更新时间:2024-11-19 GMT+08:00

功能特性

通过Web应用防火墙,轻松应对各种Web安全风险,Web应用防火墙支持功能如下表。

功能类别

功能说明

业务配置

域名(泛域名、一级域名、二级域名等各级域名)/IP防护

WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式,各部署模式支持防护的对象说明如下:
  • 云模式-CNAME接入:域名,华为云、非华为云或云下的Web业务
  • 云模式-ELB接入:域名或IP(公网IP/私网IP),华为云的Web业务
  • 独享模式:域名或IP(公网IP/私网IP),华为云的Web业务

HTTP/HTTPS业务防护

支持对网站的HTTP、HTTPS流量进行安全防护。

支持WebSocket/WebSockets协议

WAF支持WebSocket/WebSockets协议,且默认为开启状态。

非标端口防护

Web应用防火墙除了可以防护标准的80,443端口外,还支持非标准端口的防护。

Web应用安全防护

Web基础防护

说明:

防护动作为“拦截”时,可使用攻击惩罚标准功能,即当恶意请求被拦截时,可自动封禁访问者一段时间。

覆盖OWASP(Open Web Application Security Project,简称OWASP)TOP 10中常见安全威胁,通过预置丰富的信誉库,对漏洞攻击、网页木马等威胁进行检测和拦截。

  • 常规检测

    防护SQL注入、XSS跨站脚本、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。

  • Webshell检测

    防护通过上传接口植入网页木马。

  • 识别精准
    • 内置语义分析+正则双引擎,黑白名单配置,误报率更低。
    • 支持防逃逸,自动还原常见编码,识别变形攻击能力更强。

      默认支持的编码还原类型:url_encode、Unicode、xml、OCT(八进制)、HEX(十六进制)、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。

  • 深度检测

    深度反逃逸识别(支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护)。

  • header全检测

    支持对请求里header中所有字段进行攻击检测。

  • Shiro解密检测

    支持对Cookie中的rememberMe内容做AES,Base64解密后再检测。

CC攻击防护规则

限制单个IP/Cookie/Referer访问者对您的网站上特定路径(URL)的访问频率,WAF会根据您配置的规则,精准识别CC攻击以及有效缓解CC攻击。

精准访问防护规则

说明:

防护动作为“阻断”时,可使用攻击惩罚标准功能,即当恶意请求被拦截时,可自动封禁访问者一段时间。

对常见的HTTP字段(如IP、路径、Referer、User Agent、Params等)进行条件组合,配置强大的精准访问控制策略;支持盗链防护、空字段拦截等防护场景。

黑白名单规则

说明:

防护动作为“拦截”时,可使用攻击惩罚标准功能,即当恶意请求被拦截时,可自动封禁访问者一段时间。

配置黑白名单规则,阻断、仅记录或放行指定IP的访问请求,即设置IP黑/白名单。

地理位置访问控制规则

针对指定国家、地区的来源IP自定义访问控制。

网页防篡改规则

当用户需要防护静态页面被篡改时,可配置网页防篡改规则。

网站反爬虫规则

动态分析网站业务模型,结合人机识别技术和数据风控手段,精准识别700+种爬虫行为。

  • 特征反爬虫

    自定义扫描器与爬虫规则,用于阻断网页爬取行为,添加定制的恶意爬虫、扫描器特征,使爬虫防护更精准。

  • JS脚本反爬虫

    通过自定义规则识别并阻断JS脚本爬虫行为。

防敏感信息泄露规则

该规则可添加两种类型的防敏感信息泄露规则:

  • 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理,防止用户的敏感信息(例如:身份证号、电话号码、电子邮箱等)泄露。
  • 响应码拦截。配置后可拦截指定的HTTP响应码页面。

全局白名单规则

针对特定请求忽略某些攻击检测规则,用于处理误报事件。

隐私屏蔽规则

隐私信息屏蔽,避免用户的密码等信息出现在事件日志中。

高级配置

PCI DSS/PCI 3DS合规认证和TLS

  • TLS支持TLS v1.0、TLS v1.1、TLS v1.2三个版本和八种加密套件,可以满足各种行业客户的安全需求。
  • WAF支持PCI DSS和PCI 3DS合规认证功能。

IPv6防护

  • Web应用防火墙支持IPv6/IPv4双栈,针对同一域名可以同时提供IPv6和IPv4的流量防护。
  • 针对仍然使用IPv4协议栈的Web业务,Web应用防火墙支持NAT64机制(NAT64是一种通过网络地址转换(NAT)形式促成IPv6与IPv4主机间通信的IPv6转换机制),即WAF可以将IPv4源站转化成IPv6网站,将外部IPv6访问流量转化成对内的IPv4流量。

熔断保护

当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时,将触发WAF熔断功能开关,实现宕机保护和读等待URL请求保护。

配置攻击惩罚的流量标识

WAF根据配置的流量标识识别客户端IP、Session或User标记,以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。

手动设置网站连接超时时间

  • 浏览器到WAF引擎的连接超时时长默认是120秒,该值取决于浏览器的配置,该值在WAF界面不可以手动设置。
  • WAF到客户源站的连接超时时长默认为30秒,该值可以在WAF界面手动设置,但仅“独享模式”“云模式”的专业版、铂金版支持手动设置连接超时时长。

防护事件管理

  • 当Web应用防火墙拦截或者仅记录的攻击事件为误报时,用户可通过Web应用防火墙处理误报事件、查看事件详情。
  • 用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据。
  • WAF支持全量日志功能,您可以将攻击日志、访问日志记录到华为云的云日志服务(Log Tank Service,简称LTS)。

告警通知

通过对攻击日志进行通知设置,WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式(例如邮件或短信)发送给用户。

同时,您也可以配置证书到期通知,证书即将到期时,WAF将通过用户设置的接收通知方式(例如邮件或短信)通知用户。

安全可视化

提供简洁友好的控制界面,实时查看攻击信息和事件日志。

  • 策略事件集中配置

    在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略,快速下发,快速生效。

  • 流量及事件统计信息

    实时查看访问次数、安全事件的数量与类型、详细的日志信息。

灵活性、可靠性

多区域多集群部署,支持负载均衡,可在线平滑扩容,没有单点故障,最大限度保护业务运行稳定。