通過(guò)Web應(yīng)用防火墻,輕松應(yīng)對(duì)各種Web安全風(fēng)險(xiǎn),Web應(yīng)用防火墻支持功能如下表。

功能類(lèi)別

功能說(shuō)明

業(yè)務(wù)配置

域名(泛域名、一級(jí)域名、二級(jí)域名等各級(jí)域名)/IP防護(hù)

說(shuō)明:

WAF云模式支持域名備案檢查,添加防護(hù)域名時(shí),WAF會(huì)檢查域名備案情況,未備案域名將無(wú)法添加到WAF。

WAF支持云模式、獨(dú)享模式兩種部署模式,各部署模式支持防護(hù)的對(duì)象說(shuō)明如下:

  • 云模式:域名,華為云、非華為云或云下的Web業(yè)務(wù)

  • 獨(dú)享模式:域名或IP,華為云的Web業(yè)務(wù)

HTTP/HTTPS業(yè)務(wù)防護(hù)

WAF可以防護(hù)HTTP/HTTPS業(yè)務(wù),通過(guò)對(duì)HTTP/HTTPS請(qǐng)求進(jìn)行檢測(cè),識(shí)別并阻斷SQL注入、跨站腳本攻擊、網(wǎng)頁(yè)木馬上傳、命令/代碼注入、文件包含、敏感文件訪問(wèn)、第三方應(yīng)用漏洞攻擊、CC攻擊、惡意爬蟲(chóng)掃描、跨站請(qǐng)求偽造等攻擊,保護(hù)Web服務(wù)安全穩(wěn)定。

支持WebSocket/WebSockets協(xié)議

WAF支持WebSocket/WebSockets協(xié)議,且默認(rèn)為開(kāi)啟狀態(tài)。

非標(biāo)端口防護(hù)

Web應(yīng)用防火墻除了可以防護(hù)標(biāo)準(zhǔn)的80,443端口外,還支持非標(biāo)準(zhǔn)端口的防護(hù)。

說(shuō)明:

云模式的專業(yè)版和鉑金版支持定制非標(biāo)準(zhǔn)端口,您可以提交工單申請(qǐng)開(kāi)通定制的非標(biāo)準(zhǔn)端口。

Web應(yīng)用安全防護(hù)

Web基礎(chǔ)防護(hù)

說(shuō)明:

防護(hù)動(dòng)作為“攔截”時(shí),可使用攻擊懲罰標(biāo)準(zhǔn)功能,即當(dāng)惡意請(qǐng)求被攔截時(shí),可自動(dòng)封禁訪問(wèn)者一段時(shí)間。

覆蓋OWASP(Open Web Application Security Project,簡(jiǎn)稱OWASP)TOP 10中常見(jiàn)安全威脅,通過(guò)預(yù)置豐富的信譽(yù)庫(kù),對(duì)漏洞攻擊、網(wǎng)頁(yè)木馬等威脅進(jìn)行檢測(cè)和攔截。

  • 全面的攻擊防護(hù)

    支持SQL注入、XSS跨站腳本、遠(yuǎn)程溢出攻擊、文件包含、Bash漏洞攻擊、遠(yuǎn)程命令執(zhí)行、目錄(路徑)遍歷、敏感文件訪問(wèn)、命令/代碼注入、XML/Xpath注入等攻擊檢測(cè)和攔截。

  • Webshell檢測(cè)

    防護(hù)通過(guò)上傳接口植入網(wǎng)頁(yè)木馬。

  • 識(shí)別精準(zhǔn)

    • 內(nèi)置語(yǔ)義分析+正則雙引擎,黑白名單配置,誤報(bào)率更低。

    • 支持防逃逸,自動(dòng)還原常見(jiàn)編碼,識(shí)別變形攻擊能力更強(qiáng)。

      默認(rèn)支持的編碼還原類(lèi)型:url_encode、Unicode、xml、OCT(八進(jìn)制)、HEX(十六進(jìn)制)、html轉(zhuǎn)義、base64、大小寫(xiě)混淆、javascript/shell/php等拼接混淆。

  • 深度檢測(cè)

    深度反逃逸識(shí)別(支持同形字符混淆、通配符變形的命令注入、UTF7、Data URI Scheme等的防護(hù))。

  • header全檢測(cè)

    支持對(duì)請(qǐng)求里header中所有字段進(jìn)行攻擊檢測(cè)。

  • Shiro解密檢測(cè)

    支持對(duì)Cookie中的rememberMe內(nèi)容做AES,Base64解密后再檢測(cè)。

CC攻擊防護(hù)規(guī)則

可以自定義CC防護(hù)規(guī)則,限制單個(gè)IP/Cookie/Referer訪問(wèn)者對(duì)您的網(wǎng)站上特定路徑(URL)的訪問(wèn)頻率,WAF會(huì)根據(jù)您配置的規(guī)則,精準(zhǔn)識(shí)別CC攻擊以及有效緩解CC攻擊。

精準(zhǔn)訪問(wèn)防護(hù)規(guī)則

說(shuō)明:

防護(hù)動(dòng)作為“阻斷”時(shí),可使用攻擊懲罰標(biāo)準(zhǔn)功能,即當(dāng)惡意請(qǐng)求被攔截時(shí),可自動(dòng)封禁訪問(wèn)者一段時(shí)間。

精準(zhǔn)訪問(wèn)防護(hù)策略可對(duì)HTTP首部、Cookie、訪問(wèn)URL、請(qǐng)求參數(shù)或者客戶端IP進(jìn)行條件組合,定制化防護(hù)策略,為您的網(wǎng)站帶來(lái)更精準(zhǔn)的防護(hù)。

黑白名單規(guī)則

說(shuō)明:

防護(hù)動(dòng)作為“攔截”時(shí),可使用攻擊懲罰標(biāo)準(zhǔn)功能,即當(dāng)惡意請(qǐng)求被攔截時(shí),可自動(dòng)封禁訪問(wèn)者一段時(shí)間。

配置黑白名單規(guī)則,阻斷、僅記錄或放行指定IP的訪問(wèn)請(qǐng)求,即設(shè)置IP黑/白名單。

地理位置訪問(wèn)控制規(guī)則

針對(duì)指定國(guó)家、地區(qū)的來(lái)源IP自定義訪問(wèn)控制。

網(wǎng)頁(yè)防篡改規(guī)則

當(dāng)用戶需要防護(hù)靜態(tài)頁(yè)面被篡改時(shí),可配置網(wǎng)頁(yè)防篡改規(guī)則。

網(wǎng)站反爬蟲(chóng)規(guī)則

動(dòng)態(tài)分析網(wǎng)站業(yè)務(wù)模型,結(jié)合人機(jī)識(shí)別技術(shù)和數(shù)據(jù)風(fēng)控手段,精準(zhǔn)識(shí)別700+種爬蟲(chóng)行為。

  • 特征反爬蟲(chóng)

    自定義掃描器與爬蟲(chóng)規(guī)則,用于阻斷網(wǎng)頁(yè)爬取行為,添加定制的惡意爬蟲(chóng)、掃描器特征,使爬蟲(chóng)防護(hù)更精準(zhǔn)。

  • JS腳本反爬蟲(chóng)

    通過(guò)自定義規(guī)則識(shí)別并阻斷JS腳本爬蟲(chóng)行為。

防敏感信息泄露規(guī)則

該規(guī)則可添加兩種類(lèi)型的防敏感信息泄露規(guī)則:

  • 敏感信息過(guò)濾。配置后可對(duì)返回頁(yè)面中包含的敏感信息做屏蔽處理,防止用戶的敏感信息(例如:身份證號(hào)、電話號(hào)碼、電子郵箱等)泄露。

  • 響應(yīng)碼攔截。配置后可攔截指定的HTTP響應(yīng)碼頁(yè)面。

全局白名單(原誤報(bào)屏蔽)規(guī)則

針對(duì)特定請(qǐng)求忽略某些攻擊檢測(cè)規(guī)則,用于處理誤報(bào)事件。

隱私屏蔽規(guī)則

隱私信息屏蔽,避免用戶的密碼等信息出現(xiàn)在事件日志中。

PCI DSS/PCI 3DS合規(guī)認(rèn)證和TLS

  • TLS支持TLS v1.0、TLS v1.1、TLS v1.2、TLS v1.3四個(gè)版本和五種加密套件,可以滿足各種行業(yè)客戶的安全需求。

  • WAF支持PCI DSS和PCI 3DS合規(guī)認(rèn)證功能。

IPv6防護(hù)

Web應(yīng)用防火墻支持防護(hù)IPv6環(huán)境下發(fā)起的攻擊,幫助您的源站實(shí)現(xiàn)對(duì)IPv6流量的安全防護(hù)。

隨著IPv6協(xié)議的迅速普及,新的網(wǎng)絡(luò)環(huán)境以及新興領(lǐng)域均面臨著新的安全挑戰(zhàn),Web應(yīng)用防火墻的IPv6防護(hù)功能幫助您輕松構(gòu)建覆蓋全球的安全防護(hù)體系。

  • Web應(yīng)用防火墻支持IPv6/IPv4雙棧,針對(duì)同一域名可以同時(shí)提供IPv6和IPv4的流量防護(hù)。

  • 針對(duì)仍然使用IPv4協(xié)議棧的Web業(yè)務(wù),Web應(yīng)用防火墻支持NAT64機(jī)制(NAT64是一種通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)形式促成IPv6與IPv4主機(jī)間通信的IPv6轉(zhuǎn)換機(jī)制),即WAF可以將IPv4源站轉(zhuǎn)化成IPv6網(wǎng)站,將外部IPv6訪問(wèn)流量轉(zhuǎn)化成對(duì)內(nèi)的IPv4流量。

連接保護(hù)

網(wǎng)站接入WAF防護(hù)之后,若您訪問(wèn)網(wǎng)站時(shí)出現(xiàn)大量的502 Bad Gateway,504 Gateway Timeout錯(cuò)誤或者等待處理的請(qǐng)求,為了保護(hù)源站的安全,可使用WAF的宕機(jī)保護(hù)和連接保護(hù)功能。當(dāng)502/504請(qǐng)求數(shù)量或讀等待URL請(qǐng)求數(shù)量以及占比閾值達(dá)到您設(shè)置的值時(shí),將觸發(fā)WAF熔斷功能開(kāi)關(guān),實(shí)現(xiàn)宕機(jī)保護(hù)和讀等待URL請(qǐng)求保護(hù)。

手動(dòng)設(shè)置網(wǎng)站連接超時(shí)時(shí)間

  • 瀏覽器到WAF引擎的連接超時(shí)時(shí)長(zhǎng)默認(rèn)是120秒,該值取決于瀏覽器的配置,該值在WAF界面不可以手動(dòng)設(shè)置。

  • WAF到客戶源站的連接超時(shí)時(shí)長(zhǎng)默認(rèn)為60秒,該值可以在WAF界面手動(dòng)設(shè)置,但僅“獨(dú)享模式”“云模式”的專業(yè)版、鉑金版支持手動(dòng)設(shè)置連接超時(shí)時(shí)長(zhǎng)。

    在域名的基本信息頁(yè)面,開(kāi)啟“超時(shí)配置”并單擊,設(shè)置“連接超時(shí)”“讀超時(shí)”、“寫(xiě)超時(shí)”的時(shí)間,并單擊保存設(shè)置。

防護(hù)事件管理

  • 當(dāng)Web應(yīng)用防火墻攔截或者僅記錄的攻擊事件為誤報(bào)時(shí),用戶可通過(guò)Web應(yīng)用防火墻處理誤報(bào)事件、查看事件詳情。

  • 用戶可以通過(guò)Web應(yīng)用防火墻服務(wù)下載5天內(nèi)的全量防護(hù)事件數(shù)據(jù)。

  • WAF支持全量日志功能,您可以將攻擊日志、訪問(wèn)日志記錄到華為云的云日志服務(wù)(Log Tank Service,簡(jiǎn)稱LTS)。

告警通知

用戶可以通過(guò)Web應(yīng)用防火墻服務(wù)對(duì)攻擊日志進(jìn)行通知設(shè)置。開(kāi)啟告警通知后,Web應(yīng)用防火墻將僅記錄和攔截的攻擊日志通過(guò)用戶設(shè)置的接收通知方式發(fā)送給用戶。

配置內(nèi)容安全檢測(cè)服務(wù)

網(wǎng)站/新媒體內(nèi)容安全檢測(cè)

  • 內(nèi)容合法合規(guī)性檢測(cè)

    國(guó)家政策要求各地方機(jī)構(gòu)要認(rèn)真落實(shí)意識(shí)形態(tài)工作和網(wǎng)絡(luò)內(nèi)容安全工作責(zé)任制。為響應(yīng)國(guó)家政策,華為云內(nèi)容安全檢測(cè)服務(wù)可對(duì)網(wǎng)站/新媒體內(nèi)容進(jìn)行合法合規(guī)檢測(cè),主要對(duì)文本、圖片、視頻、語(yǔ)音進(jìn)行檢測(cè)和識(shí)別是否包含色情、涉政、暴力、驚悚、不宜廣告、垃圾信息、不良內(nèi)容等,有效幫助您降低內(nèi)容風(fēng)險(xiǎn)。

  • 內(nèi)容準(zhǔn)確性檢測(cè)

    對(duì)網(wǎng)站/主流新媒體平臺(tái)的內(nèi)容進(jìn)行準(zhǔn)確性檢測(cè),主要對(duì)文本、圖片、視頻、語(yǔ)音進(jìn)行表述規(guī)范審核,如對(duì)錯(cuò)別字、生僻字、詞法表述、語(yǔ)法表述等內(nèi)容進(jìn)行檢測(cè)審核。

安全可視化

提供簡(jiǎn)潔友好的控制界面,實(shí)時(shí)查看攻擊信息和事件日志。

  • 策略事件集中配置

    在Web應(yīng)用防火墻服務(wù)的控制臺(tái)集中配置適用于多個(gè)防護(hù)域名的策略,快速下發(fā),快速生效。

  • 流量及事件統(tǒng)計(jì)信息

    實(shí)時(shí)查看訪問(wèn)次數(shù)、安全事件的數(shù)量與類(lèi)型、詳細(xì)的日志信息。

靈活性、可靠性

多區(qū)域多集群部署,支持負(fù)載均衡,可在線平滑擴(kuò)容,沒(méi)有單點(diǎn)故障,最大限度保護(hù)業(yè)務(wù)運(yùn)行穩(wěn)定。


上一篇:

什么是Web應(yīng)用防火墻

下一篇:

產(chǎn)品優(yōu)勢(shì)