最新动态

更新时间:2024/12/19 GMT+08:00

本文介绍了Web应用防火墙 WAF各特性版本的功能发布和对应的文档动态,欢迎体验。

2024年12月

序号

功能名称

功能描述

阶段

相关文档

1

CC防护支持自定义响应码与响应头

阻断页面选择自定义时,支持配置HTTP返回码和响应标头。

商用

配置CC攻击防护规则防御CC攻击

2024年10月

序号

功能名称

功能描述

阶段

相关文档

1

自定义“告警页面”支持添加“响应标头”

修改拦截返回页面时,页面模板选择自定义时,可配置响应标头参数及参数值

商用

修改拦截返回页面

2

“下载”功能下线

通过WAF下载防护日志的功能下线,支持在LTS控制台下载日志。

商用

在LTS上查看并下载WAF防护日志

3

防护规则页面改版

总览、Web基础防护、CC攻击、精准访问防护规则配置页面改版。

商用

配置Web基础防护规则防御常见Web攻击

4

“安全总览”更名为“总览”

安全总览更名为总览,并调整了界面词条。

商用

查看总览

5

子字段中增加了“3层源IP”

IPv4/IPv6字段对应的子字段中增加3层源IP

商用

支持的条件字段

6

新增“扫描防护”规则

扫描防护模块通过识别扫描行为和扫描器特征,阻止攻击者或扫描器对网站的大规模扫描行为,自动阻断高频Web攻击、高频目录遍历攻击,并封禁攻击源IP一段时间,帮助Web业务降低被入侵的风险并减少扫描带来的垃圾流量。

商用

配置扫描防护规则自动阻断高频攻击

7

支持响应条件字段

条件字段新增“Response Code”、“Response Length”、“Response Time”、“Response Header”和“Response Body”字段。

商用

支持的条件字段

2024年07月

序号

功能名称

功能描述

阶段

相关文档

1

云模式域名接入界面改版

云模域名接入新界面上线,界面应用更灵活。

商用

将网站接入WAF防护(云模式-CNAME接入)

2

购买界面改版

WAF购买新界面上线,并增加了版本选择的参数级帮助面板。

商用

购买WAF云模式

3

安全总览支持自定义时间段

安全总览页面,您可以查看昨天、今天、3天、7天或者30天内所有防护网站或所有实例以及指定防护网站或实例的防护日志

您可以直接选择昨天、今天、3天、7天或者30天;也可以自定义30天内任意时间段。

商用

查看安全总览

4

扩展包规格变更界面改版

扩展包规格变更独立入口

商用

变更WAF云模式版本和规格

2024年04月

序号

功能名称

功能描述

阶段

相关文档

1

CC攻击防护规则“防护动作”支持“JS挑战”

CC攻击防护规则中防护动作支持JS挑战

JS挑战:表示WAF向客户端返回一段正常浏览器可以自动执行的JavaScript代码。如果客户端正常执行了JavaScript代码,则WAF在一段时间(默认30分钟)内放行该客户端的所有请求(不需要重复验证),否则拦截请求。

商用

配置CC攻击防护规则防御CC攻击

2

“安全总览”页面增加“防护总览”模块

防护总览模块为您展示以下数据:

  • 守护时长:截止目前,当前企业项目下最早购买云WAF版本或者独享WAF实例的时长。

  • 域名总数,以及未接入域名和已防护域名数量。

  • 回源IP网段:为您呈现回源IP的变化情况,回源IP变化时,会提前1个月下发通知。

  • 规则更新为您呈现内置规则库更新(可新防哪些漏洞,包括0day)、新功能、收费信息、紧急告警(如域名bypass)等通知。

商用

安全总览

3

支持开启Cookie安全属性

“对外协议”配置为HTTPS时,WAF支持开启“Cookie安全属性”,开启后会将Cookie的HttpOnly和Secure属性设置为true。

Cookie是后端Web Server插入的,可以通过框架配置或set-cookie实现,其中,Cookie中配置Secure,HttpOnly有助于防范XSS等攻击获取Cookie,对于Cookie劫持有一定的防御作用。

Appscan扫描器在扫描网站后发现客户站点没有向扫描请求Cookie中插入HttpOnly Secure等安全配置字段将记录为安全威胁。

商用

开启Cookie安全属性

4

IP黑白名单规则支持配置0.0.0.0/0 和::/0 IP地址段

IP黑白名单规则支持配置0.0.0.0/0 和::/0 IP地址段,分别实现ipv4全流量拦截ipv6全流量拦截

商用

配置IP黑白名单规则拦截/放行指定IP

5

JS脚本反爬虫配置请求规则时,“路径”可自定义是否区分大小写

JS脚本反爬虫规则配置防护所有请求防护指定请求规则时,条件列表增加区分大小写参数,当字段配置为路径时,可自定义是否开启区分大小写

商用

配置网站反爬虫防护规则防御爬虫攻击

6

精准访问防护规则支持配置阻断页面

精准访问防护规则中,当防护动作选择阻断时,可配置返回的错误页面。

商用

配置精准访问防护规则定制化防护策略

2024年02月

序号

功能名称

功能描述

阶段

相关文档

1

精准访问防护规则“防护动作”支持“JS挑战”

精准访问防护规则中防护动作支持JS挑战

JS挑战:表示WAF向客户端返回一段正常浏览器可以自动执行的JavaScript代码。如果客户端正常执行了JavaScript代码,则WAF在一段时间(默认30分钟)内放行该客户端的所有请求(不需要重复验证),否则拦截请求。

商用

配置精准访问防护规则定制化防护策略

2

云模式包含Cname接入和ELB接入两种接入方式

ELB模式作为云模式的一种接入方式体现。

购买了WAF云模式后,可通过云模式-CNAME接入或者云模式-ELB接入两种方式接入。

商用

网站接入WAF(云模式-ELB接入)

3

全局白名单多条件支持或的关系

全局白名单规则中,支持增加3组条件列表,多组条件之间是的关系,即满足其中1组条件时,本条规则即生效。

商用

配置全局白名单规则对误报进行忽略

2023年11月

序号

功能名称

功能描述

阶段

相关文档

1

ELB模式上线

如果您的业务服务器部署在华为云,您可以使用ELB模式将网站的域名或IP添加到WAF,使网站流量切入WAF进行防护。

  • ELB模式需要提交工单申请开通后才能使用,支持使用的Region请参考功能总览
  • 购买了云模式标准版、专业版或铂金版后,同时可以使用ELB模式,域名、QPS、规则扩展包的配额与云模式共用。

商用

添加防护网站(ELB模式)

2023年08月

序号

功能名称

功能描述

阶段

相关文档

1

“带宽扩展包”更名为“QPS扩展包”

带宽扩展包正式更名为QPS扩展包

WAF的业务带宽是指所有该WAF防护的域名、站点中正常业务流量的大小,单位为Mbit/s。一个QPS扩展包包含:

  • 对于部署在华为云的Web应用

    业务带宽:50Mbit/s

    每秒钟的请求量:1000QPS(Query Per Second,例如一个HTTP GET请求就是一个Query)

  • 对于未部署在华为云的Web应用

    业务带宽:20Mbit/s

    每秒钟的请求量:1000QPS(Query Per Second,例如一个HTTP GET请求就是一个Query)

商用

WAF云模式QPS扩展包说明

2

CC防护的人机验证动作支持“累计”

防护动作选择人机验证时,需要配置锁定验证时间。

当人机验证未通过时,在设定时间内的访问都要进行验证。

商用

配置CC攻击防护规则

3

定期生成安全报告

WAF可根据您创建的日志报告模板,生成安全日报、周报、月报、或者自定义安全报告统计的时间范围内的报告,并将报告在您设置的报告发送时间段以您配置的接收方式发送给您。

商用

配置安全报告

4

支持从网络层获取IP地址

如果想以TCP连接IP标识客户端IP,IP标记应配置为$remote_addr

商用

配置攻击惩罚的流量标识

2023年05月

序号

功能名称

功能描述

阶段

相关文档

1

批量跨企业项目迁移域名

WAF支持将目标企业项目下的域名迁移到其他企业项目下,迁移后,原企业项目下将不再保留已迁移的域名。

证书和策略不会随域名一起迁移,需要为迁移的域名重新适配证书和策略。

商用

批量跨企业项目迁移域名

2

配置Header字段转发

如果您想通过WAF添加额外的Header头部信息,例如$request_id让整个链路的请求都可以关联起来。可配置字段转发,WAF会将添加的字段插到Header中,转发给源站。配置的Key值不能跟nginx原生字段重复。

商用

配置Header字段转发

3

支持配置TLS1.3为最低版本

WAF支持配置最低TLS版本为TLS v1.3。TLS v1.3不兼容其他TLS版本。

商用

配置PCI DSS/3DS合规与TLS

4

敏感信息泄露规则支持配置“仅记录”的防护动作

配置敏感信息泄露规则时,防护动作可配置为仅记录

商用

配置防敏感信息泄露规则

5

WAF支持缓存自定义的Header字段

WAF支持缓存自定义的Header字段。在网页防篡改页面上方,单击“修改字段”可配置需要通过WAF缓存的Header字段。

商用

配置网页防篡改规则

2022年08月

序号

功能名称

功能描述

阶段

相关文档

1

WAF支持证书到期前通知

WAF告警通知页面改版,并支持证书到期前通知。

商用

开启告警通知

2022年07月

序号

功能名称

功能描述

阶段

相关文档

1

CC防护规则支持全局计数

“全局计数”:根据不同的限速模式,将已经标识的请求在一个或多个WAF节点上的计数聚合。默认为每WAF节点单独计数,开启后本区域所有节点合并计数。“IP限速”不能满足针对某个用户进行限速,需要选择“用户限速”“其他”的Referer限速,此时标识的请求可能会访问到不同的WAF节点,开启全局计数后,将请求访问的一个或多个WAF节点访问量聚合,达到全局统计的目的。

商用

配置CC攻击防护规则

2022年06月

序号

功能名称

功能描述

阶段

相关文档

1

支持Shiro解密检测功能

在Web基础防护规则页面,可手动开启Shiro解密检测功能,开启后,WAF会对Cookie中的rememberMe内容做AES,Base64解密后再检测。Web应用防火墙检测机制覆盖了几百种已知泄露密钥。

商用

配置Web基础防护规则

2022年05月

序号

功能名称

功能描述

阶段

相关文档

1

支持全局白名单规则设置

“不检测类型”配置为“所有检测模块”时,WAF将不会拦截所有Web基础防护规则和配置的自定义规则检测到符合规则的恶意攻击,在WAF中配置的其他规则都将失效。

商用

配置全局白名单(原误报屏蔽)规则

2

配置网站连接超时时间

通过WAF配置的误报屏蔽规则,现支持在规则列表中,单击“修改”编辑配置的误报屏蔽规则。

商用

配置全局白名单(原误报屏蔽)规则

2022年04月

序号

功能名称

功能描述

阶段

相关文档

1

网站连接超时

WAF支持针对域名的每个请求设置超时时间,支持配置“连接超时”、“读超时”、“写超时”的时间。

商用

配置网站连接超时时间

2

开启HTTP2协议

如果您的网站需要支持HTTP2协议的访问,可通过WAF控制台开启HTTP2协议。HTTP2协议仅适用于客户端到WAF之间的访问,且“对外协议”必须包含HTTPS才能支持使用。

商用

开启HTTP2协议

3

支持CC智能访问控制

开启智能访问控制规则后,WAF中的压力学习模型,根据源站返回的HTTP状态码和时延等来实时地感知源站的压力,从而识别源站是否被CC攻击了,WAF再根据异常检测模型实时地检测源站在HTTP协议上的特征的异常行为,然后基于这些异常特征,使用AI算法生成精准防护规则和CC防护规则,来防御CC攻击,保护您的网站安全。

商用

配置智能访问控制规则

4

开启IPv6防护

WAF支持通过Console开启网站的IPv6防护,开启后,WAF将为域名分配IPv6的接入地址,WAF直接通过IPv6地址访问源站。WAF默认在CNAME中增加IPv6地址解析,IPv6的所有访问请求将先流转到WAF,WAF检测并过滤恶意攻击流量后,将正常流量返回给源站,从而确保源站安全、稳定、可用。

商用

开启IPv6防护

5

支持宕机保护和连接保护

网站接入WAF防护之后,若您访问网站时出现大量的502 Bad Gateway,504 Gateway Timeout错误或者等待处理的请求,为了保护源站的安全,可使用WAF的宕机保护和连接保护功能。当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时,将触发WAF熔断功能开关,实现宕机保护和读等待URL请求保护。

商用

配置连接保护

6

支持配置负载均衡算法

防护网站配置了一个或多个源站地址时,WAF支持配置多源站间的负载均衡算法,WAF支持的算法如下:

  • 源IP Hash:将某个IP的请求定向到同一个服务器。
  • 加权轮询:所有请求将按权重轮流分配给源站服务器。
  • Session Hash:将某个Session标识的请求定向到同一个源站服务器。

商用

修改负载均衡算法

2021年12月

序号

功能名称

功能描述

阶段

相关文档

1

新版地理位置访问控制规则上线

新版地理位置访问控制规则支持批量选择国家和地区。

商用

配置地理位置访问控制规则

2

WAF支持对接云监控服务

云监控服务可以监控Web应用防火墙的相关指标,用户可以通过指标及时了解Web应用防火墙防护状况,并通过这些指标设置防护策略。

商用

WAF监控指标说明

2021年08月

序号

功能名称

功能描述

阶段

相关文档

1

服务版本名称变更

“专业版”变更为“标准版”,原“企业版”变更为“专业版”,原“旗舰版”变更为“铂金版”

商用

购买WAF云模式

2021年07月

序号

功能名称

功能描述

阶段

相关文档

1

管理控制台入口描述变更

WAF管理控制台所在入口由“安全”变更为“安全与合规”

商用

查看基本信息

2

证书管理界面信息变更

证书管理界面信息优化。

商用

上传证书

2021年04月

序号

功能名称

功能描述

阶段

相关文档

1

新增规则扩展包

购买和升级页面支持购买规则扩展包。

商用

WAF云模式规则扩展包说明

2

购买页面优化

购买页面优化,新增升级规格页面。

商用

购买WAF云模式

2021年03月

序号

功能名称

功能描述

阶段

相关文档

1

上线产品信息界面

您可以在产品信息界面查看WAF产品信息,包括购买的WAF版本、域名规格等信息。

商用

查看产品信息

2021年02月

序号

功能名称

功能描述

阶段

相关文档

1

WAF支持对接企业管理

可以将WAF上的资源按照企业项目进行管理,并设置每个企业项目的用户权限。

商用

管理项目和企业项目

2

header全检测上线

Web基础防护新增header全检测项。

商用

配置Web基础防护规则

2021年01月

序号

功能名称

功能描述

阶段

相关文档

1

云模式支持按需计费

云模式支持按需计费。

商用

计费说明

2020年12月

序号

功能名称

功能描述

阶段

相关文档

1

优化网站反爬虫功能

网站反爬虫包括特征反爬虫和JS脚本反爬虫两个功能。

商用

配置网站反爬虫防护规则

2020年10月

序号

功能名称

功能描述

阶段

相关文档

1

调整云模式按需计费规格

修改WAF云模式按需计费规格。

商用

服务版本差异

2020年08月

序号

功能名称

功能描述

阶段

相关文档

1

支持攻击惩罚防护规则

当访问者的IP、Cookie或Params恶意请求被WAF拦截时,您可以通过配置攻击惩罚,使WAF按配置的攻击惩罚时长来自动封禁访问者。例如,访问者的源IP(192.168.1.1)为恶意请求,如果您配置了IP攻击惩罚拦截时长为500秒,该攻击惩罚生效后,则该IP被WAF拦截时,WAF将封禁该IP,时长为500秒。

商用

配置攻击惩罚标准

2

支持一键开启PCI DSS/3DS合规认证

WAF支持开启PCI DSS和PCI 3DS合规认证功能,开启合规认证后,最低TLS版本将设置为TLS v1.2,以满足PCI DSS和PCI 3DS合规认证要求。

商用

配置PCI DSS/3DS合规与TLS

3

支持证书管理功能

WAF支持创建证书和删除证书功能,创建的证书套数和WAF支持防护的域名的个数相同。

商用

上传证书

4

支持查看Web基础防护规则详情

您可以查看Web基础防护规则的“CVE编号”“危险等级”“应用类型”“防护类型”等信息。

商用

配置Web基础防护规则

2020年07月

序号

功能名称

功能描述

阶段

相关文档

1

支持TLS加密套件4

加密套件4支持以下加密算法:

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES256-SHA384
  • AES256-SHA256
  • HIGH
  • !MD5
  • !aNULL
  • !eNULL
  • !NULL
  • !EDH

商用

配置PCI DSS/3DS合规与TLS

2020年06月

序号

功能名称

功能描述

阶段

相关文档

1

优化网站反爬虫功能

开启网站反爬虫后,弹出“警告”提示框,说明网站反爬虫功能使用限制,提升使用体验。

商用

配置网站反爬虫防护规则

2020年05月

序号

功能名称

功能描述

阶段

相关文档

1

支持细粒度授权

基于策略的细粒度授权能力可以精确到WAF的操作、资源以及请求条件等,能够满足企业对权限最小化的安全管控要求。

商用

WAF权限管理

2

专业版正式上线

专业版可以满足中小型网站,对业务没有特殊的安全防护需求。

商用

服务版本差异

2020年04月

序号

功能名称

功能描述

阶段

相关文档

1

支持全量日志

WAF支持将攻击日志、访问日志记录到云日志服务(Log Tank Service,简称LTS)中,您可以通过LTS记录的WAF日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。

商用

开启全量日志

2020年03月

序号

功能名称

功能描述

阶段

相关文档

1

Console全新风格上线

WAF Console全新风格上线,为您提供更便捷的使用体验。

商用

安全总览

2020年02月

序号

功能名称

功能描述

阶段

相关文档

1

Apache Dubbo反序列化漏洞防护

2020年02月10日,华为云安全团队监测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,漏洞等级中危。当用户选择http协议进行通信时,攻击者可以通过发送POST请求的时候来执行一个反序列化的操作,由于没有任何安全校验,该漏洞可以造成反序列化执行任意代码。目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。

商用

Apache Dubbo反序列化漏洞

2020年01月

序号

功能名称

功能描述

阶段

相关文档

1

TLS配置支持多种加密套件

当防护网站的“对外协议”“HTTPS”时,您可以为网站设置加密套件(多种加密算法的集合),以满足不同行业客户的安全需求。

商用

配置PCI DSS/3DS合规与TLS

2019年12月

序号

功能名称

功能描述

阶段

相关文档

1

支持自定义拦截页面

当访问者触发WAF拦截时,默认返回WAF系统默认的拦截返回页面,您也可以根据自己的需要,配置自定义或者重定向的拦截返回页面。

商用

修改拦截返回页面

2019年10月

序号

功能名称

功能描述

阶段

相关文档

1

支持CC攻击精细化防护

CC防护规则可以限制单个IP/Cookie/Referer访问者对您的网站上特定路径(URL)的访问频率,精准识别CC攻击以及有效缓解CC攻击。

商用

配置CC攻击防护规则

2019年09月

序号

功能名称

功能描述

阶段

相关文档

1

开源组件Fastjson拒绝服务漏洞防护

2019年09月03日,华为云安全团队检测到应用较广的开源组件Fastjson的多个版本出现拒绝服务漏洞。攻击者利用该漏洞,可构造恶意请求发给使用了Fastjson的服务器,使其内存和CPU耗尽,最终崩溃,造成用户业务瘫痪。目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。

商用

开源组件Fastjson拒绝服务漏洞

2019年08月

序号

功能名称

功能描述

阶段

相关文档

1

自定义防护规则支持添加备注

在添加自定义防护规则时,您可以设置规则备注信息,方便您管理防护规则。

商用

自定义防护规则

2019年07月

序号

功能名称

功能描述

阶段

相关文档

1

开源组件Fastjson远程代码执行漏洞防护

2019年07月12日,华为云应急响应中心检测到开源组件Fastjson存在远程代码执行漏洞,此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用,可直接获取服务器权限,危害严重。 WAF支持对该漏洞进行防护。

商用

开源组件Fastjson远程代码执行漏洞

2019年04月

序号

功能名称

功能描述

阶段

相关文档

1

Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)防护

2019年04月17日,华为云应急响应中心检测到国家信息安全漏洞共享平台(China National Vulnerability Database,CNVD)发布的Oracle WebLogic wls9-async组件安全公告。该组件在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意HTTP请求获取目标服务器权限,在未授权的情况下远程执行命令,CNVD对该漏洞的综合评级为 高危 。 WAF支持对该漏洞进行防护。

商用

Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)

2

支持配置TLS协议

当防护网站的"对外协议"为"HTTPS"时,您可以为网站设置TLS协议最低版本,以满足客户安全需求。

商用

配置PCI DSS/3DS合规与TLS

2019年03月

序号

功能名称

功能描述

阶段

相关文档

1

精准访问防护规则新增防护字段

精准访问防护规则新增HTTP字段条件,用来筛选访问请求,可以对命中条件的请求设置放行或阻断操作。

商用

配置精准访问防护规则

2019年02月

序号

功能名称

功能描述

阶段

相关文档

1

支持Web Socket协议

WAF支持Web Socket协议,且默认为开启状态。

商用

Web应用防火墙支持哪些Web服务框架/协议?

2018年12月

序号

功能名称

功能描述

阶段

相关文档

1

上线查询攻击日志

支持查询攻击日志,了解业务网络安全

商用

查看防护日志

2

自定义告警通知频率

支持自定义告警通知发送频率。

商用

开启告警通知

2018年10月

序号

功能名称

功能描述

阶段

相关文档

1

支持防护泛域名

如果各子域名对应的服务器IP地址相同:输入防护的泛域名。例如:子域名a.example.com,b.example.com和c.example.com对应的服务器IP地址相同,可以直接添加泛域名*.example.com。

商用

添加防护域名(云模式)

2018年06月

序号

功能名称

功能描述

阶段

相关文档

1

CC攻击防护支持Referer

CC攻击防护支持Referer匹配模式,可以精准识别CC攻击。

商用

配置CC攻击防护规则

2

支持域名方式回源

支持域名方式回源,提高了用户使用的方便性。

商用

添加防护域名(云模式)

2018年05月

序号

功能名称

功能描述

阶段

相关文档

1

第一次商用版本发布

Web应用防火墙(Web Application Firewall,WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。

商用

什么是Web应用防火墙?