Web应用防火墙(WAF)

基于阿里云安全的智能计算能力保护您的网站和Web服务器。

卓越的全球云 WAF 服务提供商

阿里云 WAF 服务位于网络的入口或出口位置,融智能保护引擎、专家防护规则、主动防御和检测引擎以及云威胁情报功能于一体,可实时确定 Web 攻击和恶意 Web 请求。

WAF 还根据预定义的保护策略提供实时防御功能,确保网站和应用程序安全可用。 除了托管在阿里云上的 Web 服务器之外,WAF 还可以保护托管在您自己基础设施上的网站。

了解更多 >

Web应用防火墙优势

专业、稳定,一站式解决web应用核心安全痛点

专业:具备独家自研规则+AI深度学习+主动防御的多重防护规则,且支持灵活自定义规则
稳定:多线路节点容灾,智能最优路径,毫秒级响应,最高可支持百万QPS业务接入防护
及时:最新web漏洞(含阿里云独家0 day)小时级自动防御
全面:漏洞、web攻击、机器流量、数据及账户安全等一站式防护,且满足安全运维需求
合规:满足等保合规、PCI-DSS等要求,助力企业安全合规建设
独家威胁情报:拥有阿里巴巴真实业务场景所积累并不断更新的独家全网威胁情报

唯一获得Web应用防火墙大满贯的中国厂商

国际权威机构认可上榜 Gartner、Forrester、IDC、Frost&Sullivan 等机构报告
市场认可:据全球权威分析机构Frost&Sullivan报告,阿里云在大中华区云WAF市场排名第一
深厚积累:多年护航天猫、淘宝双十一、保护阿里核心业务,积累大量攻防数据与实战经验

支持多场景部署及灵活的接入方式

多场景适用:提供公共云模式及软件化部署两种模式,满足公共云(包括第三方云平台)、混合云、IDC、线下机房等不同场景需求,流量无需上云也能享有与云上同等的防护能力
灵活的接入方式:支持SLB/CDN/ECS等阿里云产品一键接入和非云上业务的DNS快速接入

Web应用防火墙功能

Web入侵防护

自动防护漏洞

最新web漏洞(含阿里云独家0day漏洞)小时级自动防御,无需人工打补丁

多重动态防御

独家自研规则+AI深度学习+主动防御,搭配不断更新的独家全网威胁情报,扫除防御死角

防扫描及探测

根据扫描及探测的特征和行为,配合全网威胁情报、深度学习算法进行自动拦截,避免黑客发现可利用的系统弱点

防护规则可自定义

可根据业务实际需求,灵活自定义防护规则

流量管理和爬虫防控

灵活的流量管理功能

支持对全量HTTP header和body特征进行自定义组合,从而实现满足业务个性化需求的访问控制和限速要求

CC攻击防护

基于不同等级的默认防护策略及灵活的精准访问控制和限速策略,配合人机识别、封禁等处置手段有效缓解CC攻击(HTTP Flood)

精准识别爬虫

基于指纹、行为、特征、情报等多维度数据,配合AI智能,精准识别爬虫并自动应对爬虫变异

全场景防控

适用于网站、H5、APP、小程序等各类型Web业务的爬虫风险防控,帮助企业防控业务作弊、薅羊毛等业务风险

丰富的爬虫处置手段

可根据实际业务场景需求,对流量进行包括拦截、人机识别、限流、欺骗等处置手段

场景化配置

场景化配置引导,帮助0经验快速上手阿里最佳实践

数据安全防控

保护API安全

主动发现存在老旧、缺乏鉴权、数据过度暴露、敏感信息泄露等风险的API接口

防敏感信息泄露

检测并防护证件、银行卡、手机号、敏感词等敏感信息泄露

防页面篡改

通过锁定重点页面的内容,保证即使页面被篡改,也能通过返回缓存的方式保证用户看到的页面内容不变

检测账户风险

自动识别撞库、暴力破解、弱口令等常见账号风险

安全运维与合规

安全接入

一键实现HTTPS、全链路IPv6、智能负载均衡、云上云下高可用和快速容灾

全量访问日志

记录和存储全量Web访问日志,支持实时SQL查询分析和自定义告警

自动化资产识别

基于云上大数据,全面发现未接入防护的域名资产,收敛攻击面

混合云部署

支持流量不上云的本地防护

满足等保合规

满足各行业等保合规需求

WAF系列产品

Web应用防火墙服务地区目前已开服中国大陆、中国香港、新加坡、马来西亚、美西、澳洲、德国、印度、印尼、迪拜、日本。

Web应用防火墙(云WAF)

适用于业务部署在阿里云上或愿意将流量转发到阿里云上的中小型web应用防护

高级版

  • 阿里云非阿里云均适用,对业务无特殊的安全需求
  • 业务并发请求峰值:2,000 QPS
  • 业务带宽阈值
    源站部署在阿里云上:50 Mbps
    源站未部署在阿里云上:10Mbps

立即购买

Web应用防火墙(云WAF)

适用于业务部署在阿里云上或愿意将流量转发到阿里云上的中型网站等Web应用防护

商业版

  • 阿里云非阿里云均适用,关注数据安全且具有高标准的安全需求
  • 业务并发请求峰值:5,000 QPS
  • 业务带宽阈值
    源站部署在阿里云上:100 Mbps
    源站未部署在阿里云上:30Mbps

立即购买

Web应用防火墙(混合云版)

适用于不能将流量转发到阿里云上,需要通过软件形式进行本地化防护部署的场景

混合云独享版

  • 流量不上阿里云也能获得与云WAF同等防护能力
  • 在线弹性缩扩容、灵活稳定性好



立即购买

WAF应用场景

Web应用上云必备安全能力

提供web应用0 day 漏洞自动防护,无需人工打补丁和修复,且能帮助你有效降低网站、H5、APP、小程序等web应用被黑客及病毒入侵,减少挂马、网页篡改、爬虫、数据泄露、CC攻击等风险。

能解决的问题

  • 全面防护SQL注入、XSS、Webshell上传、目录遍历、后门隔离等各类常见Web攻击

    防护黑客使用CC攻击软件,控制肉鸡对应用发起CC攻击

    0Day漏洞通过虚拟补丁快速自动修复,解决代码改造难度大,周期长等问题

    主动梳理和发现废弃/过时、缺乏权限和速率控制的数据接口和资产,降低数据泄露风险

    自动拦截扫描及探测

推荐搭配使用

防业务作弊,防薅羊毛

业务运营活动大流量带来的系统可用性,折扣优惠等带来的“薅羊毛”等问题屡见不鲜,会严重影响运营效果、甚至出现负面影响。阿里云基于阿里巴巴集团多年的业务运营经验,为您提供完整的业务运营风险防护方案。

能解决的问题

  • 保障业务运维活动系统稳定运行,避免机器流量带来的网站卡顿甚至宕机等问题

    防“薅羊毛”,防业务作弊,让运营策略作用于真实客户

    缓解爬虫造成的数据被爬,带宽费用过高等问题

Web应用防火墙混合云解决方案

通过将云WAF防护集群部署客户的本地环境,支持公有云、专有云、线下IDC、机房等多种环境下Web业务防护,且通过阿里云WAF控制台支持云上、云外统一管控和运维。

能解决的问题

  • 对时延敏感、高可靠性要求高,需要跨多网络环境多活容灾的业务的统一防护

    业务自身特殊性原因,存在无法上阿里云WAF防护的Web业务防护

    云上或者云下,私网Web业务防护

推荐搭配使用

产品更新

      更多最新信息 >

      阿里云WAF客户案例

      “中国数字战略的大部分环境都是由阿里云构建和运营的。在这样的场景下,资生堂利用阿里云提供的广泛服务来满足新的市场环境的要求。除此之外,对于近年来备受关注的安全问题,在阿里云提供的服务帮助下,我们也达到了安全标准。”

      Keisuke Fujii ICT Vice President, SHISEIDO China

      可靠高性能的弹性计算服务,安全防护产品WAF,适应了新的市场环境的要求,也在阿里云的帮助下达到了安全标准

      “我们希望阿里云继续为我们提供支持,帮助我们解决问题。”

      Strikingly 是一个用于搭建网站的在线平台,该平台符合 Y Combinator 种子企业加速计划的要求。 即使用户的开发经验不多,甚至没有开发经验,利用 Strikingly 亦可在数分钟内创建针对移动端优化的网站。 公司采用移动优先的方法,让用户创建功能得到增强的网站,可以查看包括台式机、平板电脑和智能手机在内的所有设备。

      “在与阿里云合作的过程中,我们发现非常重要的一点就是他们极为透明,这能够让我们建立起良好的信任关系。”

      DataVisor 是一款领先的风险识别解决方案,利用无监督机器学习来确定欺诈交易、垃圾邮件和滥用情况、身份盗窃、应用程序欺诈、内部滥用、洗钱等行为。

      “迪拜乐园及度假村是中东最大的综合式休闲和主题公园,位于迪拜。 他们使用阿里云来应对季节性的流量。”

      迪拜乐园及度假村是中东最大的综合式休闲和主题公园,位于迪拜。 公园占地超过 2500 万平方英尺,有 100 多个游乐设施和景点,包括三个主题公园: MOTIONGATE™ Dubai(迪拜电影之门)、Bollywood Parks™ Dubai(迪拜宝莱坞主题公园)、LEGOLAND Dubai(迪拜乐高乐园)以及一个水上公园: LEGOLAND Water Park(乐高水上乐园)。

      云上的端到端企业安全

      满足您的新应用或迁移应用的安全、数据安全和平台安全等需求,轻松审核和掌控持续的安全态势

      了解更多