基础业务配置
域名(泛域名、一级域名、二级域名等各级域名)/IP防护
WAF支持云模式、独享模式两种部署模式,各部署模式支持防护的对象说明如下:
• 云模式:域名,华为云、非华为云或云下的Web业务
• 独享模式:域名或IP,华为云的Web业务
HTTP/HTTPS业务防护
WAF可以防护HTTP/HTTPS业务,通过对HTTP/HTTPS请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。
支持WebSocket/WebSockets协议
WAF支持WebSocket/WebSockets协议,且默认为开启状态。
非标端口防护
Web应用防火墙除了可以防护标准的80,443端口外,还支持非标准端口的防护。
说明:云模式的专业版和铂金版支持定制非标准端口,您可以提交工单申请开通定制的非标准端口。
Web应用安全防护
Web基础防护
覆盖OWASP(Open Web Application Security Project,简称OWASP)TOP 10中常见安全威胁,通过预置丰富的信誉库,对漏洞攻击、网页木马等威胁进行检测和拦截。
• 全面的攻击防护
支持SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录(路径)遍历、敏感文件访问、命令/代码注入、XML/Xpath注入等攻击检测和拦截。
• Webshell检测
防护通过上传接口植入网页木马。
• 识别精准
○ 内置语义分析+正则双引擎,黑白名单配置,误报率更低。
○ 支持防逃逸,自动还原常见编码,识别变形攻击能力更强。
默认支持的编码还原类型:url_encode、Unicode、xml、OCT(八进制)、HEX(十六进制)、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。
• 深度检测
深度反逃逸识别(支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护)。
• header全检测
支持对请求里header中所有字段进行攻击检测。
• Shiro解密检测
支持对Cookie中的rememberMe内容做AES,Base64解密后再检测。
CC攻击防护规则
可以自定义CC防护规则,限制单个IP/Cookie/Referer访问者对您的网站上特定路径(URL)的访问频率,WAF会根据您配置的规则,精准识别CC攻击以及有效缓解CC攻击。
精准访问防护规则
精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合,定制化防护策略,为您的网站带来更精准的防护。
说明:防护动作为“阻断”时,可使用攻击惩罚标准功能,即当恶意请求被拦截时,可自动封禁访问者一段时间。
黑白名单规则
配置黑白名单规则,阻断、仅记录或放行指定IP的访问请求,即设置IP黑/白名单。
说明:防护动作为“拦截”时,可使用攻击惩罚标准功能,即当恶意请求被拦截时,可自动封禁访问者一段时间。
地理位置访问控制规则
针对指定国家、地区的来源IP自定义访问控制。
网页防篡改规则
当用户需要防护静态页面被篡改时,可配置网页防篡改规则。
网站反爬虫规则
动态分析网站业务模型,结合人机识别技术和数据风控手段,精准识别700+种爬虫行为。
• 特征反爬虫
自定义扫描器与爬虫规则,用于阻断网页爬取行为,添加定制的恶意爬虫、扫描器特征,使爬虫防护更精准。
• JS脚本反爬虫
通过自定义规则识别并阻断JS脚本爬虫行为。
防敏感信息泄露规则
该规则可添加两种类型的防敏感信息泄露规则:
• 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理,防止用户的敏感信息(例如:身份证号、电话号码、电子邮箱等)泄露。
• 响应码拦截。配置后可拦截指定的HTTP响应码页面。
全局白名单(原误报屏蔽)规则
针对特定请求忽略某些攻击检测规则,用于处理误报事件。
隐私屏蔽规则
隐私信息屏蔽,避免用户的密码等信息出现在事件日志中。
PCI DSS/PCI 3DS合规认证和TLS
• TLS支持TLS v1.0、TLS v1.1、TLS v1.2、TLS v1.3四个版本和五种加密套件,可以满足各种行业客户的安全需求。
• WAF支持PCI DSS和PCI 3DS合规认证功能。
IPv6防护
Web应用防火墙支持防护IPv6环境下发起的攻击,帮助您的源站实现对IPv6流量的安全防护。
随着IPv6协议的迅速普及,新的网络环境以及新兴领域均面临着新的安全挑战,Web应用防火墙的IPv6防护功能帮助您轻松构建覆盖全球的安全防护体系。
• Web应用防火墙支持IPv6/IPv4双栈,针对同一域名可以同时提供IPv6和IPv4的流量防护。
• 针对仍然使用IPv4协议栈的Web业务,Web应用防火墙支持NAT64机制(NAT64是一种通过网络地址转换(NAT)形式促成IPv6与IPv4主机间通信的IPv6转换机制),即WAF可以将IPv4源站转化成IPv6网站,将外部IPv6访问流量转化成对内的IPv4流量。
连接保护
网站接入WAF防护之后,若您访问网站时出现大量的502 Bad Gateway,504 Gateway Timeout错误或者等待处理的请求,为了保护源站的安全,可使用WAF的宕机保护和连接保护功能。当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时,将触发WAF熔断功能开关,实现宕机保护和读等待URL请求保护。
手动设置网站连接超时时间
• 浏览器到WAF引擎的连接超时时长默认是120秒,该值取决于浏览器的配置,该值在WAF界面不可以手动设置。
• WAF到客户源站的连接超时时长默认为60秒,该值可以在WAF界面手动设置,但仅“独享模式”和“云模式”的专业版、铂金版支持手动设置连接超时时长。在域名的基本信息页面,开启“超时配置”并单击,设置“连接超时”、“读超时”、“写超时”的时间,并单击保存设置。
防护事件管理
• 当Web应用防火墙拦截或者仅记录的攻击事件为误报时,用户可通过Web应用防火墙处理误报事件、查看事件详情。
• 用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据。
• WAF支持全量日志功能,您可以将攻击日志、访问日志记录到华为云的云日志服务(Log Tank Service,简称LTS)。
告警通知
用户可以通过Web应用防火墙服务对攻击日志进行通知设置。开启告警通知后,Web应用防火墙将仅记录和拦截的攻击日志通过用户设置的接收通知方式发送给用户。
配置内容安全检测服务
网站/新媒体内容安全检测
• 内容合法合规性检测
国家政策要求各地方机构要认真落实意识形态工作和网络内容安全工作责任制。为响应国家政策,华为云内容安全检测服务可对网站/新媒体内容进行合法合规检测,主要对文本、图片、视频、语音进行检测和识别是否包含色情、涉政、暴力、惊悚、不宜广告、垃圾信息、不良内容等,有效帮助您降低内容风险。
• 内容准确性检测
对网站/主流新媒体平台的内容进行准确性检测,主要对文本、图片、视频、语音进行表述规范审核,如对错别字、生僻字、词法表述、语法表述等内容进行检测审核。
安全可视化
提供简洁友好的控制界面,实时查看攻击信息和事件日志。
• 策略事件集中配置
在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略,快速下发,快速生效。
• 流量及事件统计信息
实时查看访问次数、安全事件的数量与类型、详细的日志信息。
灵活性、可靠性
多区域多集群部署,支持负载均衡,可在线平滑扩容,没有单点故障,最大限度保护业务运行稳定。