的域名被DDoS攻擊時(shí)不受影響,同時(shí)擁有更好的并發(fā)性能 |
高防版(即將上線) | 在獨(dú)立IP版基礎(chǔ)上,防護(hù)域名被DDoS攻擊時(shí)可自動(dòng)開啟高防(10G容量),將惡意流量清洗后再進(jìn)行WAF防護(hù) |
應(yīng)用場(chǎng)景
網(wǎng)站基礎(chǔ)防護(hù)
覆蓋中常見安全威脅,通過(guò)預(yù)置豐富的信譽(yù)庫(kù),對(duì)漏洞攻擊、網(wǎng)頁(yè)木馬等威脅進(jìn)行檢測(cè)和攔截
支持SQL注入、XSS跨站腳本、Webshell上傳、目錄(路徑)遍歷、文件包含等常見Web攻擊的檢測(cè)和攔截
能解決的問(wèn)題
全面防護(hù)SQL注入、XSS、Webshell上傳、目錄遍歷、后門隔離等各類常見Web攻擊
相關(guān)產(chǎn)品
CC攻擊防護(hù)
黑客控制大量肉雞或代理服務(wù)器,生成大量的指向受害網(wǎng)站的合法請(qǐng)求,長(zhǎng)時(shí)間占用核心資源
靜態(tài)網(wǎng)站遭受攻擊時(shí),網(wǎng)絡(luò)資源被垃圾數(shù)據(jù)消耗,網(wǎng)站無(wú)法正常訪問(wèn)
能解決的問(wèn)題
可以對(duì)請(qǐng)求進(jìn)行限流,防止出現(xiàn)大量請(qǐng)求直接回源到源站造成源站網(wǎng)絡(luò)擁堵或 CPU 使用率飆升的情況
相關(guān)產(chǎn)品
面臨問(wèn)題與處理
客戶面臨的問(wèn)題 | 新網(wǎng)云WAF的有效解決方案 |
---|---|
網(wǎng)頁(yè)防篡改 | 支持靜態(tài)首頁(yè)等資源的網(wǎng)頁(yè)防篡改需求 |
網(wǎng)絡(luò)CC攻擊 | CC規(guī)則可通過(guò)閾值控制、驗(yàn)證碼等多種方式進(jìn)行安全防范 |
網(wǎng)站來(lái)源訪問(wèn)管理 | 定制化的黑白名單及路徑控制,有效解決用戶訪問(wèn)管理 |
等保合規(guī)要求 | 滿足等保合規(guī),具有銷售認(rèn)證許可 |
基本的網(wǎng)站防護(hù)(掃描,OWASP TOP 10等) | 默認(rèn)系統(tǒng)功能可解決來(lái)自于互聯(lián)網(wǎng)惡意掃描等問(wèn)題 |
文檔及幫助
WAF 控制臺(tái)概覽界面的【信息通告】一欄正下方有一欄【基本信息】,最后一行為【回源 IP】,點(diǎn)擊【查看】即可獲取相應(yīng)的回源 IP 網(wǎng)段地址。
每當(dāng)爆出最新漏洞的時(shí)候,我們的安全工程師會(huì)第一時(shí)間跟進(jìn),分析 POC 和漏洞原理,提取出相應(yīng)的檢測(cè)規(guī)則,及時(shí)部署新規(guī)則到 WAF。
WAF 系統(tǒng)對(duì)漏洞攻擊的阻斷稱為“虛擬補(bǔ)丁”,意味著并非是真正的打補(bǔ)丁行為,而是臨時(shí)封堵攻擊,為業(yè)務(wù)方更新補(bǔ)丁贏取時(shí)間。
如果有外網(wǎng) SLB,則填寫 SLB 網(wǎng)關(guān)的 IP 即可,不需要填寫子網(wǎng)主機(jī) IP。對(duì)于請(qǐng)求代理型 SLB,推薦使用SLB 版 WAF。
開啟【HTTP2 轉(zhuǎn)發(fā)】后,同一防護(hù) IP[?]下所有的域名的 HTTPS 端口都會(huì)支持 HTTPS,若只希望個(gè)別域名開啟 HTTP2.0,建議此類域名使用獨(dú)享 IP。對(duì)于 HTTPS 443 端口,建議同步開啟【HTTPS 跳轉(zhuǎn)】。HTTP 端口不支持 HTTP2.0。
參見規(guī)則優(yōu)先級(jí)。
對(duì)于觸發(fā) WAF 規(guī)則而攔截的請(qǐng)求:響應(yīng) 404 狀態(tài)碼和默認(rèn)的攔截頁(yè)面,旗艦版及專屬定制版用戶可以自定義攔截的響應(yīng)狀態(tài)碼和攔截頁(yè)面。
對(duì)于觸發(fā) CC 規(guī)則的 IP 的請(qǐng)求:若限制方式是 攔截此類請(qǐng)求,則拒絕連接并記錄 444 狀態(tài)碼;若限制方式是 啟用驗(yàn)證碼,則響應(yīng) 200 狀態(tài)碼和驗(yàn)證碼頁(yè)面;若限制方式是限制請(qǐng)求速率,則對(duì)超出速率的請(qǐng)求響應(yīng) 429 狀態(tài)碼。
對(duì)于黑名單中 IP 的請(qǐng)求,若動(dòng)作是攔截,則拒絕連接并記錄 444 狀態(tài)碼;若動(dòng)作是驗(yàn)證碼,則響應(yīng) 200 狀態(tài)碼和驗(yàn)證碼頁(yè)面。