计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
弹性伸缩 AS
镜像服务 IMS
专属主机 DeH
函数工作流 FunctionGraph
云手机服务器 CPH
Huawei Cloud EulerOS
网络
虚拟私有云 VPC
弹性公网IP EIP
虚拟专用网络 VPN
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
VPC终端节点 VPCEP
云连接 CC
企业路由器 ER
企业交换机 ESW
全球加速 GA
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
边缘安全 EdgeSec
威胁检测服务 MTD
CDN与智能边缘
内容分发网络 CDN
CloudPond云服务
智能边缘云 IEC
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
云搜索服务 CSS
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
数据可视化 DLV
数据湖工厂 DLF
湖仓构建 LakeFormation
企业应用
云桌面 Workspace
应用与数据集成平台 ROMA Connect
云解析服务 DNS
专属云
专属计算集群 DCC
IoT物联网
IoT物联网
设备接入 IoTDA
智能边缘平台 IEF
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
国际站常见问题
ICP备案
我的凭证
支持计划
客户运营能力
合作伙伴支持计划
专业服务
区块链
区块链服务 BCS
Web3节点引擎服务 NES
解决方案
SAP
高性能计算 HPC
视频
视频直播 Live
视频点播 VOD
媒体处理 MPC
实时音视频 SparkRTC
数字内容生产线 MetaStudio
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
存储容灾服务 SDRS
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属分布式存储服务 DSS
容器
云容器引擎 CCE
容器镜像服务 SWR
应用服务网格 ASM
华为云UCS
云容器实例 CCI
管理与监管
云监控服务 CES
统一身份认证服务 IAM
资源编排服务 RFS
云审计服务 CTS
标签管理服务 TMS
云日志服务 LTS
配置审计 Config
资源访问管理 RAM
消息通知服务 SMN
应用运维管理 AOM
应用性能管理 APM
组织 Organizations
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
应用身份管理服务 OneAccess
数据库
云数据库 RDS
文档数据库服务 DDS
数据管理服务 DAS
数据复制服务 DRS
云数据库 GeminiDB
云数据库 GaussDB
分布式数据库中间件 DDM
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
人脸识别服务 FRS
图引擎服务 GES
图像识别 Image
内容审核 Moderation
文字识别 OCR
AI开发平台ModelArts
图像搜索 ImageSearch
对话机器人服务 CBS
华为HiLens
视频智能分析服务 VIAS
语音交互服务 SIS
应用中间件
分布式缓存服务 DCS
API网关 APIG
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
多活高可用服务 MAS
事件网格 EG
企业协同
华为云会议 Meeting
云通信
消息&短信 MSGSMS
云生态
合作伙伴中心
云商店
开发者工具
SDK开发指南
API签名指南
Terraform
华为云命令行工具服务 KooCLI
其他
产品价格详情
系统权限
管理控制台
客户关联华为云合作伙伴须知
消息中心
公共问题
开发与运维
应用管理与运维平台 ServiceStage
软件开发生产线 CodeArts
需求管理 CodeArts Req
部署 CodeArts Deploy
性能测试 CodeArts PerfTest
编译构建 CodeArts Build
流水线 CodeArts Pipeline
制品仓库 CodeArts Artifact
测试计划 CodeArts TestPlan
代码检查 CodeArts Check
代码托管 CodeArts Repo
云应用引擎 CAE
开天aPaaS
云消息服务 KooMessage
云手机服务 KooPhone
云空间服务 KooDrive

功能特性

更新时间:2024-03-11 GMT+08:00

通过Web应用防火墙,轻松应对各种Web安全风险。

域名(泛域名、一级域名、二级域名等各级域名)/IP防护

WAF支持云模式和独享模式两种部署模式,各部署模式支持防护的对象说明如下:
  • 云模式:域名,云上或云下的Web业务
  • 独享模式:域名或IP,云上的Web业务

HTTP/HTTPS业务防护

WAF可以防护HTTP/HTTPS业务,通过对HTTP/HTTPS请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。

支持WebSocket/WebSockets协议

WAF支持WebSocket/WebSockets协议,且默认为开启状态。

PCI DSS/PCI 3DS合规认证和TLS

  • TLS支持TLS v1.0、TLS v1.1和TLS v1.2三个版本和七种加密套件,可以满足各种行业客户的安全需求。
  • WAF支持PCI DSS和PCI 3DS合规认证功能。

Web基础防护

覆盖OWASP(Open Web Application Security Project,简称OWASP)TOP 10中常见安全威胁,通过预置丰富的信誉库,对漏洞攻击、网页木马等威胁进行检测和拦截。

  • 全面的攻击防护

    支持SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、目录(路径)遍历、敏感文件访问、命令/代码注入、网页木马上传、后门隔离保护、非法HTTP协议请求、第三方漏洞攻击等威胁检测和拦截。

  • 识别精准
    • 内置语义分析+正则双引擎,黑白名单配置,误报率更低。
    • 支持防逃逸,自动还原常见编码,识别变形攻击能力更强。

      默认支持的编码还原类型:url_encode、Unicode、xml、OCT(八进制)、HEX(十六进制)、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。

CC攻击防护

CC攻击防护规则支持通过限制单个IP/Cookie/Referer访问者对防护网站上特定路径(URL)的访问频率,精准识别CC攻击以及有效缓解CC攻击,阻挡暴力破解、探测和统计弱密码撞库等高频攻击。支持人机验证、阻断、动态阻断和仅记录防护动作。

  • 策略配置灵活

    可以根据IP、Cookie或者Referer字段名设置灵活的限速策略。

  • 阻断页面可定制

    阻断页面可自定义内容和类型,满足业务多样化需要。

安全可视化

提供简洁友好的控制界面,实时查看攻击信息和事件日志。

  • 策略事件集中配置

    在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略,快速下发,快速生效。

  • 流量及事件统计信息

    实时查看访问次数、安全事件的数量与类型、详细的日志信息。

非标准端口防护

Web应用防火墙除了可以防护标准的80,443端口外,还支持非标准端口的防护。

表1 WAF支持的端口

部署模式

端口分类

HTTP协议

HTTPS协议

端口防护限制数

云模式

标准端口

80

443

不限制

非标准端口(86个

81, 82, 83, 84, 86, 87, 88, 89, 800, 808, 5000, 8000, 8001, 8002, 8003, 8008, 8009, 8010, 8020, 8021, 8022, 8025, 8026, 8077, 8078, 8080, 8085, 8086, 8087, 8088, 8089, 8090, 8091, 8092, 8093, 8094, 8095, 8096, 8097, 8098, 8106, 8118, 8181, 8334, 8336, 8800, 8686, 8888, 8889, 8999, 8011, 8012, 8013, 8014, 8015, 8016, 8017, 8070

4443, 5443, 6443, 7443, 8081, 8082, 8083, 8084, 8443, 8843, 9443, 8553, 8663, 9553, 9663, 18110, 18381, 18980, 28443, 18443, 8033, 18000, 19000, 7072, 7073, 8803, 8804, 8805

20个

独享模式

标准端口

80

443

不限制

非标准端口(182个

9945, 9770, 81, 82, 83, 84, 88, 89, 800, 808, 1000, 1090, 3128, 3333, 3501, 3601, 4444, 5000, 5222, 5555, 5601, 6001, 6666, 6788, 6789, 6842, 6868, 7000, 7001, 7002, 7003, 7004, 7005, 7006, 7009, 7010, 7011, 7012, 7013, 7014, 7015, 7016, 7018, 7019, 7020, 7021, 7022, 7023, 7024, 7025, 7026, 7070, 7081, 7082, 7083, 7088, 7097, 7777, 7800, 7979, 8000, 8001, 8002, 8003, 8008, 8009, 8010, 8020, 8021, 8022, 8025, 8026, 8077, 8078, 8080, 8085, 8086, 8087, 8088, 8089, 8090, 8091, 8092, 8093, 8094, 8095, 8096, 8097, 8098, 8106, 8118, 8181, 8334, 8336, 8800, 8686, 8888, 8889, 8989, 8999, 9000, 9001, 9002, 9003, 9080, 9200, 9802, 10000, 10001, 10080, 12601, 86, 9021, 9023, 9027, 9037, 9081, 9082, 9201, 9205, 9207, 9208, 9209, 9210, 9211, 9212, 9213, 48800, 87, 97, 7510, 9180, 9898, 9908, 9916, 9918, 9919, 9928, 9929, 9939, 28080, 33702, 8011, 8012, 8013, 8014, 8015, 8016, 8017, 8070

8750, 8445, 18010, 4443, 5443, 6443, 7443, 8081, 8082, 8083, 8084, 8443, 8843, 9443, 8553, 8663, 9553, 9663, 18110, 18381, 18980, 28443, 18443, 8033, 18000, 19000, 7072, 7073, 8803, 8804, 8805, 9999

不限制

精准访问防护

基于丰富的字段和逻辑条件组合,打造强大的精准访问控制策略。

  • 支持丰富的字段条件

    支持IP、URL、Referer、User Agent、Params、Header等HTTP常见参数和字段的条件组合。

  • 支持多种条件逻辑

    支持包含、不包含、等于、不等于、前缀为、前缀不为等逻辑条件,设置阻断或放行策略。

扫描器爬虫防护

自定义扫描器与爬虫规则,用于阻断网页爬取行为,添加定制的恶意爬虫、扫描器特征,使爬虫防护更精准。

IP黑白名单设置

添加始终拦截与始终放行的黑白名单IP/IP地址段,增加防御准确性。

攻击惩罚

  • 当访问者的IP、Cookie或Params恶意请求被WAF拦截时,您可以通过配置攻击惩罚,使WAF按配置的攻击惩罚时长来自动封禁访问者。
  • Web基础防护、精准访问防护和黑白名单设置支持攻击惩罚功能。

连接保护

网站接入WAF防护之后,若您访问网站时出现大量的502 Bad Gateway,504 Gateway Timeout错误或者等待处理的请求,为了保护源站的安全,可使用WAF的宕机保护和连接保护功能。当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时,将触发WAF熔断功能开关,实现宕机保护和读等待URL请求保护。

手动设置网站连接超时时间

  • 浏览器到WAF引擎的连接超时时长是120秒,该值不可以手动设置。
  • WAF到客户源站的连接超时时长默认为60秒,该值可以手动设置,但仅“独享模式”和“云模式”的专业版(原企业版)、铂金版(原旗舰版)支持手动设置连接超时时长。

    在域名的基本信息页面,开启“超时配置”并单击,设置“连接超时”“读超时”“写超时”的时间,并单击保存设置。

地理位置访问控制

可以针对国家、地区地理位置来源IP进行自定义访问控制。

网页防篡改

对网站的静态网页进行缓存配置,当用户访问时返回给用户缓存的正常页面,并随机检测网页是否被篡改。

网站反爬虫

动态分析网站业务模型,结合人机识别技术和数据风控手段,精准识别爬虫行为。

  • 特征反爬虫

    自定义扫描器与爬虫规则,用于阻断网页爬取行为,添加定制的恶意爬虫、扫描器特征,使爬虫防护更精准。

  • JS脚本反爬虫

    通过自定义规则识别并阻断JS脚本爬虫行为。

全局白名单(原误报屏蔽)规则

针对特定请求忽略某些攻击检测规则,用于处理误报事件。

隐私屏蔽

避免在防护事件日志中,出现用户名或者密码等敏感信息。

防敏感信息泄露

防止在页面中泄露用户的敏感信息,例如:用户的身份证号码、手机号码、电子邮箱等。

稳定可靠

多区域多集群部署,支持负载均衡,可在线平滑扩容,没有单点故障,最大限度保护业务运行稳定。

告警通知

用户可以通过Web应用防火墙服务对攻击日志进行通知设置。开启告警通知后,Web应用防火墙将仅记录和拦截的攻击日志通过用户设置的接收通知方式发送给用户。

管理防护事件

  • 当Web应用防火墙拦截或者仅记录的攻击事件为误报时,用户可通过Web应用防火墙处理误报事件、查看事件详情。
  • 用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据。

我们使用cookie来确保您的高速浏览体验。继续浏览本站,即表示您同意我们使用cookie。 详情

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容