源站可以配置黑白名单,仅放行 WAF 回源网段以及一些可信 IP 地址网段,其他 IP 地址的连接一律拒绝。
产品介绍
WEB应用防火墙(简称WAF)是对客户请求与Web应用之间信息的唯一出入口,能根据不同的策略控制,有效地监控了应用业务和互联网之间的任何活动,保证了内部系统的安全。
产品特性
安全防护
WAF的虚拟补丁可快速对漏洞进行实时的防护与响应
源站保护
隐藏真实源站,实现网站隐身,避免真实地址暴露受到黑客攻击
访问来源控制
通过安全准入控制,只允许云WAF的IP访问,其余定向访问一律禁止,可对抗指定源站IP进行的定向攻击行为
功能优势
低延迟
规则自完善系统
自动化弹性扩展能力
协同防御能力
丰富的规则支持
7*24小时专家服务
功能规格
核心功能 | 说明 |
---|---|
混合云接入 | 通过 CNAME 解析接入 WAF,便宜云服务器公有云和非便宜云服务器公有云用户均可接入。 |
0Day 防护 | 安全团队 7 * 24 小时监测,主动发现并响应,24 小时内下发高危 Web 漏洞,0day 漏洞防护虚拟补丁,受护用户无需任何操作即可获取紧急漏洞、0day 漏洞攻击防护能力,大大缩短漏洞响应周期。 |
基础防护 | 全面防护以下攻击类型:SQL 注入、XSS 跨站、WebShell、命令注入、非法 HTTP 协议请求、常见 Web 服务器漏洞攻击、核心文件非授权访问、路径穿越等。提供后门隔离保护及扫描防护等功能。规则支持自定义。 |
访问控制 | 提供友好的配置控制台界面,支持 IP、URL、Referer、User-Agent 等 HTTP 常见字段的条件组合,打造强大的精准访问控制策略,可支持盗链、网站后台保护等防护场景。与 Web 常见攻击防护、CC 防护等安全模块采用联动机制,打造多层综合保护机制、可根据需求,识别可信与恶意流量。 |
CC攻击防护 | 对单一源 IP 的访问频率进行控制,支持重定向跳转验证、及人机识别等。针对海量慢速请求攻击,根据统计响应码及 URL 请求分布、异常 Referer 及 User-Agent 特征识别,结合网站精准访问控制进行综合防护。 |
全量访问日志 | 实时日志的搜索查询与下载180天内日志。 |
防页面篡改 | 用户可设置将核心网页内容缓存云端,并对外发布缓存中的网页内容,实现网页替身效果,防止网页篡改给组织带来负面影响。 |
防敏感信息泄露 | 将敏感信息如手机号、身份证脱敏,防止泄漏,同时也可以根据响应内容进行阻断,响应内容的格式需为 text/html 或 text/plain。也可以根据源站的响应码伪装响应内容,或者改响应阻断。 |
核心功能 | 说明 |
---|---|
地域 | 目前支持大陆地区,华北一、上海两个地域,后续其他地域将陆续上线 |
域名数量 | 一个服务支持绑定1个域名 |
日志服务 | 180天 |
带宽 | 峰值40Mbps |
QPS | 峰值3000 |
HTTP | 支持80、443标准端口接入 |
HTTPS | 支持80、443标准端口接入 |
HTTP2.0 | 除80、443标准端口外,还支持防护特定的非标准端口上的业务,但客户需要自行配置 |
非标端口 | 支持HTTP2.0 业务的转发与安全防 |
系统规则 | 40条/单个服务 |
CC 防护规则 | 20条/单个服务 |
恶意 IP 封禁* | 5条/单个服务 |
区域 IP 封禁 | 10条/单个服务 |
信息安全防护 | 20条/单个服务 |
黑白名单 | 1000条/单个服务 |
网页防篡改 | 20条/单个服务 |
核心功能 | 说明 |
---|---|
标准版 | 各版本功能及配额完全一致 |
独立IP版 | 在标准版基础上,享有独立ip,相比于标准版,该服务绑定的域名能在共享防护IP的域名被DDoS攻击时不受影响,同时拥有更好的并发性能 |
高防版(即将上线) | 在独立IP版基础上,防护域名被DDoS攻击时可自动开启高防(10G容量),将恶意流量清洗后再进行WAF防护 |
应用场景
网站基础防护
覆盖中常见安全威胁,通过预置丰富的信誉库,对漏洞攻击、网页木马等威胁进行检测和拦截
支持SQL注入、XSS跨站脚本、Webshell上传、目录(路径)遍历、文件包含等常见Web攻击的检测和拦截
能解决的问题
全面防护SQL注入、XSS、Webshell上传、目录遍历、后门隔离等各类常见Web攻击
相关产品
CC攻击防护
黑客控制大量肉鸡或代理服务器,生成大量的指向受害网站的合法请求,长时间占用核心资源
静态网站遭受攻击时,网络资源被垃圾数据消耗,网站无法正常访问
能解决的问题
可以对请求进行限流,防止出现大量请求直接回源到源站造成源站网络拥堵或 CPU 使用率飙升的情况
相关产品
面临问题与处理
客户面临的问题 | 便宜云服务器云WAF的有效解决方案 |
---|---|
网页防篡改 | 支持静态首页等资源的网页防篡改需求 |
网络CC攻击 | CC规则可通过阈值控制、验证码等多种方式进行安全防范 |
网站来源访问管理 | 定制化的黑白名单及路径控制,有效解决用户访问管理 |
等保合规要求 | 满足等保合规,具有销售认证许可 |
基本的网站防护(扫描,OWASP TOP 10等) | 默认系统功能可解决来自于互联网恶意扫描等问题 |
文档及帮助
WAF 控制台概览界面的【信息通告】一栏正下方有一栏【基本信息】,最后一行为【回源 IP】,点击【查看】即可获取相应的回源 IP 网段地址。
每当爆出最新漏洞的时候,我们的安全工程师会第一时间跟进,分析 POC 和漏洞原理,提取出相应的检测规则,及时部署新规则到 WAF。
WAF 系统对漏洞攻击的阻断称为“虚拟补丁”,意味着并非是真正的打补丁行为,而是临时封堵攻击,为业务方更新补丁赢取时间。
如果有外网 SLB,则填写 SLB 网关的 IP 即可,不需要填写子网主机 IP。对于请求代理型 SLB,推荐使用SLB 版 WAF。
开启【HTTP2 转发】后,同一防护 IP[?]下所有的域名的 HTTPS 端口都会支持 HTTPS,若只希望个别域名开启 HTTP2.0,建议此类域名使用独享 IP。对于 HTTPS 443 端口,建议同步开启【HTTPS 跳转】。HTTP 端口不支持 HTTP2.0。
参见规则优先级。
对于触发 WAF 规则而拦截的请求:响应 404 状态码和默认的拦截页面,旗舰版及专属定制版用户可以自定义拦截的响应状态码和拦截页面。
对于触发 CC 规则的 IP 的请求:若限制方式是 拦截此类请求,则拒绝连接并记录 444 状态码;若限制方式是 启用验证码,则响应 200 状态码和验证码页面;若限制方式是限制请求速率,则对超出速率的请求响应 429 状态码。
对于黑名单中 IP 的请求,若动作是拦截,则拒绝连接并记录 444 状态码;若动作是验证码,则响应 200 状态码和验证码页面。