本文介绍Web应用防火墙(Web Application Firewall,简称WAF)的产品功能和对应的文档动态。

2022年

发布日期功能动态发布说明相关文档
2022-12-22WAF 3.0 中国内地地域支持API安全功能支持自动梳理已接入WAF防护的业务的API资产,检测API风险(例如未授权访问、敏感数据过度暴露、内部接口泄露等),并通过报表还原API异常事件,提供详细的风险处理建议和API生命周期管理参考数据,帮助您实现API安全防护。API安全
2022-11-29WAF 3.0 CNAME接入域名时,支持重试及回源长连接配置通过CNAME接入域名时,支持重试及回源长连接配置。CNAME接入
2022-11-28WAF3.0日志服务支持记录自定义请求头部、请求体、响应头和响应体新增request_bodyrequest_headerresponse_headerresponse_info字段,用于记录自定义请求头部、请求体、响应头和响应体。日志字段说明
2022-11-25WAF 3.0支持日志服务存储容量告警功能当日志存储使用量超过80%时,您会收到短信和邮件,提醒您日志存储空间即将占满,请您及时升级容量,避免因日志存储空间容量占满,导致新的日志数据无法写入专属日志库,造成日志数据不完整。日志设置与日志容量管理
2022-11-24WAF 3.0支持包年包月计费模式支持先付费后使用的付费方式。包年包月计费说明
2022-11-23WAF 3.0支持将四层或七层CLB实例、ECS实例接入WAF支持通过添加引流端口的方式将要防护的四层或七层CLB实例、ECS实例接入WAF防护。
2022-11-17WAF 3.0支持自助降配功能根据业务的变化,您可以对已购买的QPS扩展规格、弹性后付费QPS规格、域名扩展数、日志存储容量自助降配。升级与降配
2022-10-30WAF 3.0 OpenAPI发布针对常见控制台配置操作开放对应API接口,方便用户执行批量化操作。API概览
2022-10-27WAF 3.0弹性后付费和沙箱功能发布当您因大促等场景有短期或突发的业务流量上涨,且实际QPS用量可能超过版本内QPS和扩展QPS之和时,可开启弹性后付费,对超出的QPS用量进行后付费结算,避免实例因QPS超用进入沙箱,影响正常业务。
2022-10-19WAF 3.0监控与告警功能发布您可以通过设置告警,使WAF在网站请求流量中检测到攻击事件、异常流量时向您发送告警通知,帮助您及时掌握业务的安全状态。告警设置
2022-09-23支持配置自定义header获取客户端真实源端口WAF接入配置支持启用“流量标记”,选择“客户端真实源端口”。通过配置真实客户端源端口所在的头部字段名,WAF可记录该头部字段并将该头部字段传递回源站。添加域名
2022-08-24回源超时时间支持自定义配置WAF接入配置支持新建连接、读连接、写连接超时时间自定义,用户可以根据自身业务情况,灵活调整以满足业务需求。添加域名
2022-08-12WAF 2.0透明接入功能发布如果您的源站服务器为ECS服务器或者部署在阿里云公网SLB上,您可以通过透明接入方式,接入WAF。透明接入
2022-07-22WAF 3.0信息泄露防护功能发布信息泄露防护支持网站过滤服务器返回内容(异常页面或关键字)中的敏感信息(包含身份证号、电话号码、银行卡号、敏感词汇),脱敏展示敏感信息或返回默认异常响应页面。设置信息泄露防护规则避免敏感信息泄露
2022-07-22WAF 3.0网页防篡改功能发布网页防篡改支持锁定需要保护的网站页面(例如敏感页面),被锁定的页面在收到请求时,返回已设置的缓存页面,预防源站页面内容被恶意篡改。设置网页防篡改规则避免网页被篡改
2022-07-20WAF 3.0新增包年包月计费模式WAF 3.0支持先付费后使用的付费方式。通过包年包月,您可以提前预留资源,同时享受更低的价格,帮您更大程度节省支出。包年包月计费模式
2022-07-14WAF 3.0资产中心功能发布通过资产中心模块帮助您梳理云上、云下的域名资产,并根据资产在云上的攻击态势,进行风险等级评估,帮助您掌握业务的整体防护状态。资产中心
2022-06-23WAF 3.0 Bot管理功能发布支持网页防爬场景化规则、App防爬场景化规则。通过设置防爬场景化规则,更有针对性地对业务进行爬虫风险防护。
2022-05-30WAF 3.0重保场景防护功能发布提供重保防护规则组、海量IP封禁、协同防御和COOKIE安全相关能力,为客户提供强攻防对抗场景下的高等级防护能力。重保场景防护
2022-04-21WAF 3.0 CC防护功能发布CC防护功能为网站拦截针对页面请求的CC攻击(拦截后返回405拦截提示页面)。设置CC防护规则防御CC攻击
2022-04-21WAF 3.0区域封禁功能发布区域封禁功能通过识别客户端访问请求的来源区域,一键封禁来自特定区域的访问或者允许特定区域的访问,解决部分地区高发的恶意请求问题。设置区域封禁规则封禁特定区域请求
2022-04-18WAF 2.0防爬动态令牌能力发布防爬场景化配置新增动态令牌验证,主要提升人机校验的安全性和兼容性等问题。具体原理为Web端请求加签。客户端发送请求时经过了WAF下发的WebSDK针对请求进行加签保护,并将签名随请求上报。如果加签验签正常,则该请求直接回源,否则会返回一段动态令牌执行代码请求并要求客户端重新加签。配置浏览器访问网页的防爬场景化规则
2022-01-22WAF 3.0全新版本发布WAF 3.0不仅支持2.0版本的CNAME接入,更实现了与应用型负载均衡ALB等云产品的云原生架构集成,支持云产品接入,并重构了控制台的防护配置交互逻辑,为您带来更高的安全运维效率、更流畅的交互体验和更多的新能力。WAF 3.0发布公告
2022-01-19WAF 2.0 Web规则防护引擎支持智能规则托管通过配置规则防护引擎,自动为网站防御SQL注入、XSS跨站、WebShell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的Web攻击。设置规则防护引擎

2021年

发布日期功能动态发布说明相关文档
2021-09-18网站接入支持自定义Header记录客户端IP您在添加网站到WAF防护时,可以通过开启流量标记功能,使WAF在客户端请求的自定义Header字段(由您指定)中写入客户端IP。开启该功能后,您的后端服务器可以从WAF回源请求的指定Header字段中获取客户端IP。

该功能适用于您的后端服务器有定制的记录客户端IP的Header字段。

添加域名
2021-08-13WAF日志服务升级WAF日志服务升级,具体包含以下特性改进:
  • 新增了部分日志字段,且将所有日志字段划分为可选字段、必选字段。如果您新开通WAF日志服务,则默认仅存储必选字段。您可以通过日志设置,修改要存储的可选字段。
  • 支持日志设置,允许您修改存储日志类型(全量日志、拦截日志)、要存储的可选日志字段、日志存储时长。
  • 日志查询支持条件筛选,方便您通过设置搜索条件,直接查询相关日志(设置搜索条件后,自动填写对应的查询语句)。
WAF日志字段

修改日志设置

2021-07-30网站接入支持配置回源SNI网站接入配置(CNAME接入)中新支持启用回源SNI设置。如果您的网站业务支持HTTPS,且源站服务器上有多个虚拟主机,您可以在选中HTTPS协议后,开启回源SNI,使WAF在回源请求中添加SNI字段,指定要访问的主机。添加域名
2021-06-22自定义防护策略的匹配条件支持设置服务器端口企业版及以上版本的WAF实例,在自定义防护策略规则时,可以使用Server-Port作为匹配字段,实现基于请求的目的端口,自定义访问控制或CC安全防护策略。匹配条件字段说明
2021-05-11混合云WAF支持通过控制台自主部署集群及管理节点混合云WAF解决方案新支持以下特性:
  • 在您的本地服务器安装WAF客户端Agent,用于支撑远程集群部署、升级和管理。
  • 在WAF控制台进行本地集群初始化配置、防护组和防护节点部署,以及节点查询、删除等管理操作。

步骤一:安装WAF客户端

部署混合云WAF防护集群
2021-05-08网站接入支持自定义Header取客户端源IP网站接入配置(CNAME接入)中新支持客户端IP判定方式参数。如果您的网站业务在WAF前有其他七层代理服务(例如,DDoS高防、CDN等),则您可以设置取指定Header字段的值作为客户端源IP,且支持设置多个Header字段,依次取源IP。添加域名
2021-04-01网站接入支持设置IPv6格式的服务器IP地址网站接入配置(CNAME接入)中的服务器地址参数支持设置IPv6格式的回源IP地址。该功能适用于对全链路IPv6升级有需求的金融、政企等行业用户。添加域名
2021-03-23Web总览支持威胁事件分析功能WAF总览页面新增威胁事件分析模块,支持基于大量攻击告警的分析生成威胁事件记录,帮助您更清晰直观地了解威胁来源和应对方案。该功能适用于关注Web攻击风险,希望从大量告警中分析出最有价值的威胁事件的场景。总览
2021-03-18Web安全报表支持误报屏蔽Web攻击报表支持误报屏蔽操作,能够自动生成针对特定规则ID的白名单规则,并且您可以在Web入侵防护白名单中手动添加基于特定规则ID、规则类型的白名单规则,提升处理误报的体验。该功能适用于对误报敏感,希望以最细粒度控制误报,同时不影响防护效果的企业业务防护场景。WAF安全报表
2021-01-29防爬场景化配置上线新增防爬场景化配置功能,您可以基于实际业务场景对防爬规则进行定制,从而更有针对性地对业务进行爬虫风险防护。配置浏览器访问网页的防爬场景化规则
2021-01-15网站接入支持自定义TLS版本和加密套件WAF支持为已添加防护的域名自定义TLS协议版本和加密套件,灵活满足不同场景下对HTTPS通信安全合规和兼容性的要求。该功能适用于出于等保合规或者兼容性要求,需要禁用、启用某些特定版本的TLS协议和加密套件的场景。配置自定义TLS

2020年

发布日期功能动态发布说明相关文档
2020-10-21安全报表功能优化安全报表功能更新,支持通过规则ID过滤攻击记录。WAF安全报表
2020-06-04自定义防护规则组体验优化&总览页面功能优化
  • 自定义防护规则组支持系统规则自动更新功能,提升自定义规则组的安全性和可用性。
  • 总览页面支持查看0day高危漏洞防护规则详情和影响范围。
自定义防护规则组

总览

2020-05-18支持Terraform能力面向成熟大企业的运维需求,WAF全面支持Terraform,可以实现用代码管理维护WAF产品的基本操作,包括域名运维和策略管理。
说明 需要控制台手动操作的任务可以通过这个能力用程序来自动化完成,不仅高效而且不易出错。更多信息,请参见Terraform帮助文档
2020-04-10用户体验优化总览数据下钻到安全报表,安全报表数据下钻到日志服务,完善运营数据闭环体验。
  • 总览页面的防护统计数据支持下钻到安全报表,且URL请求次数排名中透出所属域名信息。
  • 安全报表访问控制/限流统计数据支持下钻到日志服务,且支持查看和编辑有命中记录的自定义访问控制规则。
总览

WAF安全报表

2020-04-02Bot管理防护能力上线发布Web应用防火墙新增Bot管理和App防护增值服务,满足自动化攻击、Bot流量智能防护,以及面向原生App端的可信通信、防机器脚本滥刷等安全防护。
说明 Bot管理和App防护模块目前仅向2020年1月发布的新版防护引擎开放。如果您使用旧版防护引擎,建议您尽快完成防护能力升级。
设置Bot管理白名单

概述

2020-03-04智能负载均衡防护能力上线发布智能负载均衡接入防护能力提供多节点、多线路自动容灾能力,打造最优线路的低时延访问体验。智能负载均衡
2020-02-14日志服务升级和体验优化Web应用防火墙日志服务功能升级优化,支持自定义域名快速开启全量日志等功能。
2020-02-10事件告警能力升级Web应用防火墙通过升级告警通知功能,聚焦基础数据和事件生成,支持了安全事件告警、业务监控告警,有效满足用户日常运维诉求。告警设置
2020-01-15应用防护能力升级Web应用防火墙新一代防护引擎满足精细化限流防护需求,有效防护非法流量访问,同时支持账户安全防护,有效防御常见的CC攻击、撞库、弱口令等行为。
说明 防护能力对全部用户生效,控制台配置能力只针对新购用户,历史保有用户在3月份支持升级使用。
设置规则防护引擎

2019年

发布日期功能动态发布说明相关文档
2019-12-20独享版功能优化升级Web应用防火墙独享版支持用户自定义配置域名的超时时长,优化功能体验。设置独享集群
2019-11-28账户安全检测能力发布Web应用防火墙账户安全模块协助用户识别登录相关接口上发生的账户安全风险事件,包括撞库、暴力破解、垃圾注册、弱口令嗅探和短信验证码接口滥刷等。设置账户安全
2019-10-25虚拟化独享版发布Web应用防火墙独享版支持基于业务防护端口、TLS加密版本和算法、拦截响应页面等定制防护能力,满足用户特殊业务的Web防护需求。设置独享集群
2019-10-22已防护网站资产URL画像功能发布Web应用防火墙根据历史正常业务流量,协助用户自动化识别业务URL画像和业务量,方便执行和开通“千人千面”定制防护策略。
2019-10-16总览页面透出防扫描防护能力Web应用防火墙总览页面展示防扫描模块拦截总量、已拦截扫描攻击事件列表、扫描攻击事件详情和对应的安全专家处置建议。总览
2019-08-22主动防御能力发布Web应用防火墙主动防护能力基于大数据智能学习算法,对用户历史业务流量不断迭代学习,建立“千人千面”的自动化防护策略。设置主动防御
2019-07-18安全报表中增加Web攻击详情页面Web应用防火墙安全报表中增加Web攻击详情页面,展示攻击拦截的具体原因,帮助用户提升安全运维效率和效果。WAF安全报表
2019-06-27支持防护基于HTTP2协议的应用Web应用防火墙支持基于HTTP2协议的应用流量防护,完善应用协议覆盖率,更全面地防护Web应用防火墙用户的应用业务。添加域名
2019-06-13防护配置中支持设置Web解码方式Web应用防火墙防护配置中支持用户自定义配置Web解码方式。设置规则防护引擎
2019-05-30ACL规则优化Web应用防火墙访问控制规则中支持添加多个IP或者IP地址段作为条件匹配内容。设置自定义防护策略
2019-05-30产品总览页面升级Web应用防火墙总览页面支持基于海量日志聚合安全运营事件,并提供专家处置建议;提供分类统计攻击总量和TOP域名分布,提升产品的运营能力。总览
2019-03-19防Web攻击扫描功能发布Web应用防火墙提供Web扫描指纹的威胁情报库,支持用户自定义Web扫描的封禁频率和时长,并支持自动拦截目录遍历等常见扫描特征请求。设置扫描防护
2019-01-03区域IP封禁支持自定义全球指定国家、地区Web应用防火墙的区域IP封禁功能支持封禁指定的全球国家/地区。设置IP黑名单

2018年

发布日期功能动态发布说明相关文档
2018-12-20网页防篡改API发布Web应用防火墙网页防篡改API发布,支持用户以API方式调用网页防篡改的常见操作,包括更新缓存、添加网页防篡改防护等。
2018-12-13自定义Web防护规则组发布Web应用防火墙自定义Web防护规则组发布,能够针对自身业务设置特定规则,避免默认规则误触发拦截,保障业务安全。自定义防护规则组
2018-11-16支持长达一年的业务日志存储Web应用防火墙支持通过日志服务SLS的集成功能实时采集已接入Web应用防火墙防护的网站业务日志,并提供日志实时检索与分析服务。概述
2018-10-24支持流量标记功能Web应用防火墙支持流量标记功能,允许用户在请求流量中插入特定头部值,方便标记由WAF转发的流量。添加域名
2018-10-01支持安全事件告警Web应用防火墙支持通过短信或邮件向您推送安全事件和系统告警,您可以自定义需要关注的业务指标,及时发现业务异常情况。告警设置
2018-07-27OpenAPI发布Web应用防火墙针对常见控制台配置操作开放对应API接口,方便用户执行批量化操作。API概览
2018-04-27精准访问控制功能升级发布Web应用防火墙支持使用更多的HTTP头部字段设置ACL规则,过滤访问请求。设置自定义防护策略
2018-03-15支持关闭实例Web应用防火墙支持用户在控制台自主释放产品。关闭WAF

2017年

发布日期产品动态发布说明
2017-12-28新增支持防护的非标端口Web应用防火墙新增非标端口支持,支持更多非标准业务端口的防护。
2017-11-24支持多种负载均衡算法Web应用防火墙支持多种负载均衡算法,用户可以自主选择,应对不同场景的需求。
2017-10-30提供App业务安全解决方案Web应用防火墙提供App业务安全解决方案,解决App防刷、防爬需求。
2017-10-26支持WebsocketWeb应用防火墙支持网站Websocket业务接入。
2017-08-31支持异常响应码监控Web应用防火墙支持监控异常响应码。
2017-08-31支持业务带宽查询Web应用防火墙支持查询业务上下行的带宽使用量。
2017-08-31支持业务QPS查询Web应用防火墙支持实例级别及域名粒度的QPS查询。
2017-08-16支持查看黑洞事件详情Web应用防火墙支持查看黑洞发生时的攻击阈值、事件等信息。
2017-07-27域名独享IP功能发布Web应用防火墙支持设置域名独享IP。用户可以通过购买域名独享资源包实现域名的IP资源隔离。
2017-07-25精准访问控制功能优化Web应用防火墙精准访问控制规则中支持放行数据风控及区域封禁功能的策略。
2017-07-25人机识别算法功能优化Web应用防火墙优化了CC自定义规则中的人机识别算法,提升CC攻击的拦截率。
2017-07-25规则支持更多逻辑符配置Web应用防火墙的精准访问控制规则新增支持“该字段不存在”、“值长度范围”等逻辑配置。
2017-07-25支持更多HTTP字段检测Web应用防火墙在精准访问控制中支持对更多HTTP字段的规则配置。
2017-06-07支持回源到域名Web应用防火墙网站配置中支持填写域名格式的回源地址。
2017-05-25防敏感信息泄露功能发布Web应用防火墙配合网络安全法相关规定,推出敏感数据防护方案。
2017-04-12支持网站一键HTTPSWeb应用防火墙支持网站一键HTTPS化,无需用户更改服务器配置。
2017-04-12多版本支持非标准端口防护非标准的部分端口业务在Web应用防火墙的多个版本中得到支持,可以实现安全防护。
2017-03-28大数据威胁情报功能发布Web应用防火墙大数据威胁情报功能提供安全体检分评估、高危风险预警、黑客真人攻击详情查看等服务。
2017-03-08接入体验优化Web应用防火墙域名添加中支持一键解析DNS。
2017-02-09网页防篡改功能发布Web应用防火墙具备网页防篡改能力,避免网页的恶意篡改。
2017-01-05支持虚拟主机接入Web应用防火墙支持接入万网虚拟主机进行网站防护。

2016年

发布日期产品动态发布说明
2016-12-21V3.1版本重磅发布Web应用防火墙V3.1版本发布,重点提升引擎核心防护能力,新增地理区域IP封禁、CC规则自定义配置等功能。
2016-12-01智能语义分析引擎上线Web应用防火墙防护引擎新增智能语义分析功能,相比较现有的基于正则的规则,在误漏报率上有显著提升。