Web应用防火墙 (Web Application Firewall, WAF ),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。
Gartner报告中给出了WAF的主要价值有2点——1、可以防范企业开发的Web应用代码中“自己造成的”安全漏洞,2、防范主流Web应用软件中的安全漏洞。因此,可以认为WAF就是针对Web服务而专门设计的防护产品。
一、Web基础防护
覆盖OWASP(Open Web Application Security Project,简称OWASP)TOP 10中常见安全威胁,通过预置丰富的信誉库,对恶意扫描器、IP、网马等威胁进行检测和拦截。
1、全面的攻击防护
支持SQL注入、XSS跨站脚本、文件包含、目录遍历、敏感文件访问、命令/代码注入、网页木马上传、后门隔离保护、非法HTTP协议请求、第三方漏洞攻击等 威胁检测 和拦截。
2、识别精准
内置语义分析+正则双引擎,黑白名单配置,误报率更低。
支持防逃逸,自动还原常见编码,识别变形攻击能力更强。支持还原的编码类型:url_encode、Unicode、xml、C-OCT、十六进制、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。
二、IPv6防护
Web应用防火墙支持防护IPv6环境下发起的攻击,帮助您的源站实现对IPv6流量的安全防护。
1、随着IPv6协议的迅速普及,新的网络环境以及新兴领域均面临着新的安全挑战,Web应用防火墙的IPv6防护功能帮助您轻松构建覆盖全球的安全防护体系。
2、Web应用防火墙支持IPv6/IPv4双栈,针对同一 域名 可以同时提供IPv6和IPv4的流量防护。
针对仍然使用IPv4协议栈的Web业务,Web应用防火墙支持NAT64机制(NAT64是一种通过 网络地址转换 (NAT)形式促成IPv6与IPv4主机间通信的IPv6转换机制),即WAF可以将IPv4源站转化成IPv6网站,将外部IPv6访问流量转化成对内的IPv4流量。
三、CC攻击防护
根据业务需要,配置防护动作和返回页面内容,有效缓解CC攻击(HTTP Flood)带来的业务影响。
1、策略配置灵活
可以根据IP、Cookie或者Referer字段名设置灵活的限速策略。
2、阻断页面可定制
阻断页面可自定义内容和类型,满足业务多样化需要。
四、安全可视化:提供简洁友好的控制界面,实时查看攻击信息和事件日志。
五、策略事件集中配置:在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略,快速下发,快速生效。
六、流量及事件统计信息:实时查看访问次数、安全事件的数量与类型、详细的日志信息。
七、扫描器爬虫防护:自定义扫描器与爬虫规则,用于阻断非授权的网页爬取行为,添加定制的恶意爬虫、扫描器特征,使爬虫防护更精准。
八、黑白名单设置:添加始终拦截与始终放行的黑白名单IP,增加防御准确性。
九、地理位置访问控制:可以针对地理位置来源IP进行自定义访问控制。
十、网页防篡改:对网站的静态网页进行缓存配置,当用户访问时返回给用户缓存的正常页面,并随机检测网页是否被篡改。
十一、网站反爬虫:动态分析网站业务模型,结合人机识别技术和数据风控手段,精准识别爬虫行为。
十二、误报屏蔽:针对特定请求忽略某些攻击检测规则,用于处理误报事件。
公有云上的WAF是以服务的方式提供给,所以用户侧的日常硬件和引擎的维护成本全部由华为云WAF团队来承担,帮忙客户节省出更多时间和精力去做更重要的事情。
购买Web应用防火墙后,在WAF管理控制台将网站添加并接入WAF,即可启用Web应用防火墙。启用之后,网站所有的公网流量都会先经过Web应用防火墙,恶意攻击流量在Web应用防火墙上被检测过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。