Web應用防火墻(Web Application Firewall,簡稱WAF)對網站或者App的業務流量進行惡意特征識別及防護,在對流量進行清洗和過濾后,將正常、安全的流量返回給服務器,避免網站服務器被惡意入侵導致性能異常等問題,從而保障網站的業務安全和數據安全。
功能介紹
功能類別 | 功能說明 | |
業務配置 | 支持對網站的HTTP、HTTPS流量進行安全防護。 | |
Web應用安全防護 | 常見Web應用攻擊防護 |
|
深度精確防護 |
| |
CC惡意攻擊防護 |
| |
精準訪問控制 |
| |
虛擬補丁 | 在Web應用漏洞補丁發布和修復之前,通過調整Web防護策略實現快速防護。 | |
攻擊事件管理 | 支持對攻擊事件、攻擊流量、攻擊規模的集中管理統計。 | |
靈活性、可靠性 |
|
更多產品信息,請參見Web應用防火墻產品頁面。
產品優勢
產品優勢 | 優勢說明 |
10年以上網絡安全經驗 |
|
防御CC攻擊和爬蟲攻擊 |
|
集成大數據能力 |
|
簡易性、可靠性 |
|
應用場景
適用于阿里云以及阿里云外所有用戶,主要用于金融、電商、O2O、互聯網+、游戲、政府、保險等行業各類網站的Web應用安全防護。
僅支持通過域名或實例方式接入WAF,不支持使用IP直接接入。
如何使用WAF
更多信息,請參見快速使用WAF 3.0。
應用防護RASP和Web應用防火墻的關系
應用防護RASP(Runtime Application Self-Protection)是一種運行在應用程序內部的安全保護機制,它能夠在應用運行時檢測攻擊并進行自我保護。更多詳情,請參見接入應用防護。
RASP和Web應用防火墻并不是相互取代的技術,而是在不同業務和安全防護場景下各有所長。例如,RASP更適合應對未知漏洞(0day漏洞)利用和加密流量等場景,而網絡訪問控制、區域封禁、CC攻擊、爬蟲攻擊等威脅防護則需要WAF的有效補充。因此,對于應用防護來說,您需要根據業務環境和要求接入RASP以及Web應用防火墻,協同構建應用內生與邊界雙重防護能力,通過設置多層重疊的安全防護系統來構建多道防線,從而降低應用被入侵、數據泄露和服務不可用等風險。
合規資質
WAF已通過ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 27701、ISO 29151、BS 10012、CSA STAR、等保三級、SOC 1/2/3、C5、HK金融、OSPAR、PCI DSS等多項國際權威認證。
WAF作為標準的阿里云云產品,在云平臺層面具備與阿里云同等水平的安全合規資質。詳細內容,請參見阿里云信任中心。