什么是web应用防火墙

Web应用防火墙

Web应用防火墙(Web Application Firewall,WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。

购买Web应用防火墙后,在WAF管理控制台将网站添加并接入WAF,即可启用Web应用防火墙。启用之后,您网站所有的公网流量都会先经过Web应用防火墙,恶意攻击流量在Web应用防火墙上被检测过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。

Web应用防火墙的功能特性

  • 域名(泛域名、一级域名、二级域名等各级域名)/IP防护

    域名(泛域名、一级域名、二级域名等各级域名)/IP防护

    Web防火墙支持云模式、独享模式两种部署模式,各部署模式支持防护的对象说明如下:

    1. 云模式:域名,华为云、非华为云或云下的Web业务
    2. 独享模式:域名或IP,华为云的Web业务

    域名(泛域名、一级域名、二级域名等各级域名)/IP防护

    Web防火墙支持云模式、独享模式两种部署模式,各部署模式支持防护的对象说明如下:

    1. 云模式:域名,华为云、非华为云或云下的Web业务
    2. 独享模式:域名或IP,华为云的Web业务
  • HTTP/HTTPS业务防护

    Web防火墙可以防护HTTP/HTTPS业务,通过对HTTP/HTTPS请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。

    Web防火墙可以防护HTTP/HTTPS业务,通过对HTTP/HTTPS请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。

  • 支持WebSocket/WebSockets协议

    Web防火墙支持WebSocket/WebSockets协议,且默认为开启状态。

    Web防火墙支持WebSocket/WebSockets协议,且默认为开启状态。

  • 域名备案检查

    Web防火墙云模式支持域名备案检查,添加防护域名时,WAF会检查域名备案情况,未备案域名将无法添加到WAF。

    Web防火墙云模式支持域名备案检查,添加防护域名时,WAF会检查域名备案情况,未备案域名将无法添加到WAF。

  • PCI DSS/PCI 3DS合规认证和TLS

    TLS支持TLS v1.0、TLS v1.1和TLS v1.2三个版本和五种加密套件,可以满足各种行业客户的安全需求。

    Web防火墙支持PCI DSS和PCI 3DS合规认证功能。


    TLS支持TLS v1.0、TLS v1.1和TLS v1.2三个版本和五种加密套件,可以满足各种行业客户的安全需求。

    Web防火墙支持PCI DSS和PCI 3DS合规认证功能。


  • Web基础防护

    覆盖OWASP(Open Web Application Security Project,简称OWASP)TOP 10中常见安全威胁,通过预置丰富的信誉库,对漏洞攻击、网页木马等威胁进行检测和拦截。

    全面的攻击防护

    支持SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录(路径)遍历、敏感文件访问、命令/代码注入、XML/Xpath注入等攻击检测和拦截。

    Webshell检测

    防护通过上传接口植入网页木马。

    识别精准

    内置语义分析+正则双引擎,黑白名单配置,误报率更低。

    支持防逃逸,自动还原常见编码,识别变形攻击能力更强。

    默认支持的编码还原类型:url_encode、Unicode、xml、OCT(八进制)、HEX(十六进制)、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。

    深度检测

    深度反逃逸识别(支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护)。

    header全检测

    支持对请求里header中所有字段进行攻击检测。

    Shiro解密检测

    支持对Cookie中的rememberMe内容做AES,Base64解密后再检测。


    覆盖OWASP(Open Web Application Security Project,简称OWASP)TOP 10中常见安全威胁,通过预置丰富的信誉库,对漏洞攻击、网页木马等威胁进行检测和拦截。

    全面的攻击防护

    支持SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录(路径)遍历、敏感文件访问、命令/代码注入、XML/Xpath注入等攻击检测和拦截。

    Webshell检测

    防护通过上传接口植入网页木马。

    识别精准

    内置语义分析+正则双引擎,黑白名单配置,误报率更低。

    支持防逃逸,自动还原常见编码,识别变形攻击能力更强。

    默认支持的编码还原类型:url_encode、Unicode、xml、OCT(八进制)、HEX(十六进制)、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。

    深度检测

    深度反逃逸识别(支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护)。

    header全检测

    支持对请求里header中所有字段进行攻击检测。

    Shiro解密检测

    支持对Cookie中的rememberMe内容做AES,Base64解密后再检测。


  • IPv6防护

    Web应用防火墙支持防护IPv6环境下发起的攻击,帮助您的源站实现对IPv6流量的安全防护。

    随着IPv6协议的迅速普及,新的网络环境以及新兴领域均面临着新的安全挑战,Web应用防火墙的IPv6防护功能帮助您轻松构建覆盖全球的安全防护体系。

    1. Web应用防火墙支持IPv6/IPv4双栈,针对同一域名可以同时提供IPv6和IPv4的流量防护。
    2. 针对仍然使用IPv4协议栈的Web业务,Web应用防火墙支持NAT64机制(NAT64是一种通过网络地址转换(NAT)形式促成IPv6与IPv4主机间通信的IPv6转换机制),即WAF可以将IPv4源站转化成IPv6网站,将外部IPv6访问流量转化成对内的IPv4流量。


    Web应用防火墙支持防护IPv6环境下发起的攻击,帮助您的源站实现对IPv6流量的安全防护。

    随着IPv6协议的迅速普及,新的网络环境以及新兴领域均面临着新的安全挑战,Web应用防火墙的IPv6防护功能帮助您轻松构建覆盖全球的安全防护体系。

    1. Web应用防火墙支持IPv6/IPv4双栈,针对同一域名可以同时提供IPv6和IPv4的流量防护。
    2. 针对仍然使用IPv4协议栈的Web业务,Web应用防火墙支持NAT64机制(NAT64是一种通过网络地址转换(NAT)形式促成IPv6与IPv4主机间通信的IPv6转换机制),即WAF可以将IPv4源站转化成IPv6网站,将外部IPv6访问流量转化成对内的IPv4流量。


  • CC攻击防护

    CC攻击防护规则支持通过限制单个IP/Cookie/Referer访问者对防护网站上特定路径(URL)的访问频率,精准识别CC攻击以及有效缓解CC攻击、探测和统计弱密码撞库等高频攻击。支持人机验证、阻断、动态阻断和仅记录防护动作。

    Web应用防火墙策略配置灵活

    可以根据IP、Cookie或者Referer字段名设置灵活的限速策略。

    Web应用防火墙阻断页面可定制

    阻断页面可自定义内容和类型,满足业务多样化需要。


    CC攻击防护规则支持通过限制单个IP/Cookie/Referer访问者对防护网站上特定路径(URL)的访问频率,精准识别CC攻击以及有效缓解CC攻击,阻挡暴力破解、探测和统计弱密码撞库等高频攻击。支持人机验证、阻断、动态阻断和仅记录防护动作。

    Web应用防火墙策略配置灵活

    可以根据IP、Cookie或者Referer字段名设置灵活的限速策略。

    Web应用防火墙阻断页面可定制

    阻断页面可自定义内容和类型,满足业务多样化需要。


  • 安全可视化

    提供简洁友好的控制界面,实时查看攻击信息和事件日志。

    策略事件集中配置

    在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略,快速下发,快速生效。

    流量及事件统计信息

    实时查看访问次数、安全事件的数量与类型、详细的日志信息。


    提供简洁友好的控制界面,实时查看攻击信息和事件日志。

    策略事件集中配置

    在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略,快速下发,快速生效。

    流量及事件统计信息

    实时查看访问次数、安全事件的数量与类型、详细的日志信息。


  • 非标准端口防护

    Web应用防火墙除了可以防护标准的80,443端口外,还支持非标准端口的防护。

    Web应用防火墙除了可以防护标准的80,443端口外,还支持非标准端口的防护。

  • 精准访问防护

    基于丰富的字段和逻辑条件组合,打造强大的精准访问控制策略。

    Web应用防火墙支持丰富的字段条件

    支持IP、URL、Referer、User Agent、Params、Header等HTTP常见参数和字段的条件组合。

    Web应用防火墙支持多种条件逻辑

    支持包含、不包含、等于、不等于、前缀为、前缀不为等逻辑条件,设置阻断或放行策略。


    基于丰富的字段和逻辑条件组合,打造强大的精准访问控制策略。

    支持丰富的字段条件

    支持IP、URL、Referer、User Agent、Params、Header等HTTP常见参数和字段的条件组合。

    支持多种条件逻辑

    支持包含、不包含、等于、不等于、前缀为、前缀不为等逻辑条件,设置阻断或放行策略。


  • IP黑白名单设置

    添加始终拦截与始终放行的黑白名单IP/IP地址段,增加防御准确性。Web应用防火墙支持批量导入IP地址/IP地址段。

    添加始终拦截与始终放行的黑白名单IP/IP地址段,增加防御准确性。Web应用防火墙支持批量导入IP地址/IP地址段。

  • 攻击惩罚

    当访问者的IP、Cookie或Params恶意请求被Web应用防火墙拦截时,您可以通过配置攻击惩罚,使Web应用防火墙按配置的攻击惩罚时长来自动封禁访问者。

    Web基础防护、精准访问防护和黑白名单设置支持攻击惩罚功能。


    当访问者的IP、Cookie或Params恶意请求被Web应用防火墙拦截时,您可以通过配置攻击惩罚,使Web应用防火墙按配置的攻击惩罚时长来自动封禁访问者。

    Web基础防护、精准访问防护和黑白名单设置支持攻击惩罚功能。


  • 连接保护

    网站接入Web应用防火墙防护之后,若您访问网站时出现大量的502 Bad Gateway,504 Gateway Timeout错误或者等待处理的请求,为了保护源站的安全,可使用Web应用防火墙的宕机保护和连接保护功能。当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时,将触发Web应用防火墙熔断功能开关,实现宕机保护和读等待URL请求保护。

    网站接入Web应用防火墙防护之后,若您访问网站时出现大量的502 Bad Gateway,504 Gateway Timeout错误或者等待处理的请求,为了保护源站的安全,可使用Web应用防火墙的宕机保护和连接保护功能。当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时,将触发Web应用防火墙熔断功能开关,实现宕机保护和读等待URL请求保护。

  • 手动设置网站连接超时时间

    浏览器到Web应用防火墙引擎的连接超时时长是120秒,该值不可以手动设置。

    Web应用防火墙到客户源站的连接超时时长默认为60秒,该值可以手动设置,但仅“独享模式”和“云模式”的专业版(原企业版)、铂金版(原旗舰版)支持手动设置连接超时时长。

    在域名的基本信息页面,开启“超时配置”并单击,设置“连接超时”、“读超时”、“写超时”的时间,并单击保存设置。


    浏览器到Web应用防火墙引擎的连接超时时长是120秒,该值不可以手动设置。

    Web应用防火墙到客户源站的连接超时时长默认为60秒,该值可以手动设置,但仅“独享模式”和“云模式”的专业版(原企业版)、铂金版(原旗舰版)支持手动设置连接超时时长。

    在域名的基本信息页面,开启“超时配置”并单击,设置“连接超时”、“读超时”、“写超时”的时间,并单击保存设置。


  • 地理位置访问控制

    Web应用防火墙可以针对国家、地区地理位置来源IP进行自定义访问控制。

    Web应用防火墙可以针对国家、地区地理位置来源IP进行自定义访问控制。

  • 网页防篡改

    Web应用防火墙对网站的静态网页进行缓存配置,当用户访问时返回给用户缓存的正常页面,并随机检测网页是否被篡改。

    Web应用防火墙对网站的静态网页进行缓存配置,当用户访问时返回给用户缓存的正常页面,并随机检测网页是否被篡改。

  • 网站反爬虫

    动态分析网站业务模型,Web应用防火墙可结合人机识别技术和数据风控手段,精准识别700+种爬虫行为。

    特征反爬虫

    自定义扫描器与爬虫规则,用于阻断网页爬取行为,添加定制的恶意爬虫、扫描器特征,使爬虫防护更精准。

    JS脚本反爬虫

    通过自定义规则识别并阻断JS脚本爬虫行为。


    动态分析网站业务模型,结合人机识别技术和数据风控手段,精准识别700+种爬虫行为。

    特征反爬虫

    自定义扫描器与爬虫规则,用于阻断网页爬取行为,添加定制的恶意爬虫、扫描器特征,使爬虫防护更精准。

    JS脚本反爬虫

    通过自定义规则识别并阻断JS脚本爬虫行为。


  • 全局白名单(原误报屏蔽)规则

    Web应用防火墙可针对特定请求忽略某些攻击检测规则,用于处理误报事件。

    Web应用防火墙可针对特定请求忽略某些攻击检测规则,用于处理误报事件。

  • 防敏感信息泄露

    Web应用防火墙可防止在页面中泄露用户的敏感信息,例如:用户的身份证号码、手机号码、电子邮箱等。

    Web应用防火墙可防止在页面中泄露用户的敏感信息,例如:用户的身份证号码、手机号码、电子邮箱等。

  • 稳定可靠

    Web应用防火墙可多区域多集群部署,支持负载均衡,可在线平滑扩容,没有单点故障,最大限度保护业务运行稳定。

    Web应用防火墙可多区域多集群部署,支持负载均衡,可在线平滑扩容,没有单点故障,最大限度保护业务运行稳定。

  • 告警通知

    用户可以通过Web应用防火墙服务对攻击日志进行通知设置。开启告警通知后,Web应用防火墙将仅记录和拦截的攻击日志通过用户设置的接收通知方式发送给用户。

    用户可以通过Web应用防火墙服务对攻击日志进行通知设置。开启告警通知后,Web应用防火墙将仅记录和拦截的攻击日志通过用户设置的接收通知方式发送给用户。

  • 管理防护事件

    当Web应用防火墙拦截或者仅记录的攻击事件为误报时,用户可通过Web应用防火墙处理误报事件、查看事件详情。

    用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据。

    WAF支持全量日志功能,您可以将攻击日志、访问日志记录到华为云的云日志服务(Log Tank Service,简称LTS)。


    当Web应用防火墙拦截或者仅记录的攻击事件为误报时,用户可通过Web应用防火墙处理误报事件、查看事件详情。

    用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据。

    WAF支持全量日志功能,您可以将攻击日志、访问日志记录到华为云的云日志服务(Log Tank Service,简称LTS)。


Web应用防火墙的产品优势

  • 精准高效的威胁检测

    Web应用防火墙采用规则和AI双引擎架构,默认集成最新的防护规则和优秀实践。

    企业级用户策略定制,支持拦截页面自定义、多条件的CC防护策略配置、海量IP黑名单等,使网站防护更精准。


    Web应用防火墙采用规则和AI双引擎架构,默认集成最新的防护规则和优秀实践。

    企业级用户策略定制,支持拦截页面自定义、多条件的CC防护策略配置、海量IP黑名单等,使网站防护更精准。


  • 0day漏洞快速修复

    Web应用防火墙是专业安全团队7*24小时运营,实现紧急0day漏洞2小时内修复完成,帮助用户快速抵御最新威胁。

    Web应用防火墙是专业安全团队7*24小时运营,实现紧急0day漏洞2小时内修复完成,帮助用户快速抵御最新威胁。

  • 保护用户数据隐私

    Web应用防火墙支持用户对攻击日志中的帐号、密码等敏感信息进行脱敏。

    Web应用防火墙支持PCI-DSS标准的SSL安全配置。

    Web应用防火墙支持TLS协议版本和加密套件的配置。


    Web应用防火墙支持用户对攻击日志中的帐号、密码等敏感信息进行脱敏。

    Web应用防火墙支持PCI-DSS标准的SSL安全配置。

    Web应用防火墙支持TLS协议版本和加密套件的配置。


  • 助力企业安全合规

    Web应用防火墙帮助企业满足等保测评、PCI-DSS等安全标准的技术要求。

    Web应用防火墙帮助企业满足等保测评、PCI-DSS等安全标准的技术要求。

Web应用防火墙的应用场景

  • Web应用防火墙常规防护

    帮助用户防护常见的Web安全问题,比如命令注入、敏感文件访问等高危攻击。

    帮助用户防护常见的Web安全问题,比如命令注入、敏感文件访问等高危攻击。

  • 电商抢购秒杀防护

    当业务举办定时抢购秒杀活动时,业务接口可能在短时间承担大量的恶意请求。Web应用防火墙可以灵活设置CC攻击防护的限速策略,能够保证业务服务不会因大量的并发访问而崩溃,同时尽可能地给正常用户提供业务服务。

    当业务举办定时抢购秒杀活动时,业务接口可能在短时间承担大量的恶意请求。Web应用防火墙可以灵活设置CC攻击防护的限速策略,能够保证业务服务不会因大量的并发访问而崩溃,同时尽可能地给正常用户提供业务服务。

  • Web应用防火墙0Day漏洞爆发防范

    当第三方Web框架、插件爆出高危漏洞,业务无法快速升级修复,Web应用防火墙确认后会第一时间升级预置防护规则,保障业务安全稳定。WAF相当于第三方网络架构加了一层保护膜,和直接修复第三方架构的漏洞相比,WAF创建的规则能更快的遏制住风险。

    当第三方Web框架、插件爆出高危漏洞,业务无法快速升级修复,Web应用防火墙确认后会第一时间升级预置防护规则,保障业务安全稳定。WAF相当于第三方网络架构加了一层保护膜,和直接修复第三方架构的漏洞相比,WAF创建的规则能更快的遏制住风险。

  • Web应用防火墙防数据泄露

    恶意访问者通过SQL注入,网页木马等攻击手段,入侵网站数据库,窃取业务数据或其他敏感信息。用户可通过Web应用防火墙配置防数据泄露规则,以实现:

    精准识别

    采用语义分析+正则表达式双引擎,对流量进行多维度精确检测,精准识别攻击流量。

    变形攻击检测

    支持7种编码还原,可识别更多变形攻击,降低Web应用防火墙被绕过的风险。


    恶意访问者通过SQL注入,网页木马等攻击手段,入侵网站数据库,窃取业务数据或其他敏感信息。用户可通过Web应用防火墙配置防数据泄露规则,以实现:

    1. 精准识别

    采用语义分析+正则表达式双引擎,对流量进行多维度精确检测,精准识别攻击流量。

    1. 变形攻击检测

    支持7种编码还原,可识别更多变形攻击,降低Web应用防火墙被绕过的风险。


  • Web应用防火墙防网页篡改

    攻击者利用黑客技术,在网站服务器上留下后门或篡改网页内容,造成经济损失或带来负面影响。用户可通过Web应用防火墙配置网页防篡改规则,以实现:

    挂马检测

    检测恶意攻击者在网站服务器注入的恶意代码,保护网站访问者安全。

    页面不被篡改

    保护页面内容安全,避免攻击者恶意篡改页面,修改页面信息或在网页上发布不良信息,影响网站品牌形象。


    攻击者利用黑客技术,在网站服务器上留下后门或篡改网页内容,造成经济损失或带来负面影响。用户可通过Web应用防火墙配置网页防篡改规则,以实现:

    1. 挂马检测

    检测恶意攻击者在网站服务器注入的恶意代码,保护网站访问者安全。

    1. 页面不被篡改

    保护页面内容安全,避免攻击者恶意篡改页面,修改页面信息或在网页上发布不良信息,影响网站品牌形象。


Web防火墙产品咨询问题

Web防火墙产品咨询问题

  • Web应用防火墙功能说明类

    Web应用防火墙是否能防护IP?

    WAF可以对IP进行防护。

    云模式

    WAF不能防护IP,只能基于域名进行防护。

    在WAF中配置的源站IP只支持公网IP,不支持私网IP或者内网IP。

    若您需要减少公网IP的数量,可以购买ELB(Elastic Load Balance,简称ELB)或搭建负载均衡,代理后端私网IP,并将EIP(公网IP)设置为WAF的回源地址。

    独享模式

    WAF可以对IP或域名进行防护。

    在WAF中配置的源站IP支持私网IP或者内网IP。

    有关域名接入WAF的流程说明,请参见域名/IP如何接入Web应用防火墙?

  • Web应用防火墙使用说明类

    接入WAF后为什么漏洞扫描工具扫描出未开通的非标准端口?


    问题现象

    域名接入WAF通过第三方漏洞扫描工具扫描后,扫描结果显示了域名的标准端口(例如443)和非标准端口(例如8000、8443等)。

    可能原因

    由于WAF的非标准端口引擎是所有用户间共享的,即通过第三方漏洞扫描工具可以检测到所有已在WAF中使用的非标准端口。域名的端口检测,应以源站IP开通的端口为准,即引擎的端口检测并不影响源站的使用安全,且WAF保证客户解析CNAME返回的引擎IP的安全性。

    处理建议

    无需处理

  • Web应用防火墙的区域与可用区

    什么是区域和可用区?


    我们用区域和可用区来描述数据中心的位置,您可以在特定的区域、可用区创建资源。

    区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云服务的Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。

    可用区(AZ,Availability Zone):一个AZ是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。



  • Web应用防火墙的IPv6配置

    哪些版本/Region支持IPv6防护?


    WAF支持IPv6防护,详细说明如下:

    云模式的专业版(原企业版)和铂金版(原旗舰版)支持IPv6的防护。

    以下Region支持IPv6防护:

    华北-北京一

    华北-北京四

    华东-上海一

    华东-上海二

    西南-贵阳一

    华南-广州

    亚太-新加坡。

    独享模式没有公网IP,公网IP绑定在ELB的弹性公网IP上 ,如果独享模式所在的ELB支持IPv6,那么独享模式也支持IPv6。


  • Web应用防火墙的企业项目

    WAF可以跨企业项目使用吗?

    不同的WAF模式,是否支持跨企业项目使用,详情如下:

    云模式

    支持跨企业项目使用。

    独享模式

    通过WAF购买的独享引擎实例到源站的VPC网络是互通的,则支持跨企业项目使用。否则,在某个企业项目下购买的WAF独享引擎实例, 在其他企业项目下不能使用。