文档首页> Web应用防火墙 WAF> 产品介绍> 功能特性
更新时间:2024-04-17 GMT+08:00
查看PDF
分享

功能特性

通过Web应用防火墙,轻松应对各种Web安全风险,Web应用防火墙支持功能如下表。

功能类别

功能说明

业务配置

域名(泛域名、一级域名、二级域名等各级域名)/IP防护

说明:

WAF云模式支持域名备案检查,添加防护域名时,WAF会检查域名备案情况,未备案域名将无法添加到WAF。
WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式,各部署模式支持防护的对象说明如下:
  • 云模式-CNAME接入:域名,华为云、非华为云或云下的Web业务
  • 云模式-ELB接入:域名或IP,华为云的Web业务
  • 独享模式:域名或IP,华为云的Web业务

HTTP/HTTPS业务防护

支持对网站的HTTP、HTTPS流量进行安全防护。

支持WebSocket/WebSockets协议

WAF支持WebSocket/WebSockets协议,且默认为开启状态。

非标端口防护

说明:

云模式的专业版和铂金版支持定制非标准端口,您可以提交工单申请开通定制的非标准端口。

Web应用防火墙除了可以防护标准的80,443端口外,还支持非标准端口的防护。

Web应用安全防护

Web基础防护

说明:

防护动作为“拦截”时,可使用攻击惩罚标准功能,即当恶意请求被拦截时,可自动封禁访问者一段时间。

覆盖OWASP(Open Web Application Security Project,简称OWASP)TOP 10中常见安全威胁,通过预置丰富的信誉库,对漏洞攻击、网页木马等威胁进行检测和拦截。

  • 常规检测

    防护SQL注入、XSS跨站脚本、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。

  • Webshell检测

    防护通过上传接口植入网页木马。

  • 识别精准
    • 内置语义分析+正则双引擎,黑白名单配置,误报率更低。
    • 支持防逃逸,自动还原常见编码,识别变形攻击能力更强。

      默认支持的编码还原类型:url_encode、Unicode、xml、OCT(八进制)、HEX(十六进制)、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。

  • 深度检测

    深度反逃逸识别(支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护)。

  • header全检测

    支持对请求里header中所有字段进行攻击检测。

  • Shiro解密检测

    支持对Cookie中的rememberMe内容做AES,Base64解密后再检测。

CC攻击防护规则

限制单个IP/Cookie/Referer访问者对您的网站上特定路径(URL)的访问频率,WAF会根据您配置的规则,精准识别CC攻击以及有效缓解CC攻击。

精准访问防护规则

说明:

防护动作为“阻断”时,可使用攻击惩罚标准功能,即当恶意请求被拦截时,可自动封禁访问者一段时间。

对常见的HTTP字段(如IP、路径、Referer、User Agent、Params等)进行条件组合,配置强大的精准访问控制策略;支持盗链防护、空字段拦截等防护场景。

黑白名单规则

说明:

防护动作为“拦截”时,可使用攻击惩罚标准功能,即当恶意请求被拦截时,可自动封禁访问者一段时间。

配置黑白名单规则,阻断、仅记录或放行指定IP的访问请求,即设置IP黑/白名单。

地理位置访问控制规则

针对指定国家、地区的来源IP自定义访问控制。

网页防篡改规则

当用户需要防护静态页面被篡改时,可配置网页防篡改规则。

网站反爬虫规则

动态分析网站业务模型,结合人机识别技术和数据风控手段,精准识别700+种爬虫行为。

  • 特征反爬虫

    自定义扫描器与爬虫规则,用于阻断网页爬取行为,添加定制的恶意爬虫、扫描器特征,使爬虫防护更精准。

  • JS脚本反爬虫

    通过自定义规则识别并阻断JS脚本爬虫行为。

防敏感信息泄露规则

该规则可添加两种类型的防敏感信息泄露规则:

  • 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理,防止用户的敏感信息(例如:身份证号、电话号码、电子邮箱等)泄露。
  • 响应码拦截。配置后可拦截指定的HTTP响应码页面。

全局白名单规则

针对特定请求忽略某些攻击检测规则,用于处理误报事件。

隐私屏蔽规则

隐私信息屏蔽,避免用户的密码等信息出现在事件日志中。

高级配置

PCI DSS/PCI 3DS合规认证和TLS
  • TLS支持TLS v1.0、TLS v1.1、TLS v1.2三个版本和七种加密套件,可以满足各种行业客户的安全需求。
  • WAF支持PCI DSS和PCI 3DS合规认证功能。

IPv6防护
  • Web应用防火墙支持IPv6/IPv4双栈,针对同一域名可以同时提供IPv6和IPv4的流量防护。
  • 针对仍然使用IPv4协议栈的Web业务,Web应用防火墙支持NAT64机制(NAT64是一种通过网络地址转换(NAT)形式促成IPv6与IPv4主机间通信的IPv6转换机制),即WAF可以将IPv4源站转化成IPv6网站,将外部IPv6访问流量转化成对内的IPv4流量。

熔断保护

当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时,将触发WAF熔断功能开关,实现宕机保护和读等待URL请求保护。

配置攻击惩罚的流量标识

WAF根据配置的流量标识识别客户端IP、Session或User标记,以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。

手动设置网站连接超时时间
  • 浏览器到WAF引擎的连接超时时长默认是120秒,该值取决于浏览器的配置,该值在WAF界面不可以手动设置。
  • WAF到客户源站的连接超时时长默认为30秒,该值可以在WAF界面手动设置,但仅“独享模式”“云模式”的专业版、铂金版支持手动设置连接超时时长。

高阶功能

内容安全检测服务

基于丰富的违规样例库和内容审核专家经验,通过机器审核加人工审核结合的方式,帮助您准确检测出Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、违禁等敏感违规内容,并提供文本内容纠错审校,助您降低内容违规风险

防护事件管理
  • 当Web应用防火墙拦截或者仅记录的攻击事件为误报时,用户可通过Web应用防火墙处理误报事件、查看事件详情。
  • 用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据。
  • WAF支持全量日志功能,您可以将攻击日志、访问日志记录到华为云的云日志服务(Log Tank Service,简称LTS)。

告警通知

用户可以通过Web应用防火墙服务对攻击日志进行通知设置。开启告警通知后,Web应用防火墙将仅记录和拦截的攻击日志通过用户设置的接收通知方式发送给用户。

安全可视化

提供简洁友好的控制界面,实时查看攻击信息和事件日志。

  • 策略事件集中配置

    在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略,快速下发,快速生效。

  • 流量及事件统计信息

    实时查看访问次数、安全事件的数量与类型、详细的日志信息。

灵活性、可靠性

多区域多集群部署,支持负载均衡,可在线平滑扩容,没有单点故障,最大限度保护业务运行稳定。
分享:

    相关文档

    相关产品