本文介紹Web 應用防火墻 WAF(Web Application Firewall)的產品功能和對應的文檔動態。
更多關于Web應用防火墻的產品動態信息,請參見產品動態。
2024年
發布日期 | 功能動態 | 發布說明 | 相關文檔 |
2024-11-07 | WAF 3.0新版基礎防護規則 | 支持通過設置引擎配置和規則庫管理更簡便地對Web業務進行防護。 | |
2024-11-06 | WAF 3.0洪峰限流功能 | 支持配置自定義規則與QPS限流方式與百分比限流方式等,對Web業務進行防護。 | |
2024-09-13 | WAF 3.0支持將云原生API網關實例接入WAF | 支持通過內嵌在網關中的SDK提取流量并進行檢測和防護。 | |
2024-05-31 | 非標端口更新 | 擴展CNAME接入能力,支持IPv4全量非標端口轉發能力。 | |
2024-03-27 | 企業級客戶多賬號統一管理 | 只需要購買一套WAF實例,即可接入其他阿里云賬號下的云產品資源進行統一防護。 | |
2024-01-16 | 封禁查詢 | 在封禁查詢頁面,通過請求ID查詢攔截詳情 | |
2024-01-15 | 混合云日志外發配置升級 | 混合云日志支持Kafka外發,可針對不同集群設置不同的Kafka和syslog日志外發配置。 |
2023年
發布日期 | 功能動態 | 發布說明 | 相關文檔 |
2023-10-12 | WAF 3.0非中國內地支持API安全 | 非中國內地地域支持API安全功能。 | |
2023-09-21 | WAF 3.0 API安全支持合規審核和溯源審計 | WAF 3.0 API支持對出境數據進行審查和溯源。 | |
2023-08-28 | WAF 3.0支持Cookie屬性設置 | WAF 3.0支持為防護對象增加Cookie屬性設置。 | |
2023-08-20 | WAF 3.0支持開啟IPv6接入 | WAF 3.0支持開啟IPv6,將IPv6業務流量接入WAF進行防護。 | |
2023-08-10 | VIP級別的TLS自定義和默認證書配置功能發布 | WAF支持為IPv4版本的VIP自定義SSL證書或TLS策略。 | |
2023-08-01 | 回源標記、規則灰度、機器流量分析功能發布 |
| |
2023-07-14 | 域名DNS狀態檢測功能發布 | WAF 3.0會對接入的域名進行DNS狀態檢查,快速識別DNS解析異常的風險域名,避免網站業務受到影響。 | |
2023-06-21 | 域名歸屬權驗證功能發布 | 首次添加域名時,需要驗證操作者是否擁有主域名的歸屬權。驗證通過后,您再次添加該主域名下的任意域名時,無需再次驗證。 | |
2023-06-10 | WAF 3.0支持國密HTTPS加密 | 選擇HTTPS協議時,支持開啟國密HTTPS、僅支持國密客戶端訪問功能。 | |
2023-05-30 | API安全功能更新 | 支持自定義敏感數據類型策略。 | |
2023-05-22 | 基礎防護規則新增語義防護功能 | 新增語義防護功能,可防御SQL注入攻擊。在此基礎上,提供針對非注入型攻擊的檢測開關。 | |
2023-05-18 | 降配功能更新 |
| |
2023-04-28 | 云產品接入(CLB、ECS)支持添加域名級防護對象 | 支持將CLB實例或ECS實例中的域名,手動添加為防護對象。 | |
2023-04-14 | 流量計費保護功能發布 | 啟用流量計費保護后,如果按量付費實例一小時內的峰值QPS流量超過設置的流量計費保護閾值,實例進入沙箱,且該小時流量費和功能費為0,從而避免因QPS暴漲而產生超高賬單。 | |
2023-03-31 | 自助升級工具發布 | WAF支持通過控制臺升級工具,自助將WAF 2.0實例升級到WAF 3.0。 | |
2023-03-03 | API安全功能更新 |
| |
2023-02-24 | 包年包月基礎版、高級版、企業版、旗艦版支持的重保場景防護、混合云防護節點規格變更 |
| |
2023-02-08 | 智能白名單、誤報屏蔽、寬松與嚴格規則組功能發布 |
| |
2023-02-08 | WAF 3.0支持函數計算一鍵接入WAF | WAF通過SDK模塊化的方式與函數計算原生架構集成,支持為函數計算上的Web應用綁定的自定義域名開啟安全防護,通過識別應用或者應用中函數的業務流量惡意特征,將正常和安全的流量回源至后端函數,避免函數被惡意侵入。 | |
2023-01-31 | WAF 3.0包年包月實例支持自助退訂 | 支持通過控制臺自助退訂WAF 3.0包年包月實例。 | |
2023-01-19 | WAF 3.0支持資源組和標簽管理 | 對接阿里云資源管理服務,新增資源組和標簽對賬號下的資源做分組和權限隔離。 | |
2023-01-17 | Bot管理功能更新 |
|
2022年
發布日期 | 功能動態 | 發布說明 | 相關文檔 |
2022-11-29 | WAF 3.0 CNAME接入域名時,支持重試及回源長連接配置 | 通過CNAME接入域名時,支持重試及回源長連接配置。 | |
2022-11-28 | WAF 3.0日志服務支持記錄自定義請求頭部、請求體、響應頭和響應體 | 新增request_body、request_header、response_header和response_info字段,用于記錄自定義請求頭部、請求體、響應頭和響應體。 | |
2022-11-25 | WAF 3.0支持日志服務存儲容量告警功能 | 當日志存儲使用量超過80%時,您會收到短信和郵件,提醒您日志存儲空間即將占滿,請您及時升級容量,避免因日志存儲空間容量占滿,導致新的日志數據無法寫入專屬日志庫,造成日志數據不完整。 | |
2022-11-23 | WAF 3.0支持將四層或七層CLB實例、ECS實例接入WAF | 支持通過添加引流端口的方式將要防護的四層或七層CLB實例、ECS實例接入WAF防護。 | |
2022-11-17 | WAF 3.0支持自助降配功能 | 根據業務的變化,您可以對已購買的QPS擴展規格、彈性后付費QPS規格、域名擴展數、日志存儲容量自助降配。 | |
2022-11-14 | WAF 3.0 API安全功能發布 | 支持自動梳理已接入WAF防護的業務的API資產,檢測API風險(例如未授權訪問、敏感數據過度暴露、內部接口泄露等),并通過報表還原API異常事件,提供詳細的風險處理建議和API生命周期管理參考數據,幫助您實現API安全防護。 | |
2022-10-30 | WAF 3.0 OpenAPI發布 | 針對常見控制臺配置操作開放對應的API接口,方便用戶執行批量化操作。 | |
2022-10-27 | WAF 3.0彈性后付費和沙箱功能發布 | 當您因大促等場景有短期或突發的業務流量上漲,且實際QPS用量可能超過版本內QPS和擴展QPS之和時,可開啟彈性后付費,對超出的QPS用量進行后付費結算,避免實例因QPS超用進入沙箱,影響正常業務。 | |
2022-10-19 | WAF 3.0監控與告警功能發布 | 您可以通過設置告警,使WAF在網站請求流量中檢測到攻擊事件、異常流量時向您發送告警通知,幫助您及時掌握業務的安全狀態。 | |
2022-09-23 | WAF 3.0支持配置自定義header獲取客戶端真實源端口 | WAF 3.0接入配置支持啟用“流量標記”,選擇“客戶端真實源端口”。通過配置真實客戶端源端口所在的頭部字段名,WAF 3.0可記錄該頭部字段并將該頭部字段傳遞回源站。 | |
2022-08-24 | WAF 3.0支持回源超時時間支持自定義配置 | WAF 3.0接入配置支持新建連接、讀連接、寫連接超時時間自定義,用戶可以根據自身業務情況,靈活調整以滿足業務需求。 | |
2022-08-12 | WAF 3.0 MSE接入功能發布 | 如果您的Web業務啟用了阿里云微服務引擎MSE(Microservices Engine)服務,您可以通過MSE接入WAF,將Web業務流量引流到WAF 3.0進行安全防護。 | |
2022-07-22 | WAF 3.0信息泄露防護功能發布 | 信息泄露防護支持網站過濾服務器返回內容(異常頁面或關鍵字)中的敏感信息(包含身份證號、電話號碼、銀行卡號、敏感詞匯),脫敏展示敏感信息或返回默認異常響應頁面。 | |
2022-07-22 | WAF 3.0網頁防篡改功能發布 | 網頁防篡改支持鎖定需要保護的網站頁面(例如敏感頁面),被鎖定的頁面在收到請求時,返回已設置的緩存頁面,預防源站頁面內容被惡意篡改。 | |
2022-07-20 | WAF 3.0新增包年包月計費模式 | WAF 3.0支持先付費后使用的付費方式。通過包年包月,您可以提前預留資源,同時享受更低的價格,幫您更大程度節省支出。 | |
2022-07-14 | WAF 3.0資產中心功能發布 | 通過資產中心模塊幫助您梳理云上、云下的域名資產,并根據資產在云上的攻擊態勢,進行風險等級評估,幫助您掌握業務的整體防護狀態。 | |
2022-06-23 | WAF 3.0 Bot管理功能發布 | 支持網頁防爬場景化規則、App防爬場景化規則。通過設置防爬場景化規則,更有針對性地對業務進行爬蟲風險防護。 | |
2022-05-30 | WAF 3.0重保場景防護功能發布 | 提供重保防護規則組、海量IP封禁、協同防御和COOKIE安全相關能力,為客戶提供強攻防對抗場景下的高等級防護能力。 | |
2022-04-21 | WAF 3.0 CC防護功能發布 | CC防護功能為網站攔截針對頁面請求的CC攻擊(攔截后返回405攔截提示頁面)。 | |
2022-04-21 | WAF 3.0區域封禁功能發布 | 區域封禁功能通過識別客戶端訪問請求的來源區域,一鍵封禁來自特定區域的訪問或者允許特定區域的訪問,解決部分地區高發的惡意請求問題。 | |
2022-01-22 | WAF 3.0全新版本發布 | WAF 3.0不僅支持2.0版本的CNAME接入,更實現了與應用型負載均衡ALB等云產品的云原生架構集成,支持云產品接入,并重構了控制臺的防護配置交互邏輯,為您帶來更高的安全運維效率、更流暢的交互體驗和更多的新能力。 |