Web应用防火墙

通过防御SQL注入、XSS跨站脚本、恶意Bot访问等常见Web攻击,缓解HTTP Flood攻击,保障网站的安全与可用性

阿里云Web应用防火墙是一款针对Web应用进行防护的安全产品。它基于云架构实现,提供针对Web服务器发起的SQL注入、XSS、命令执行漏洞等攻击的防护手段;同时也能缓解HTTP/HTTPS的Flood攻击对服务器造成的性能压力。

使用阿里云Web应用防火墙,您可以避免您的网站被恶意攻击者Web入侵获取核心数据信息、防范海量恶意Bot的访问,保障网站的安全与可用性。

优点

稳定快速
国内BGP多线路节点容灾,智能最优路径,毫秒级响应
专业安全
专业安全团队运营、最新0DAY漏洞24小时内防护;多维防护配置,保障CC防护效果
贴近业务
特有业务风控防护: 防爬、防刷、拒绝黄牛党
报表丰富
提供详细的数据报表,快速全面了解网站当前安全状况

产品详情

  • Web应用攻击防护

    通用Web攻击防护、0day漏洞虚拟补丁、网站隐身


    防护OWASP常见威胁

    内置多种防护策略,可选择进行SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等安全防护


    0day漏洞快速防护

    针对高危Web 0day漏洞,专业安全团队24小时内提供虚拟补丁,自动防御保障服务器安全


    网站隐身

    通过域名DNS牵引流量,不对攻击者暴露服务器地址、避免绕过Web应用防火墙直接攻击

  • 缓解恶意CC攻击

    过滤恶意的Bot流量,保障服务器性能正常


    低误杀的防护算法

    不再是对访问频率过快的IP直接粗暴封禁,而是综合URL请求、响应码等分布特征判断异常行为


    恶意特征攻击100%拦截

    针对请求中的常见头部字段,如IP、URL、User-Agent、Referer、参数中出现的恶意特征配置访问控制


    专属业务的定制规则

    企业版可设置针对某具体URL业务的正常访问频率规则


    强大的威胁情报

    可定制化提供对海量恶意IP黑名单、恶意爬虫库的封禁能力

  • 业务安全保障

    提供业务风控方案,解决接口防刷、防爬等业务安全风险


    自动化快速接入

    无需修改服务器源码,调用API接口等复杂操作,一键配置,自动防护


    良好用户体验

    针对正常的浏览器或者APP访问,无需访问者任何额外操作;针对疑似机器人访问行为,浮层滑块验证


    精准拦截

    强大的设备指纹、人机识别能力保障业务运营活动正常开展

  • HTTPS优化

    网站一键HTTPS、HTTP回源降低源站负载压力


    支持网站一键HTTPS

    源站如果为HTTP网站,上传证书私钥后,可一键改造为HTTPS,无需服务器改造


    支持HTTP回源

    支持HTTPS业务流量以HTTP回源,降低源站的负载消耗,优化业务性能

  • HTTP/HTTPS 访问控制

    多维度进行流量的精准控制


    IP访问控制

    支持对指定IP或网段,以及恶意IP的封禁或者加白


    URL访问控制

    支持对指定URL地址的禁止访问或加白


    恶意CC变种攻击

    支持如wordpress pingback等常见CC变种型攻击防护


    恶意爬虫防护

    封禁libcurl,python脚本等构造的恶意访问


    管理后台保护

    可设置对某些特定URL地址(如管理员登录后台)指定只允许某些IP访问


    盗链防护

    避免网站资源被其他网站恶意链接、使用


    不存在链接的恶意访问

    拦截黑客针对不存在的URL地址发起的大量恶意访问


    基于地理区域的封禁

    企业版提供针对指定地区的IP访问封禁

  • 日志管理

    支持全量访问日志检索、一键查询


    全量访问日志

    提供全量日志智能检索,一键搜索异常请求及安全攻击拦截、了解当前网站业务状况

领军客户实战场景

  • 防爬、防刷
  • 防CC攻击
  • 防数据泄露
  • 防网页篡改、木马后门
  • 0 Day漏洞修复
防爬、防刷

防爬、防刷

防爬、防刷、拦截恶意Bot

网站短信注册接口费用大量增长,业务数据、登陆接口被人恶意爬取获取用户数据。

能够解决

  • 恶意爬虫

    核心文本、商品价格等被爬取。

  • 短信接口被刷

    短信业务被轰炸,流量费蹭蹭上涨。

  • 恶意Bot

    网站平台服务不可用、用户体验降低。

防CC攻击

防CC攻击

防御海量CC攻击

网站被竞争对手攻击或者是黑客敲诈勒索,发起大量的恶意CC请求,长时间占用消耗服务器的核心资源,造成服务器性能瓶颈,如CPU、内存、带宽,导致网站业务响应缓慢或是无法正常提供服务。

能够解决

  • 肉鸡CC攻击

    黑客使用CC攻击软件,控制大量肉鸡,发动攻击。

  • 代理CC攻击

    黑客借助代理服务器伪造合法网页请求。

推荐搭配使用

防数据泄露

防数据泄露

防止核心数据泄露

黑客对网站进行扫描,发现页面存在注入风险,通过手工构造SQL注入语句,渗透入侵您的数据库,获取网站相关核心数据。

能够解决

  • SQL注入

    构造恶意请求提交、获取到网站核心数据和用户隐私数据。

  • 未授权扫描

    黑客通过安全扫描工具、研究网站业务接口,挖漏洞。

推荐搭配使用

防网页篡改、木马后门

防网页篡改、木马后门

防网页篡改、木马后门

黑客对网站进行渗透注入,获取管理员权限留下木马后门,在网站页面中留下暗链或者篡改网站页面内容,损害企业品牌形象、造成经济损失。

能够解决

  • 木马植入

    黑客通过扫描漏洞植入木马。

  • 页面被篡改

    黑客恶意篡改页面,植入黄赌毒广告;发表反动言论。

推荐搭配使用

0 Day漏洞修复

0 Day漏洞修复

虚拟补丁修复漏洞

被公共平台曝光网站的Web安全漏洞后,无法快速修复代码上线,需要虚拟补丁第一时间防护住漏洞攻击。

能够解决

  • 代码改造难度大

    无需代码改造&服务器打补丁,由WAF云端更新规则。

  • 高危风险周期长

    将高危风险周期由原来的一周缩短至一天左右。