×

WEB應(yīng)用防火墻 WAF

WAF是部署在Web 服務(wù)器前,通過(guò)轉(zhuǎn)發(fā)代理的方式為業(yè)務(wù)提供保護(hù)的一款產(chǎn)品。通過(guò)對(duì)流量的內(nèi)容檢測(cè),抵御包括SQL注入,XSS攻擊,漏洞攻擊,惡意掃描等類型的攻擊行為。為網(wǎng)站的正常工作保駕護(hù)航。

產(chǎn)品介紹

WEB應(yīng)用防火墻(簡(jiǎn)稱WAF)是對(duì)客戶請(qǐng)求與Web應(yīng)用之間信息的唯一出入口,能根據(jù)不同的策略控制,有效地監(jiān)控了應(yīng)用業(yè)務(wù)和互聯(lián)網(wǎng)之間的任何活動(dòng),保證了內(nèi)部系統(tǒng)的安全。

產(chǎn)品特性

安全防護(hù)

WAF的虛擬補(bǔ)丁可快速對(duì)漏洞進(jìn)行實(shí)時(shí)的防護(hù)與響應(yīng)

源站保護(hù)

隱藏真實(shí)源站,實(shí)現(xiàn)網(wǎng)站隱身,避免真實(shí)地址暴露受到黑客攻擊

訪問(wèn)來(lái)源控制

通過(guò)安全準(zhǔn)入控制,只允許云WAF的IP訪問(wèn),其余定向訪問(wèn)一律禁止,可對(duì)抗指定源站IP進(jìn)行的定向攻擊行為

配置推薦

標(biāo)準(zhǔn)版

SQL 注入、XSS 跨站、WebShell、命令注入、非法 HTTP 協(xié)議請(qǐng)求、常見 Web 服務(wù)器漏洞攻擊、核心文件非授權(quán)訪問(wèn)、路徑穿越等

1200元/月
1 年期,可享 9 折
立即選購(gòu)

更多配置

獨(dú)享IP版

在標(biāo)準(zhǔn)版基礎(chǔ)上,享有獨(dú)立ip,相比于標(biāo)準(zhǔn)版,該服務(wù)綁定的域名能在共享防護(hù)IP的域名被DDoS攻擊時(shí)不受影響,同時(shí)擁有更好的并發(fā)性能。

1500元/月
1 年期,可享 9 折
立即選購(gòu)

更多配置

功能優(yōu)勢(shì)

低延遲

基于BGP線路接入,質(zhì)量穩(wěn)定,毫秒級(jí)響應(yīng)延遲。

規(guī)則自完善系統(tǒng)

基于機(jī)器學(xué)習(xí),智能檢測(cè)引擎具有優(yōu)秀的泛化能力以及自動(dòng)學(xué)習(xí)能力,能夠同規(guī)則系統(tǒng)進(jìn)行有機(jī)結(jié)合,為客戶網(wǎng)站的安全提供更堅(jiān)實(shí)的保障。

自動(dòng)化彈性擴(kuò)展能力

具備自動(dòng)化彈性擴(kuò)展能力,利用新網(wǎng)公有云資源池作為支撐,在遭遇CC攻擊或者業(yè)務(wù)突發(fā)時(shí),能夠進(jìn)行自身服務(wù)的快速擴(kuò)展,所以不會(huì)存在性能瓶頸問(wèn)題。

協(xié)同防御能力

強(qiáng)大的云端情報(bào)收集能力,同時(shí)結(jié)合其他情報(bào)廠商的情報(bào),在WAF上利用情報(bào)庫(kù)可以過(guò)濾海量的惡意訪問(wèn)。

豐富的規(guī)則支持

基于流量?jī)?nèi)容深度解析,可針對(duì)不同的業(yè)務(wù)字段進(jìn)行定制化的規(guī)則設(shè)置,包括對(duì)字段內(nèi)容的二次分析,比如歸屬地查詢、自動(dòng)攔截惡意IP、CC策略、自定義攔截頁(yè)面等。

7*24小時(shí)專家服務(wù)

WAF用戶,均能夠享受到7*24小時(shí)免費(fèi)的專家服務(wù),對(duì)于復(fù)雜的攻擊,當(dāng)機(jī)器或者算法無(wú)法進(jìn)行精準(zhǔn)的判斷和阻擋時(shí),安全專家可以介入分析,并提供針對(duì)性的防御措施。

功能規(guī)格

核心功能 說(shuō)明
混合云接入 通過(guò) CNAME 解析接入 WAF,新網(wǎng)公有云和非新網(wǎng)公有云用戶均可接入。
0Day 防護(hù) 安全團(tuán)隊(duì) 7 * 24 小時(shí)監(jiān)測(cè),主動(dòng)發(fā)現(xiàn)并響應(yīng),24 小時(shí)內(nèi)下發(fā)高危 Web 漏洞,0day 漏洞防護(hù)虛擬補(bǔ)丁,受護(hù)用戶無(wú)需任何操作即可獲取緊急漏洞、0day 漏洞攻擊防護(hù)能力,大大縮短漏洞響應(yīng)周期。
基礎(chǔ)防護(hù) 全面防護(hù)以下攻擊類型:SQL 注入、XSS 跨站、WebShell、命令注入、非法 HTTP 協(xié)議請(qǐng)求、常見 Web 服務(wù)器漏洞攻擊、核心文件非授權(quán)訪問(wèn)、路徑穿越等。提供后門隔離保護(hù)及掃描防護(hù)等功能。規(guī)則支持自定義。
訪問(wèn)控制 提供友好的配置控制臺(tái)界面,支持 IP、URL、Referer、User-Agent 等 HTTP 常見字段的條件組合,打造強(qiáng)大的精準(zhǔn)訪問(wèn)控制策略,可支持盜鏈、網(wǎng)站后臺(tái)保護(hù)等防護(hù)場(chǎng)景。與 Web 常見攻擊防護(hù)、CC 防護(hù)等安全模塊采用聯(lián)動(dòng)機(jī)制,打造多層綜合保護(hù)機(jī)制、可根據(jù)需求,識(shí)別可信與惡意流量。
CC攻擊防護(hù) 對(duì)單一源 IP 的訪問(wèn)頻率進(jìn)行控制,支持重定向跳轉(zhuǎn)驗(yàn)證、及人機(jī)識(shí)別等。針對(duì)海量慢速請(qǐng)求攻擊,根據(jù)統(tǒng)計(jì)響應(yīng)碼及 URL 請(qǐng)求分布、異常 Referer 及 User-Agent 特征識(shí)別,結(jié)合網(wǎng)站精準(zhǔn)訪問(wèn)控制進(jìn)行綜合防護(hù)。
全量訪問(wèn)日志 實(shí)時(shí)日志的搜索查詢與下載180天內(nèi)日志。
防頁(yè)面篡改 用戶可設(shè)置將核心網(wǎng)頁(yè)內(nèi)容緩存云端,并對(duì)外發(fā)布緩存中的網(wǎng)頁(yè)內(nèi)容,實(shí)現(xiàn)網(wǎng)頁(yè)替身效果,防止網(wǎng)頁(yè)篡改給組織帶來(lái)負(fù)面影響。
防敏感信息泄露 將敏感信息如手機(jī)號(hào)、身份證脫敏,防止泄漏,同時(shí)也可以根據(jù)響應(yīng)內(nèi)容進(jìn)行阻斷,響應(yīng)內(nèi)容的格式需為 text/html 或 text/plain。也可以根據(jù)源站的響應(yīng)碼偽裝響應(yīng)內(nèi)容,或者改響應(yīng)阻斷。
核心功能 說(shuō)明
地域 目前支持大陸地區(qū),華北一、上海兩個(gè)地域,后續(xù)其他地域?qū)㈥懤m(xù)上線
域名數(shù)量 一個(gè)服務(wù)支持綁定1個(gè)域名
日志服務(wù) 180天
帶寬 峰值40Mbps
QPS 峰值3000
HTTP 支持80、443標(biāo)準(zhǔn)端口接入
HTTPS 支持80、443標(biāo)準(zhǔn)端口接入
HTTP2.0 除80、443標(biāo)準(zhǔn)端口外,還支持防護(hù)特定的非標(biāo)準(zhǔn)端口上的業(yè)務(wù),但客戶需要自行配置
非標(biāo)端口 支持HTTP2.0 業(yè)務(wù)的轉(zhuǎn)發(fā)與安全防
系統(tǒng)規(guī)則 40條/單個(gè)服務(wù)
CC 防護(hù)規(guī)則 20條/單個(gè)服務(wù)
惡意 IP 封禁* 5條/單個(gè)服務(wù)
區(qū)域 IP 封禁 10條/單個(gè)服務(wù)
信息安全防護(hù) 20條/單個(gè)服務(wù)
黑白名單 1000條/單個(gè)服務(wù)
網(wǎng)頁(yè)防篡改 20條/單個(gè)服務(wù)
核心功能 說(shuō)明
標(biāo)準(zhǔn)版 各版本功能及配額完全一致
獨(dú)立IP版 在標(biāo)準(zhǔn)版基礎(chǔ)上,享有獨(dú)立ip,相比于標(biāo)準(zhǔn)版,該服務(wù)綁定的域名能在共享防護(hù)IP的域名被DDoS攻擊時(shí)不受影響,同時(shí)擁有更好的并發(fā)性能
高防版(即將上線) 在獨(dú)立IP版基礎(chǔ)上,防護(hù)域名被DDoS攻擊時(shí)可自動(dòng)開啟高防(10G容量),將惡意流量清洗后再進(jìn)行WAF防護(hù)

應(yīng)用場(chǎng)景

網(wǎng)站基礎(chǔ)防護(hù)

覆蓋中常見安全威脅,通過(guò)預(yù)置豐富的信譽(yù)庫(kù),對(duì)漏洞攻擊、網(wǎng)頁(yè)木馬等威脅進(jìn)行檢測(cè)和攔截

支持SQL注入、XSS跨站腳本、Webshell上傳、目錄(路徑)遍歷、文件包含等常見Web攻擊的檢測(cè)和攔截

能解決的問(wèn)題

全面防護(hù)SQL注入、XSS、Webshell上傳、目錄遍歷、后門隔離等各類常見Web攻擊

相關(guān)產(chǎn)品

云服務(wù)器

CC攻擊防護(hù)

黑客控制大量肉雞或代理服務(wù)器,生成大量的指向受害網(wǎng)站的合法請(qǐng)求,長(zhǎng)時(shí)間占用核心資源

靜態(tài)網(wǎng)站遭受攻擊時(shí),網(wǎng)絡(luò)資源被垃圾數(shù)據(jù)消耗,網(wǎng)站無(wú)法正常訪問(wèn)

能解決的問(wèn)題

可以對(duì)請(qǐng)求進(jìn)行限流,防止出現(xiàn)大量請(qǐng)求直接回源到源站造成源站網(wǎng)絡(luò)擁堵或 CPU 使用率飆升的情況

相關(guān)產(chǎn)品

云服務(wù)器

面臨問(wèn)題與處理

客戶面臨的問(wèn)題 新網(wǎng)云WAF的有效解決方案
網(wǎng)頁(yè)防篡改 支持靜態(tài)首頁(yè)等資源的網(wǎng)頁(yè)防篡改需求
網(wǎng)絡(luò)CC攻擊 CC規(guī)則可通過(guò)閾值控制、驗(yàn)證碼等多種方式進(jìn)行安全防范
網(wǎng)站來(lái)源訪問(wèn)管理 定制化的黑白名單及路徑控制,有效解決用戶訪問(wèn)管理
等保合規(guī)要求 滿足等保合規(guī),具有銷售認(rèn)證許可
基本的網(wǎng)站防護(hù)(掃描,OWASP TOP 10等) 默認(rèn)系統(tǒng)功能可解決來(lái)自于互聯(lián)網(wǎng)惡意掃描等問(wèn)題

文檔及幫助

如何防止攻擊者繞過(guò) WAF?

源站可以配置黑白名單,僅放行 WAF 回源網(wǎng)段以及一些可信 IP 地址網(wǎng)段,其他 IP 地址的連接一律拒絕。

WAF 回源 IP 地址怎么看?

WAF 控制臺(tái)概覽界面的【信息通告】一欄正下方有一欄【基本信息】,最后一行為【回源 IP】,點(diǎn)擊【查看】即可獲取相應(yīng)的回源 IP 網(wǎng)段地址。

最新的高危漏洞出現(xiàn) WAF 是否會(huì)支持防護(hù)?

每當(dāng)爆出最新漏洞的時(shí)候,我們的安全工程師會(huì)第一時(shí)間跟進(jìn),分析 POC 和漏洞原理,提取出相應(yīng)的檢測(cè)規(guī)則,及時(shí)部署新規(guī)則到 WAF。

WAF 支持虛擬補(bǔ)丁,什么是虛擬補(bǔ)?。?

WAF 系統(tǒng)對(duì)漏洞攻擊的阻斷稱為“虛擬補(bǔ)丁”,意味著并非是真正的打補(bǔ)丁行為,而是臨時(shí)封堵攻擊,為業(yè)務(wù)方更新補(bǔ)丁贏取時(shí)間。

如果源站是 SLB 負(fù)載均衡網(wǎng)關(guān),是直接填寫網(wǎng)關(guān)的 IP 還是填寫子網(wǎng)主機(jī) IP?

如果有外網(wǎng) SLB,則填寫 SLB 網(wǎng)關(guān)的 IP 即可,不需要填寫子網(wǎng)主機(jī) IP。對(duì)于請(qǐng)求代理型 SLB,推薦使用SLB 版 WAF。

WAF 上的域名開啟【HTTP2 轉(zhuǎn)發(fā)】需要注意什么?

開啟【HTTP2 轉(zhuǎn)發(fā)】后,同一防護(hù) IP[?]下所有的域名的 HTTPS 端口都會(huì)支持 HTTPS,若只希望個(gè)別域名開啟 HTTP2.0,建議此類域名使用獨(dú)享 IP。對(duì)于 HTTPS 443 端口,建議同步開啟【HTTPS 跳轉(zhuǎn)】。HTTP 端口不支持 HTTP2.0。

WAF 上的各種規(guī)則如黑白名單、CC 規(guī)則、WAF 規(guī)則的優(yōu)先級(jí)順序是什么?

參見規(guī)則優(yōu)先級(jí)。

被 WAF 攔截的請(qǐng)求的響應(yīng)狀態(tài)碼是什么?

對(duì)于觸發(fā) WAF 規(guī)則而攔截的請(qǐng)求:響應(yīng) 404 狀態(tài)碼和默認(rèn)的攔截頁(yè)面,旗艦版及專屬定制版用戶可以自定義攔截的響應(yīng)狀態(tài)碼和攔截頁(yè)面。

對(duì)于觸發(fā) CC 規(guī)則的 IP 的請(qǐng)求:若限制方式是 攔截此類請(qǐng)求,則拒絕連接并記錄 444 狀態(tài)碼;若限制方式是 啟用驗(yàn)證碼,則響應(yīng) 200 狀態(tài)碼和驗(yàn)證碼頁(yè)面;若限制方式是限制請(qǐng)求速率,則對(duì)超出速率的請(qǐng)求響應(yīng) 429 狀態(tài)碼。

對(duì)于黑名單中 IP 的請(qǐng)求,若動(dòng)作是攔截,則拒絕連接并記錄 444 狀態(tài)碼;若動(dòng)作是驗(yàn)證碼,則響應(yīng) 200 狀態(tài)碼和驗(yàn)證碼頁(yè)面。

選配您的WEB應(yīng)用防火墻
免費(fèi)咨詢獲取折扣

Loading