文档首页/ Web应用防火墙 WAF/ 产品介绍/ 功能特性
更新时间:2025-10-30 GMT+08:00
查看PDF
分享

功能特性

通过Web应用防火墙,轻松应对各种Web安全风险,Web应用防火墙支持如下功能。关于各功能支持的地域(Region)信息,可通过控制台查询详情。

云模式

云模式是一种基于云端的WAF服务部署方式,共享华为云WAF集群资源,旨在为用户提供便捷、高效的Web应用安全防护,无需用户自行部署硬件设备或维护软件,具有免部署、即开即用、灵活计费、高可用性与扩展性等特点。购买云模式,请参见购买WAF云模式

  • 云模式支持包年月(预付费)计费方式,提供的服务版本包括入门版标准版专业版企业版
  • 云模式支持CNAME接入ELB接入两种部署方式。
  • 如果当前版本(标准版、专业版或企业版)的域名、QPS或带宽、IP黑白名单防护规则配额不能满足业务需求,支持通过购买域名扩展包、QPS扩展包、规则扩展包的方式扩展相应额度。

扩展包

如果已购云模式服务版本为标准版专业版企业版时,支持购买域名扩展包QPS扩展包规则扩展包,扩展相应额度。更多信息,请参见购买扩展包

  • 一个域名扩展包包含:10防护域名。
  • 一个QPS扩展包包含:
    • 每秒钟的请求量:1,000 QPS
    • 业务带宽:20Mbit/s(源站未部署在华为云内)、 50Mbit/s(源站部署在华为云内)

      业务带宽限制仅对云模式-CNAME方式接入的网站有限制,通过云模式-ELB接入的网站,没有带宽限制,仅有QPS请求量限制。

  • 一个规则扩展包包含:10条IP黑白名单防护规则。

云模式-CNAME接入

云模式-CNAME接入为WAF云模式提供的一种网站接入方式,配置简单,可分钟级部署。该模式通过DNS解析,将防护域名解析到WAF集群提供的CNAME地址上。WAF检测过滤恶意攻击流量后,通过回源IP将正常流量返回给源站服务器。

云模式-CNAME接入可防护部署在华为云上非华为云上本地的Web业务,防护对象为域名

云模式-CNAME接入的适用场景优势支持的功能及对应规格等内容请参见服务版本差异接入指导请参见将网站接入WAF防护(云模式-CNAME接入)

云模式-ELB接入

云模式-ELB接入为WAF云模式提供的一种网站接入方式,配置简单,可分钟级部署。将网站接入WAF后,网站流量会被ELB镜像给WAF。WAF检测过滤恶意攻击流量后,将检测结果同步给ELB,由ELB根据WAF的检测结果决定是否将客户端请求转发到源站。

云模式-ELB接入可防护部署在华为云上的Web业务,防护对象为域名公网IP私网IP

云模式-ELB接入的适用场景优势支持的功能及对应规格等内容请参见服务版本差异接入指导请参见将网站接入WAF防护(云模式-ELB接入)

独享模式

独享模式为用户提供的完全隔离、独立部署的防护节点,可避免共享环境下的资源竞争或“邻居效应”(如其他用户遭受攻击时可能引发的连带影响),具有资源独享、深度定制化防护、高可用与容灾等特点。购买独享模式,请参见购买WAF独享模式

  • 独享模式支持按需计费(后付费)计费方式。
  • 独享模式支持独享模式接入
    • 独享模式接入为WAF独享模式提供的网站接入方式,部署在租户VPC内,资源独享,规格可定制。该模式下,网站流量会通过ELB传给WAF,经过WAF检测后,异常请求将被拦截,正常请求会通过WAF独享引擎回源IP转发到源站服务器。
    • 独享模式可防护部署在华为云上的Web业务,防护对象为域名公网IP私网IP
  • 独享模式在部分区域已经停售,详见独享模式停售通知

域名/IP防护

WAF支持防护域名(包括泛域名、一级域名、二级域名等各级域名)、IP(包括公网IP、私网IP)。不同接入方式,支持的防护对象不同。
  • 云模式-CNAME接入:域名,华为云、非华为云或本地部署的Web业务
  • 云模式-ELB接入:域名或IP(公网IP/私网IP),华为云的Web业务
  • 独享模式接入:域名或IP(公网IP/私网IP),华为云的Web业务

WAF云模式支持域名备案检查,添加防护域名时,WAF会检查域名备案情况,未备案域名将无法添加到WAF。

协议防护

  • 支持对网站的HTTP、HTTPS流量进行安全防护。需要在网站接入时,选择HTTP或HTTPS协议类型。
  • WAF支持WebSocket协议,且默认为开启状态。
  • WAF支持SSE协议,且默认为开启状态。

端口防护

WAF除了可以防护80、443标准端口外,还可以防护非标准端口。更多信息,请参见WAF支持的端口范围

WAF引擎检测机制

WAF引擎会按照检测流程,按配置对用户请求信息、源站服务器返回的响应信息进行检测,并对WAF日志信息按配置进行脱敏保存。

图1 WAF引擎检测图

Web基础防护

覆盖OWASP(Open Web Application Security Project,简称OWASP)TOP 10种常见安全威胁,通过预置丰富的信誉库,对漏洞攻击、网页木马等威胁进行检测和拦截。更多信息,请参见配置Web基础防护规则防御常见Web攻击

防护动作为“拦截”时,可使用攻击惩罚标准功能,即当恶意请求被拦截时,可自动封禁访问者一段时间。

  • 常规检测

    防护SQL注入、XSS跨站脚本、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。

  • Webshell检测

    防护通过上传接口植入网页木马。

  • 识别精准
    • 内置语义分析+正则双引擎,黑白名单配置,误报率更低。
    • 支持防逃逸,自动还原常见编码,识别变形攻击能力更强。

      默认支持的编码还原类型:url_encode、Unicode、XML、OCT(八进制)、HEX(十六进制)、HTML转义、Base64、大小写混淆、PHP序列化编码、Java序列化编码、UTF-7编码、混合嵌套编码、JavaScript/Shell/PHP等拼接混淆。

  • 深度检测

    深度反逃逸识别(支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护)。

  • header全检测

    支持对请求里header中所有字段进行攻击检测。

  • Shiro解密检测

    支持对Cookie中的rememberMe内容做AES,Base64解密后再检测。

CC攻击防护

自定义CC防护规则,限制单个IP/Cookie/Referer访问者对您的网站上特定路径(URL)的访问频率,WAF会根据您配置的规则,精准识别CC攻击以及有效缓解CC攻击。更多信息,请参见配置CC攻击防护规则防御CC攻击

CC攻击防护支持全局计数功能,可根据不同的限速模式,将已经标识的请求在一个或多个WAF节点上的计数聚合。默认为每WAF节点单独计数,开启后本区域所有节点合并计数。

  • 云模式-CNAME接入方式支持在华北-北京一华北-北京四华南-广州华东-上海一华东-上海二使用全局计数。
  • 独享模式接入方式支持提交工单开通后,在华东-上海一华北-乌兰察布一使用全局计数。

精准访问防护

精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合,定制化防护策略,为您的网站带来更精准的防护。更多信息,请参见配置精准访问防护规则定制化防护策略

黑白名单设置

配置黑白名单规则,阻断、仅记录或放行指定IP的访问请求,即设置IP黑/白名单。更多信息,请参见配置IP黑白名单规则拦截/放行指定IP

IP地址或网段支持批量添加到IP地址组,用于集中管理,被黑白名单规则引用时可以批量设置IP/IP地址段。更多信息,请参见添加黑白名单IP地址组

地理位置访问控制

针对指定国家、地区的来源IP自定义访问控制。更多信息,请参见配置地理位置访问控制规则拦截/放行特定区域请求

网页防篡改

当用户需要防护静态页面被篡改时,可配置网页防篡改规则。更多信息,请参见配置网页防篡改规则避免静态网页被篡改

网站反爬虫

动态分析网站业务模型,结合人机识别技术和数据风控手段,精准识别爬虫行为。更多信息,请参见配置网站反爬虫防护规则防御爬虫攻击

防敏感信息泄露

该规则可添加两种类型的防敏感信息泄露规则:

  • 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理,防止用户的敏感信息(例如:身份证号、电话号码、电子邮箱等)泄露。
  • 响应码拦截。配置后可拦截指定的HTTP响应码页面。

更多信息,请参见配置防敏感信息泄露规则避免敏感信息泄露

全局白名单

针对特定请求忽略某些攻击检测规则,用于处理误报事件。更多信息,请参见配置全局白名单规则对误报进行忽略

隐私屏蔽

隐私信息屏蔽,避免用户的密码等信息出现在事件日志中。更多信息,请参见配置隐私屏蔽规则防隐私信息泄露

威胁情报访问控制

基于互联网数据中心(Internet Data Center, 简称IDC)机房的IP库进行访问控制。更多信息,请参见配置威胁情报访问控制规则拦截/放行指定IP库的IP

扫描防护

扫描防护模块通过识别扫描行为和扫描器特征,阻止攻击者或扫描器对网站的大规模扫描行为,自动阻断高频Web攻击、高频目录遍历攻击,并封禁攻击源IP一段时间,帮助Web业务降低被入侵的风险并减少扫描带来的垃圾流量。

更多信息,请参见配置扫描防护规则自动阻断高频攻击

BOT管理

通过层层检测,精准识别并管理网站流量中的机器行为,有效降低网站由于遭受BOT攻击,而导致的数据泄露、性能降低等风险。更多信息,请参见配置BOT管理防护规则防御机器行为

该功能需提交工单申请开通。

大模型检测

WAF大模型检测支持通过提示词验证、响应合规检测,识别并过滤不良或违规内容后,确保大模型输入和输出内容安全、稳定、可用、合规。更多信息,请参见配置大模型检测规则保障大模型应用安全合规

攻击惩罚规则

防护动作为“拦截”时,可使用攻击惩罚标准功能,即当恶意请求被拦截时,可自动封禁访问者一段时间。该功能和其他规则(例如Web基础防护、精准访问防护规则、黑白名单规则等)结合使用。更多信息,请参见配置攻击惩罚标准封禁访问者指定时长

引用表

当配置CC攻击防护规则、精准访问防护规则、BOT管理规则和网站反爬虫防护规则时,“条件列表”中的“逻辑”关系选择“包含任意一个”、“不包含任意一个”、“等于任意一个”、“不等于任意一个”、“前缀为任意一个”、“前缀不为任意一个”、“后缀为任意一个”或者“后缀不为任意一个”时,可在“内容”的下拉框中选择适合的引用表名称。更多信息,请参见创建引用表对防护指标进行批量配置

PCI DSS/PCI 3DS合规认证和TLS

  • TLS支持TLS v1.0、TLS v1.1、TLS v1.2三个版本和9种加密套件,可以满足各种行业客户的安全需求。
  • WAF支持PCI DSS和PCI 3DS合规认证功能。

更多信息,请参见配置PCI DSS/3DS合规与TLS

HTTP2协议

HTTP2协议仅适用于客户端到WAF之间的访问,且对外协议必须包含HTTPS才能支持使用。更多信息,请参见开启HTTP2协议

日志记录响应体字节长度

提交工单开通响应详情功能并配置日志记录响应体字节长度后,响应详情会记录不超过字节长度的响应体信息。您可以根据实际情况,配置日志记录响应体字节长度,确保响应体被记录。更多信息,请参见配置日志记录响应体字节长度

请求头和响应头字段转发

启用并配置请求头和响应头的字段转发后,WAF会将指定字段插入请求头header字段中,转发给源站;将指定字段插入响应头header字段,转发给客户端,便于您区分不同来源的请求,更好的统计分析网站运营情况。

云模式-CNAME接入独享模式接入支持该功能。

更多信息,请参见配置请求头和响应头字段转发

修改拦截返回页面

当访问者触发WAF拦截时,默认返回WAF“系统默认”的拦截返回页面,您也可以根据自己的需要,配置“自定义”或者“重定向”的拦截返回页面。

更多信息,请参见修改拦截返回页面

不插入Cookie字段的能力

如果您不希望WAF在Cookie中插入HWWAFSESTIME和HWWAFSESID字段,可开启“不插入Cookie字段”开关。但是WAF在Cookie中不插入HWWAFSESTIME和HWWAFSESID字段,将会影响CC人机验证、攻击惩罚、动态反爬虫的功能使用,建议您谨慎使用该功能。

云模式-CNAME接入独享模式接入支持该功能。

更多信息,请参见开启不插入Cookie字段的能力

IPv6防护

  • Web应用防火墙支持IPv6/IPv4双栈,针对同一域名可以同时提供IPv6和IPv4的流量防护。
  • 针对仍然使用IPv4协议栈的Web业务,Web应用防火墙支持NAT64机制(NAT64是一种通过网络地址转换(NAT)形式促成IPv6与IPv4主机间通信的IPv6转换机制),即WAF可以将IPv4源站转化成IPv6网站,将外部IPv6访问流量转化成对内的IPv4流量。

更多信息,请参见开启IPv6防护

负载均衡算法

防护网站配置了一个或多个源站地址时,WAF支持配置多源站间的负载均衡算法,WAF支持的算法如下:

  • 源IP Hash:将某个IP的请求定向到同一个服务器。
  • 加权轮询:所有请求将按权重轮流分配给源站服务器,权重越大,回源到该源站的几率越高。
  • Session Hash:将某个Session标识的请求定向到同一个源站服务器,请确保在域名添加完毕后配置攻击惩罚的流量标识,否则Session Hash配置不生效。

更多信息,请参见修改负载均衡算法

Cookie安全属性

“对外协议”配置为HTTPS时,WAF支持开启“Cookie安全属性”,开启后会将Cookie的HttpOnly和Secure属性设置为true。

Cookie是后端Web Server插入的,可以通过框架配置或set-cookie实现,其中,Cookie中配置Secure,HttpOnly有助于防范XSS等攻击获取Cookie,对于Cookie劫持有一定的防御作用。

云模式-CNAME接入独享模式接入支持该功能。

更多信息,请参见开启Cookie安全属性

人机验证状态码

提交工单申请开通后,在防护规则中将防护动作配置为人机验证时,可通过该配置修改验证页面的响应码。更多信息,请参见修改人机验证状态码

自定义记录日志Trace ID

配置自定义记录日志Trace ID,可指定的request或response中的header字段记录到WAF日志的custom_traceid字段中。更多信息,请参见配置自定义记录日志Trace ID

云模式-CNAME接入独享模式接入支持该功能。

配置攻击惩罚的流量标识

WAF根据配置的流量标识识别客户端IP、Session或User标记,以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。更多信息,请参见配置攻击惩罚的流量标识

JA3/JA4指纹标记

JA3/JA4是一种用于SSL/TLS客户端指纹识别的技术,通过分析TLS握手阶段的元数据生成一个唯一的指纹,以识别不同的客户端应用程序。如果在WAF前部署了七层反向代理(如ELB),且该代理会将指纹信息通过Header传递给WAF,您可以为独享模式下的防护域名配置JA3/JA4指纹标记,将此标记添加到Header字段中再传递给WAF。WAF通过配置精准访问防护规则中的TLS指纹(JA3)和TLS指纹(JA4)条件,处理相应的请求,实现JA3/JA4指纹防御。

更多信息,请参见配置JA3/JA4指纹标记

手动设置网站连接超时时间

  • 浏览器到WAF引擎的连接超时时长默认是120秒,该值取决于浏览器的配置,该值在WAF界面不可以手动设置。
  • WAF到客户源站的连接超时时长默认为30秒,该值可以在WAF界面手动设置,但仅“独享模式”“云模式”的专业版、企业版支持手动设置连接超时时长。

更多信息,请参见配置WAF到网站服务器的连接超时时间

熔断保护

当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时,将触发WAF熔断功能开关,实现宕机保护和读等待URL请求保护。更多信息,请参见开启熔断保护功能保护源站安全

内容安全检测服务

基于丰富的违规样例库和内容审核专家经验,通过机器审核加人工审核结合的方式,帮助您准确检测出Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、违禁等敏感违规内容,并提供文本内容纠错审校,助您降低内容违规风险。更多信息,请参见配置内容安全检测

防护事件管理

  • 当Web应用防火墙拦截或者仅记录的攻击事件为误报时,用户可通过Web应用防火墙处理误报事件、查看事件详情。
  • 用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据。
  • WAF支持全量日志功能,您可以将攻击日志、访问日志记录到华为云的云日志服务(log Tank Service,简称LTS)。

更多信息,请参见查询防护事件

全量日志

启用WAF全量日志功能后,您可以将攻击日志、访问日志记录到华为云的云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的WAF日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。更多信息,请参见通过LTS记录WAF全量日志

证书管理

添加防护网站时,如果“对外协议”选择“HTTPS”协议,需要选择证书使证书绑定到防护网站。您可以通过创建证书,将证书上传到WAF,使防护网站直接选择上传的证书。支持删除过期或无效证书。更多信息,请参见上传证书

告警通知

当指定通知类型满足一定条件时,WAF将通过配置的接收通知方式(例如邮件或短信),将相关内容通知用户,用于提醒用户关注异常情况,及时处理并修复异常,避免影响网站正常运行。

更多信息,请参见开启告警通知

安全可视化

提供简洁友好的控制界面,实时查看攻击信息和事件日志。

  • 策略事件集中配置

    在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略,快速下发,快速生效。

  • 流量及事件统计信息

    实时查看访问次数、安全事件的数量与类型、详细的日志信息。

灵活性、可靠性

多区域多集群部署,支持负载均衡,可在线平滑扩容,没有单点故障,最大限度保护业务运行稳定。

相关文档