Web Application Firewall(Web Application Firewall,簡稱WAF)通過對網站或App的業務流量進行惡意特徵識別和防護,協助抵禦常見的Web攻擊。WAF對流量進行清洗和過濾,將正常、安全的流量轉寄至伺服器,防止惡意請求影響網站正常運行,有效保護業務穩定和資料安全。
應用情境
適用於網站伺服器部署在阿里雲或非阿里雲環境的各類使用者,廣泛支援金融、電商、O2O、互連網+、遊戲、政府、保險等各行業情境。阿里雲WAF可對網站及Web應用的HTTP/HTTPS流量提供安全防護,有效抵禦各類Web攻擊,保障業務安全穩定運行。
核心安全防護能力
Web 應用程式攻擊防護
抵禦常見威脅:有效防禦 OWASP Top 10 中定義的常見攻擊,包括SQL注入、XSS跨站、WebShell上傳、後門攻擊、命令注入、非法HTTP協議請求、CSRF、核心檔案非授權訪問、路徑穿越等。
網站隱藏:不對攻擊者暴露網站伺服器位址,避免其繞過WAF直接攻擊。
虛擬補丁與0day防護:在官方安全補丁發布前,通過快速更新防護規則,為高危漏洞(包括 0day 漏洞)提供及時有效虛擬補丁。
友好的觀察模式:針對新上線網站業務啟用觀察模式,對觸發防護規則的疑似攻擊行為僅產生警示而不實施攔截,便於統計誤判情況。
深度檢測技術:
資料格式解析:支援對 HTTP 常見協議資料格式進行全解析,包括任意頭部欄位、Form表單、Multipart、JSON、XML。
解碼常見編碼類別型:支援URL編碼、JavaScript Unicode編碼、HEX編碼、HTML實體編碼、Java序列化編碼、PHP序列化編碼、Base64編碼、UTF-7編碼、UTF-8編碼、混合嵌套編碼。
資料預先處理:通過空格壓縮、注釋刪減、特殊字元處理等機制,為檢測引擎提供更精確的資料來源,降低誤判率。
CC攻擊防護
多維度攻擊識別:
基於單一源 IP 的訪問頻率控制。
通過重新導向跳轉、人機識別等方式驗證訪問者身份。
結合統計響應碼、URL 請求分布、異常 Referer 及 User-Agent 等特徵進行智能識別。
巨量資料威脅情報:充分利用阿里雲巨量資料安全優勢,建立威脅情報與可信訪問分析模型,快速識別惡意流量。
精準存取控制
自訂防護策略:提供友好的控制台介面,支援IP、URL、Referer、User-Agent等HTTP常見欄位的條件組合,配置強大的精準存取控制策略。
情境化防護:支援盜鏈防護、網站後台保護等情境。
多層綜合保護:與Web常見攻擊防護、CC防護等安全模組結合,搭建多層綜合保護機制,輕鬆識別可信與惡意流量。
惡意爬蟲流量防禦
機器流量分析報表:對機器流量進行惡意、疑似、友好分類,通過報表展示流量趨勢及風險用戶端資訊。
全情境防護支援:全情境無死角爬蟲防護,全面支援網頁、H5、原生APP(IOS、Android、鴻蒙)、小程式(微信小程式、支付寶小程式)等用戶端環境整合。
端到端全鏈路防控:全鏈路多維度爬蟲識別手段,覆蓋100+種瀏覽器探針特徵、7000+種用戶端指紋、100萬+惡意爬蟲威脅情報以及6種進階爬蟲識別演算法。
API風險與攻擊檢測
開箱即用:一鍵開啟檢測,基於被動流量檢測,支援對API介面全生命週期的管理,監控敏感性資料流轉,對業務無侵擾。
風險發現:檢測API介面脆弱性,識別未授權敏感性資料泄露、內部介面對外暴露等問題,並提供修複建議。
威脅檢測:基於跨會話雙向流量分析,識別API濫用行為,如介面資料遍曆爬取、暴力破解等,支援聯動WAF進行處置。
AI應用防護
提示詞攻擊檢測:專業防禦針對產生式AI的注入式攻擊,精準識別越獄指令、角色扮演誘導、系統指令篡改等對抗性攻擊行為,構建AI系統防線。
內容合規檢測:支援要求和響應內容的合規性檢測,確保所有互動內容符合安全和法規要求。
即時防護與響應:結合攔截、應答替換及撤回等防護措施,實現對異常行為的即時阻斷和響應內容的自動替換,保障業務安全運行。
營運管理與架構可靠性
簡易的部署與營運
快速部署:5分鐘內部署和啟用,無需安裝任何軟硬體或調整路由配置。
攻擊事件管理:通過安全報表與日誌,對攻擊事件、攻擊流量、攻擊規模進行集中管理統計。
高可靠與Auto Scaling的平台架構
叢集化部署:採用叢集架構,消除單點故障,單台伺服器故障或維護不影響整體服務可用性。
負載平衡:內建多種負載平衡策略,確保流量處理的高效能和高可用性。
Auto Scaling:可根據實際流量情況,縮減或增加叢集伺服器的數量,實現服務能力彈性擴容。
技術實力與經驗沉澱
10年以上網路安全經驗
源自阿里巴巴集團逾十年的網路安全實踐,具備支撐淘寶、天貓、支付寶等高並發、高安全要求情境的技術能力。
由專業安全團隊提供服務,有效防禦OWASP Top 10等已知漏洞,並持續響應新披露的安全性漏洞。
巨量資料智能驅動
日均防禦數億次攻擊,依託全球領先的IP威脅情報庫,積累了覆蓋多行業、多情境的攻擊特徵庫,對主流攻擊模式、行為特徵與攻擊簽名具備深度識別能力。
融合巨量資料分析與機器學習技術,持續迭代攻擊識別模型,提升威脅識別的準確性與覆蓋範圍。
更多產品資訊,請參見Web Application Firewall產品頁面。
如何使用WAF
更多資訊,請參見快速使用WAF 3.0。
應用防護RASP和Web Application Firewall的關係
應用防護RASP(Runtime Application Self-Protection)是一種整合於應用程式內部的安全防護機制,可在應用運行時即時檢測並阻斷攻擊行為,實現自我保護。更多詳情,請參見接入應用防護。
RASP與WAF屬於互補性技術,適用於不同的安全防護情境。RASP更適用於防禦0day漏洞利用、加密流量攻擊等應用程式層威脅;WAF則在處理網路層存取控制、地區封鎖、CC攻擊、爬蟲攻擊等情境中具有優勢。為實現全面防護,建議根據業務需求同時部署RASP與WAF,構建應用內部與邊界協同的雙重安全體系。
合規資質
WAF已通過ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 27701、ISO 29151、BS 10012、CSA STAR、等保三級、SOC 1/2/3、C5、HK金融、OSPAR、PCI DSS等多項國際權威認證。