Web应用防火墙功能特性

域名 （泛域名、一级域名、二级域名等各级域名）/IP防护 WAF 支持云模式、独享模式和ELB模式三种部署模式，各部署模式支持防护的对象说明如下： 云模式：域名，华为云、非华为云或云下的Web业务 独享模式/ELB模式：域名或IP，华为云上的Web业务 HTTP/HTTPS业务防护 WAF可以防护HTTP/HTTPS业务，通过对HTTP/HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 支持WebSocket/WebSockets协议 WAF支持WebSocket/WebSockets协议，且默认为开启状态。 域名备案 检查 WAF云模式支持域名备案检查，添加防护域名时，WAF会检查域名备案情况，未备案域名将无法添加到WAF。 PCI DSS/PCI 3DS合规认证和TLS TLS支持TLS v1.0、TLS v1.1和TLS v1.2三个版本和五种加密套件，可以满足各种行业客户的安全需求。 WAF支持PCI DSS和PCI 3DS合规认证功能。 Web基础防护 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对漏洞攻击、网页木马等威胁进行检测和拦截。 全面的攻击防护：支持SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录（路径）遍历、敏感文件访问、命令/代码注入、XML/Xpath注入等攻击检测和拦截。 Webshell检测：防护通过上传接口植入网页木马。 识别精准：内置语义分析+正则双引擎，黑白名单配置，误报率更低。支持防逃逸，自动还原常见编码，识别变形攻击能力更强。默认支持的编码还原类型：url_encode、Unicode、xml、OCT（八进制）、HEX（十六进制）、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。 深度检测：深度反逃逸识别（支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护）。 header全检测：支持对请求里header中所有字段进行攻击检测。 IPv6防护 Web应用防火墙 支持防护IPv6环境下发起的攻击，帮助您的源站实现对IPv6流量的安全防护。 随着IPv6协议的迅速普及，新的网络环境以及新兴领域均面临着新的安全挑战，Web应用防火墙的IPv6防护功能帮助您轻松构建覆盖全球的安全防护体系。 Web应用防火墙支持IPv6/IPv4双栈，针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务，Web应用防火墙支持NAT64机制（NAT64是一种通过 网络地址转换 （NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制），即WAF可以将IPv4源站转化成IPv6网站，将外部IPv6访问流量转化成对内的IPv4流量。 CC攻击防护 CC攻击防护规则支持通过限制单个IP/Cookie/Referer访问者对防护网站上特定路径（URL）的访问频率，精准识别CC攻击以及有效缓解CC攻击，阻挡暴力破解、探测和统计弱密码撞库等高频攻击。支持人机验证、阻断、动态阻断和仅记录防护动作。 策略配置灵活：可以根据IP、Cookie或者Referer字段名设置灵活的限速策略。 阻断页面可定制：阻断页面可自定义内容和类型，满足业务多样化需要。 安全可视化 提供简洁友好的控制界面，实时查看攻击信息和事件日志。 策略事件集中配置：在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略，快速下发，快速生效。 流量及事件统计信息：实时查看访问次数、安全事件的数量与类型、详细的日志信息。 精准访问防护 基于丰富的字段和逻辑条件组合，打造强大的精准访问控制策略。 支持丰富的字段条件：支持IP、URL、Referer、User Agent、Params、Header等HTTP常见参数和字段的条件组合。 支持多种条件逻辑：支持包含、不包含、等于、不等于、前缀为、前缀不为等逻辑条件，设置阻断或放行策略。 IP黑白名单设置 添加始终拦截与始终放行的黑白名单IP/IP地址段，增加防御准确性。WAF支持批量导入IP地址/IP地址段。 攻击惩罚 当访问者的IP、Cookie或Params恶意请求被WAF拦截时，您可以通过配置攻击惩罚，使WAF按配置的攻击惩罚时长来自动封禁访问者。 Web基础防护、精准访问防护和黑白名单设置支持攻击惩罚功能。 连接保护 网站接入WAF防护之后，若您访问网站时出现大量的502 Bad Gateway，504 Gateway Timeout错误或者等待处理的请求，为了保护源站的安全，可使用WAF的宕机保护和连接保护功能。当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时，将触发WAF熔断功能开关，实现宕机保护和读等待URL请求保护。 手动设置网站连接超时时间 浏览器到WAF引擎的连接超时时长是120秒，该值不可以手动设置。 WAF到客户源站的连接超时时长默认为60秒，该值可以手动设置，但仅“独享模式”和“云模式”的专业版（原企业版）、铂金版（原旗舰版）支持手动设置连接超时时长。 在域名的基本信息页面，开启“超时配置”并单击，设置“连接超时”、“读超时”、“写超时”的时间，并单击保存设置。 地理位置访问控制 可以针对国家、地区地理位置来源IP进行自定义访问控制。 网页防篡改 对网站的静态网页进行缓存配置，当用户访问时返回给用户缓存的正常页面，并随机检测网页是否被篡改。 网站反爬虫 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别700+种爬虫行为。 特征反爬虫：自定义扫描器与爬虫规则，用于阻断网页爬取行为，添加定制的恶意爬虫、扫描器特征，使爬虫防护更精准。 JS脚本反爬虫：通过自定义规则识别并阻断JS脚本爬虫行为。 全局白名单（原误报屏蔽）规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 隐私屏蔽 避免在防护事件日志中，出现用户名或者密码等敏感信息。 防敏感信息泄露 防止在页面中泄露用户的敏感信息，例如：用户的身份证号码、手机号码、电子邮箱等。 稳定可靠 多区域多集群部署，支持 负载均衡 ，可在线平滑扩容，没有单点故障，最大限度保护业务运行稳定。 告警通知 用户可以通过Web应用防火墙服务对攻击日志进行通知设置。开启告警通知后，Web应用防火墙将仅记录和拦截的攻击日志通过用户设置的接收通知方式发送给用户。 管理防护事件 当Web应用防火墙拦截或者仅记录的攻击事件为误报时，用户可通过Web应用防火墙处理误报事件、查看事件详情。 用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据。 WAF支持全量日志功能，您可以将攻击日志、访问日志记录到华为云的 云日志 服务（Log Tank Service，简称 LTS ）。