华为云Web应用防火墙

华为云Web应用防火墙

华为云Web应用防火墙WAF对网站业务流量进行多维度检测和防护,结合深度机器学习智能识别恶意请求特征和防御未知威胁,全面避免网站被黑客恶意攻击和入侵。

华为云Web应用防火墙WAF对网站业务流量进行多维度检测和防护,结合深度机器学习智能识别恶意请求特征和防御未知威胁,全面避免网站被黑客恶意攻击和入侵。

Web应用防火墙产品优势

  • 精准高效的威胁检测

    采用规则和AI双引擎架构,默认集成最新的防护规则和优秀实践。企业级用户策略定制,支持拦截页面自定义、多条件的CC防护策略配置、海量IP黑名单等,使网站防护更精准。

    采用规则和AI双引擎架构,默认集成最新的防护规则和优秀实践。企业级用户策略定制,支持拦截页面自定义、多条件的CC防护策略配置、海量IP黑名单等,使网站防护更精准。

    了解详情

  • 0Day漏洞快至2小时修复

    支持防护Apache Log4j2、Spring Cloud远程代码执行漏洞等,高危0Day漏洞防护规则最快2小时更新,云端自动更新预置防护规则,无需手工打补丁

    支持防护Apache Log4j2、Spring Cloud远程代码执行漏洞等,高危0Day漏洞防护规则最快2小时更新,云端自动更新预置防护规则,无需手工打补丁

    最佳实践

  • 保护用户隐私数据

    支持用户对攻击日志中的账号、密码等敏感信息进行脱敏,避免用户的密码等隐私信息出现在事件日志中

    支持用户对攻击日志中的账号、密码等敏感信息进行脱敏,避免用户的密码等隐私信息出现在事件日志中 

    了解详情

  • 助力企业安全合规满足

    帮助企业满足等保测评(等保二级/三级)、PCI-DSS等安全标准的技术要求。

    帮助企业满足等保测评(等保二级/三级)、PCI-DSS等安全标准的技术要求。

    了解详情

Web应用防火墙主要功能总览

常见Web攻击防护

覆盖OWASP TOP常见安全威胁,通过预置丰富的信誉库,支持SQL注入、XSS跨站脚本、文件包含、目录遍历、敏感文件访问、命令\代码注入、网页木马上传、恶意爬虫扫描等威胁检测和拦截

CC攻击防护

支持通过限制单个IP/Cookie/Referer访问者对防护网站上特定路径(URL)的访问频率,精准识别CC攻击以及有效缓解CC攻击,阻挡暴力破解、探测和统计弱密码撞库等高频攻击

精准访问控制

支持基于丰富的字段和逻辑条件组合,打造强大的精准访问控制策略,支持包含、不包含、等于、不等于、前缀等于、前缀不等于等逻辑条件,设置阻断或放行策略

IP黑白名单

针对IP是否被允许访问访问的功能,支持添加始终拦截与始终放行的黑白名单IP/IP地址段,增加防御准确性。WAF支持批量导入IP地址/IP地址段。

非标端口防护

Web应用防火墙除了可以防护标准的80,443端口外,还支持非标准端口的防护

快速了解

Web应用防火墙和云防火墙有什么区别?

Web应用防火墙和云防火墙是华为云推出的两款不同的产品,分别针对您的Web服务,互联网边界和VPC边界的流量进行防护。

WAF和CFW的主要区别说明如表1所示。

表1 WAF和CFW的主要区别说明

类别
Web应用防火墙
云防火墙

定义

Web应用防火墙(Web Application Firewall,WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。

云防火墙(Cloud Firewall,CFW)是新一代的云原生防火墙,提供云上互联网边界和VPC边界的防护,包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等,同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求,极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。

有关CFW的详细介绍,请参见什么是云防火墙

防护机制

网站成功接入WAF后,WAF作为一个反向代理存在于客户端和服务器之间,网站所有访问请求将先流转到WAF,WAF检测过滤恶意攻击流量后,将正常流量返回给源站,从而确保源站安全、稳定、可用。

CFW可对全流量进行精细化管控,包括互联网边界防护,跨VPC,跨VM的流量,防止外部入侵、内部渗透攻击和从内到外的非法访问。

部署模式

WAF支持云模式、独享模式。

云模式:业务服务器部署在华为云、非华为云或线下,且防护对象为域名。

各服务版本推荐使用的场景说明如下:

入门版

个人网站防护

标准版

中小型网站,对业务没有特殊的安全需求

专业版

中型企业级网站或服务对互联网公众开放,关注数据安全且具有高标准的安全需求

铂金版

中大型企业网站,具备较大的业务规模,或是具有特殊定制的安全需求

独享模式:业务服务器部署在华为云,防护对象为域名或IP。大型企业网站,具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。

互联网边界和VPC边界

防护对象

云模式:域名。

独享模式:域名或IP。

弹性公网IP

功能特性

SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。

WAF具体支持的功能请参见功能特性

资产管理与入侵防御:对已开放公网访问的服务资产进行安全盘点,进行实时入侵检测与防御。

访问控制:支持互联网边界访问流量的访问控制。

流量分析与日志审计:VPC间流量全局统一访问控制,全流量分析可视化,日志审计与溯源分析。

Web应用防火墙各版本对比

版本类型

入门版(原检测版)

标准版

专业版

铂金版

防护域名

10个防护域名

(最多支持1个一级域名)

10个防护域名

(最多支持1个一级域名)

50个防护域名

(最多支持5个一级域名)

80个防护域名

(最多支持8个一级域名)

业务带宽

业务带宽

10 Mbit/s(Web应用在华为云内)

10 Mbit/s(Web应用在华为云外)

业务带宽

100 Mbit/s(Web应用在华为云内)

30 Mbit/s(Web应用在华为云外)

业务带宽

200 Mbit/s(Web应用在华为云内)

50 Mbit/s(Web应用在华为云外)

业务带宽

300 Mbit/s(Web应用在华为云内)

100 Mbit/s(Web应用在华为云外)

QPS业务请求

回源长连接(每域名)

100 QPS业务请求6,000 回源长连接(每域名)

2,000 QPS业务请求6,000 回源长连接(每域名)

5,000 QPS业务请求6,000 回源长连接(每域名)

10,000 QPS业务请求6,000 回源长连接(每域名)

XSS攻击、SQL注入、Webshell等

常见web攻击检测

  支持

(新增拦截能力)

支持

支持

支持

云端实时更新Web 0day防护规则,自动下发虚拟补丁

 ✔ 支持

 ✔ 支持

 ✔ 支持

 ✔ 支持

非80、443标准端口防护

  不支持

支持

支持

支持

CC攻击防护

不支持

支持

支持

支持

地理位置访问控制防护

不支持

不支持

支持

支持

网站反爬虫防护

不支持

不支持

支持

支持

IPv6防护

不支持

不支持

支持

支持

规格定制

不支持

不支持

不支持

支持

防护域名

10个防护域名

(最多支持1个一级域名)

10个防护域名

(最多支持1个一级域名)

50个防护域名

(最多支持5个一级域名)

80个防护域名

(最多支持8个一级域名)

业务带宽

业务带宽

10 Mbit/s(Web应用在华为云内)

10 Mbit/s(Web应用在华为云外)

业务带宽

100 Mbit/s(Web应用在华为云内)

30 Mbit/s(Web应用在华为云外)

业务带宽

200 Mbit/s(Web应用在华为云内)

50 Mbit/s(Web应用在华为云外)

业务带宽

300 Mbit/s(Web应用在华为云内)

100 Mbit/s(Web应用在华为云外)

QPS业务请求

回源长连接(每域名)

100 QPS业务请求6,000 回源长连接(每域名)

2,000 QPS业务请求6,000 回源长连接(每域名)

5,000 QPS业务请求6,000 回源长连接(每域名)

10,000 QPS业务请求6,000 回源长连接(每域名)

XSS攻击、SQL注入、Webshell等

常见web攻击检测

  支持

(新增拦截能力)

支持

支持

支持

云端实时更新Web 0day防护规则,自动下发虚拟补丁

 ✔ 支持

 ✔ 支持

 ✔ 支持

 ✔ 支持

非80、443标准端口防护

  不支持

支持

支持

支持

CC攻击防护

不支持

支持

支持

支持

地理位置访问控制防护

不支持

不支持

支持

支持

网站反爬虫防护

不支持

不支持

支持

支持

IPv6防护

不支持

不支持

支持

支持

规格定制

不支持

不支持

不支持

支持

为您推荐

快速了解Web应用防火墙最佳实践

通过Web应用防火墙配置防护规则

通过Web应用防火墙管理防护域名