什么是Web应用防火墙

Web应用防火墙(Web Application Firewall,WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。

Web应用防火墙有什么作用

介绍Web应用防火墙的常见应用场景和功能。

  • 常规防护

    帮助用户防护常见的Web安全问题,比如命令注入、敏感文件访问等高危攻击。

    帮助用户防护常见的Web安全问题,比如命令注入、敏感文件访问等高危攻击。

  • 电商抢购秒杀防护

    当业务举办定时抢购秒杀活动时,业务接口可能在短时间承担大量的恶意请求。Web应用防火墙可以灵活设置CC攻击防护的限速策略,能够保证业务服务不会因大量的并发访问而崩溃,同时尽可能地给正常用户提供业务服务。

    当业务举办定时抢购秒杀活动时,业务接口可能在短时间承担大量的恶意请求。Web应用防火墙可以灵活设置CC攻击防护的限速策略,能够保证业务服务不会因大量的并发访问而崩溃,同时尽可能地给正常用户提供业务服务。

  • 0Day漏洞爆发防范

    当第三方Web框架、插件爆出高危漏洞,业务无法快速升级修复,Web应用防火墙确认后会第一时间升级预置防护规则,保障业务安全稳定。WAF相当于第三方网络架构加了一层保护膜,和直接修复第三方架构的漏洞相比,WAF创建的规则能更快的遏制住风险。

    当第三方Web框架、插件爆出高危漏洞,业务无法快速升级修复,Web应用防火墙确认后会第一时间升级预置防护规则,保障业务安全稳定。WAF相当于第三方网络架构加了一层保护膜,和直接修复第三方架构的漏洞相比,WAF创建的规则能更快的遏制住风险。

Web应用防火墙和云防火墙有什么区别

Web应用防火墙和云防火墙是华为云推出的两款不同的产品,分别针对您的Web服务,互联网边界和VPC边界的流量进行防护。

类别
Web应用防火墙
云防火墙

定义

Web应用防火墙(Web Application Firewall,WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。

云防火墙是新一代的云原生防火墙,提供云上互联网边界和VPC边界的防护,包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等,同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求,极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。

防护机制

网站成功接入WAF后,WAF作为一个反向代理存在于客户端和服务器之间,网站所有访问请求将先流转到WAF,WAF检测过滤恶意攻击流量后,将正常流量返回给源站,从而确保源站安全、稳定、可用。

云防火墙可对全流量进行精细化管控,包括互联网边界防护,跨VPC,跨VM的流量,防止外部入侵、内部渗透攻击和从内到外的非法访问。

部署模式

WAF支持云模式、独享模式和ELB模式。

云模式:业务服务器部署在华为云、非华为云或线下,且防护对象为域名。

独享模式:业务服务器部署在华为云,防护对象为域名或IP。大型企业网站,具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。

ELB模式:业务服务器部署在华为云,防护对象为域名或IP。大型企业网站,对业务稳定性有较高要求的安全防护需求。

云防火墙部署在互联网边界和VPC边界。

防护对象

● 云模式:域名。

● 独享模式/ELB模式:域名或IP。

弹性公网IP。

功能特性

SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。

WAF具体支持的功能请参见功能特性

● 资产管理与入侵防御:对已开放公网访问的服务资产进行安全盘点,进行实时入侵检测与防御。

● 访问控制:支持互联网边界访问流量的访问控制。

● 流量分析与日志审计:VPC间流量全局统一访问控制,全流量分析可视化,日志审计与溯源分析。

Web应用防火墙有哪些功能特性

通过Web应用防火墙,轻松应对各种Web安全风险。更多功能特性介绍请参见WAF功能特性

功能
描述

域名(泛域名、一级域名、二级域名等各级域名)/IP防护

WAF支持云模式、独享模式两种部署模式,各部署模式支持防护的对象说明如下:

● 云模式:域名,华为云、非华为云或云下的Web业务

● 独享模式:域名或IP,华为云的Web业务

HTTP/HTTPS业务防护

WAF可以防护HTTP/HTTPS业务,通过对HTTP/HTTPS请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。

支持WebSocket/WebSockets协议

WAF支持WebSocket/WebSockets协议,且默认为开启状态。

域名备案检查

WAF云模式支持域名备案检查,添加防护域名时,WAF会检查域名备案情况,未备案域名将无法添加到WAF。

PCI DSS/PCI 3DS合规认证和TLS

● TLS支持TLS v1.0、TLS v1.1和TLS v1.2三个版本和五种加密套件,可以满足各种行业客户的安全需求。

● WAF支持PCI DSS和PCI 3DS合规认证功能。

Web基础防护

覆盖OWASP(Open Web Application Security Project,简称OWASP)TOP 10中常见安全威胁,通过预置丰富的信誉库,对漏洞攻击、网页木马等威胁进行检测和拦截。

IPv6防护

Web应用防火墙支持防护IPv6环境下发起的攻击,帮助您的源站实现对IPv6流量的安全防护。

CC攻击防护

CC攻击防护规则支持通过限制单个IP/Cookie/Referer访问者对防护网站上特定路径(URL)的访问频率,精准识别CC攻击以及有效缓解CC攻击,阻挡探测和统计弱密码撞库等高频攻击。支持人机验证、阻断、动态阻断和仅记录防护动作。

安全可视化

提供简洁友好的控制界面,实时查看攻击信息和事件日志。

非标准端口防护

Web应用防火墙除了可以防护标准的80,443端口外,还支持非标准端口的防护。

精准访问防护

基于丰富的字段和逻辑条件组合,打造强大的精准访问控制策略。

IP黑白名单设置

添加始终拦截与始终放行的黑白名单IP/IP地址段,增加防御准确性。WAF支持批量导入IP地址/IP地址段。

攻击惩罚

● 当访问者的IP、Cookie或Params恶意请求被WAF拦截时,您可以通过配置攻击惩罚,使WAF按配置的攻击惩罚时长来自动封禁访问者。

● Web基础防护、精准访问防护和黑白名单设置支持攻击惩罚功能。

连接保护

网站接入WAF防护之后,若您访问网站时出现大量的502 Bad Gateway,504 Gateway Timeout错误或者等待处理的请求,为了保护源站的安全,可使用WAF的宕机保护和连接保护功能。当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时,将触发WAF熔断功能开关,实现宕机保护和读等待URL请求保护。