功能集

功能

功能描述

參考文檔

資產中心

資產中心

Web應用防火墻（Web Application Firewall，簡稱WAF）的資產中心功能幫助您梳理阿里云云上、云下的域名資產，并根據資產在云上的攻擊態勢，進行風險等級評估，幫助您掌握業務的整體防護狀態。

功能集

功能

功能描述

參考文檔

混合云接入

反向代理

反向代理接入模式需要將網站域名或IP接入WAF，并將DNS解析指向WAF的防護集群地址。混合云WAF集群對所有代理的訪問請求進行安全檢測。

SDK集成模式

SDK集成模式需要在統一接入網關上部署SDK插件，SDK插件將網關的業務流量復制一份到WAF防護集群。該模式下，混合云WAF防護集群不參與流量轉發，實現業務轉發與檢測分離。

云產品接入

ALB接入

如果您的Web業務啟用了阿里云應用型負載均衡（Application Load Balancer，簡稱ALB），您可以為ALB實例開啟Web應用防火墻（Web Application Firewall，簡稱WAF）防護，將Web業務流量引流到WAF進行安全防護。

CLB接入

如果您已創建阿里云傳統型負載均衡（Classic Load Balancer，簡稱CLB）實例，且已為端口添加HTTP或HTTPS監聽或TCP監聽，您可以添加該端口到Web應用防火墻（Web Application Firewall，簡稱WAF），將Web業務引流到WAF防護。

• 將七層CLB（HTTP/HTTPS）實例接入WAF
• 將四層CLB（TCP）實例接入WAF

ECS接入

如果您已創建云服務器ECS（Elastic Compute Service）實例，您可以添加實例的引流端口到Web應用防火墻（Web Application Firewall，簡稱WAF），將Web業務引流到WAF防護。

MSE接入

如果您的Web業務啟用了阿里云微服務引擎（Microservices Engine，簡稱MSE）服務，您可以為MSE實例開啟Web應用防火墻（Web Application Firewall，簡稱WAF）防護，將Web業務流量引流到WAF 3.0進行安全防護。

FC接入

如果您將為或者已為阿里云函數計算（Function Compute，簡稱FC）上的Web應用綁定自定義域名，并通過自定義域名訪問該應用時，您可以在函數計算控制臺，為該自定義域名開啟Web應用防火墻（Web Application Firewall，簡稱WAF）功能，將Web應用業務流量引流到WAF進行安全防護。

SAE接入

如果應用托管在Serverless 應用引擎 SAE（Serverless App Engine） 2.0上，您可以為應用綁定的自定義域名開啟Web應用防火墻（Web Application Firewall，簡稱WAF）功能，將Web業務流量引流到WAF進行安全防護。

NLB接入

如果您已創建網絡型負載均衡NLB（Network Load Balancer ，簡稱NLB）實例，且已為端口添加TCP監聽，您可以將實例的引流端口添加到Web應用防火墻（Web Application Firewall，簡稱WAF），將Web業務引流到WAF防護。

CNAME接入

CNAME接入

開通Web 應用防火墻 WAF（Web Application Firewall）后，如何通過CNAME接入方式, 將網站域名添加到Web應用防火墻WAF中進行安全防護。

功能集

功能

功能描述

參考文檔

防護對象

防護對象

防護對象是接入WAF防護的域名或云產品實例，是防護規則的最小生效單元。您可以將防護對象關聯到防護模板，實現Web應用防火墻（Web Application Firewall，簡稱WAF）防護

防護對象組

防護對象組是防護對象的合集，也是防護規則的生效單元。您可以將多個防護對象加入到一個防護對象組，通過為防護對象組配置防護規則，實現為組內所有防護對象批量配置防護規則。

基礎Web防護

基礎規則引擎防護

基于模式匹配的防護方法，依賴于預定義的規則（即規則組）來識別已知的攻擊模式，可防御常見Web應用攻擊。

語義引擎防護

更智能的防護方法，通過分析請求的內容和上下文來理解語義與語法結構，能夠更好地識別未知的攻擊形式，可防御SQL注入攻擊。

協議合規引擎防護

由于每種語言處理HTTP請求數據格式要求的松散程度不同，從而衍生出多種繞過WAF防御的方式，比較典型的是文件上傳場景，協議合規主要是從協議層面判斷數據格式是否符合標準，是防御文件上傳等類型變種攻擊的利器。

智能運維

根據歷史業務流量進行AI學習，發現URL粒度不適用的規則，并自動添加白名單，有效降低誤攔截風險。

自定義規則組

WAF按照防護嚴格程度，內置了三套默認規則組：中等規則組：默認選用該規則組。寬松規則組：如需減少誤攔截，可選用該規則組。嚴格規則組：如需提高攻擊檢測命中率，可選用該規則組。您也可以根據業務需要，配置自定義規則組。

IP黑名單

IP黑名單

接入Web應用防火墻（Web Application Firewall，簡稱WAF）后，您可以通過設置IP黑名單規則，攔截來自特定IP地址或地址段的請求。

區域封禁

區域封禁

接入Web應用防火墻（Web Application Firewall，簡稱WAF）后，您可以設置區域封禁規則，通過識別客戶端訪問請求的來源區域，一鍵封禁來自特定區域的訪問或者允許特定區域的訪問，解決部分地區高發的惡意請求問題。

自定義響應

自定義響應

接入Web應用防火墻（Web Application Firewall，簡稱WAF）后，您可以設置自定義響應規則，自定義客戶端請求被WAF攔截時返回給客戶端的攔截頁面的樣式和內容，包含響應碼、響應頭、響應體。

自定義規則

訪問控制

根據客戶端IP、請求URL及常見的請求頭字段定義請求特征匹配條件，對命中匹配條件的請求執行相應處置。例如，您可以使用自定義規則攔截訪問指定URI的請求、對包含指定User-Agent內容的請求進行校驗等。

頻率控制

在訪問控制匹配條件的基礎上，定義訪問頻率檢測條件，對訪問頻率異常的統計對象執行相應處置。例如，如果同一個IP或會話在短時間內頻繁命中匹配條件，您可以通過啟用頻率控制，在一段時間內攔截該IP或會話的請求。

滑塊驗證

表示WAF向客戶端返回滑動驗證頁面。如果客戶端成功執行滑動驗證，則WAF放行本次請求，否則攔截請求。嚴格滑塊驗證模式下，客戶端的每次請求都需要驗證。

網頁防篡改

網頁防篡改

接入Web應用防火墻（Web Application Firewall，簡稱WAF）后，您可以通過設置網頁防篡改規則，鎖定需要保護的網站頁面（例如敏感頁面）。當被鎖定的頁面在收到請求時，返回已設置的緩存頁面，預防源站頁面內容被惡意篡改。

信息泄露防護

信息泄露防護

接入Web應用防火墻（Web Application Firewall，簡稱WAF）后，您可以通過設置信息泄露防護規則，使得網站過濾服務器返回內容（例如異常頁面、關鍵字）中的敏感信息（包含身份證號、電話號碼、銀行卡號、敏感詞匯），脫敏展示敏感信息或返回默認異常響應頁面。

CC防護

CC防護

接入Web應用防火墻（Web Application Firewall，簡稱WAF）后，您可以設置CC防護規則，攔截針對網站頁面請求的CC攻擊，并返回405攔截提示頁面。

掃描防護

掃描防護

接入Web應用防火墻（Web Application Firewall，簡稱WAF）后，您可以設置掃描防護規則，識別掃描行為和掃描器特征，阻止攻擊者或掃描器對網站的大規模掃描行為，幫助Web業務降低被入侵的風險并減少掃描帶來的垃圾流量。

功能集

功能

功能描述

參考文檔

API安全

API資產發現

展示檢測發現的所有開放API，包含API名稱、所屬域名、請求方法、近30天調用量、敏感數據等級、敏感數據類型、服務對象、業務用途等信息。

API風險檢測

展示檢測發現的風險API，包含風險ID、風險類型、來源類型、風所屬的來源API名稱、所屬域名、業務用途、狀態、關聯安全事件數等信息。

API安全事件

展示檢測發現的API安全事件，包含事件ID、事件類型、來源類型、安全事件所屬的API名稱、所屬域名、業務用途、攻擊源、狀態、關聯風險等信息。

API合規審查和溯源審計

如果您的業務需要對非中國內地地域提供數據時，您需要向所在地省級網信部門向國家網信部門申報數據出境安全評估。您可以使用API安全合規審查和溯源審計功能，對出境數據進行審查和溯源。僅中國內地支持。

Bot管理

Bot管理-App防護

如果您的實際業務是基于iOS或Android原生開發的App（不包括App中使用的H5頁面）等，您可以創建App防爬場景化防護模板，自定義防護規則，防御App爬蟲。

Bot管理-Web防護

如果您的實際業務通過瀏覽器訪問網頁或H5頁面（包括App中使用的H5頁面）等，您可以創建網頁防爬場景化防護模板，自定義防護規則，防御網頁爬蟲。

風險識別

Web應用防火墻（WAF）配備了內建的手機號信譽數據庫，旨在防范垃圾賬號注冊、營銷活動作弊等行為。WAF可以根據配置，在HTTP請求中檢測手機號或其MD5加密信息，并將其與信譽庫進行對比。如果發現與異常行為相關的標簽，WAF將采取相應的措施，例如啟動滑塊驗證、直接阻止訪問或者將標記信息傳回服務器。

重保場景防護

重保場景防護

重保場景防護適用于特定時間段的重大活動安全保障，為您提供更加精準和定制化的防御模式。

功能集

功能

功能描述

參考文檔

安全報表

安全報表

Web應用防火墻（Web Application Firewall，簡稱WAF）安全報表向您展示WAF不同模塊防護規則的防護記錄。您可以使用安全報表，查看已啟用的基礎防護規則、IP黑名單規則、自定義規則等的防護數據，進行業務安全分析。

日志服務

日志服務

Web應用防火墻（WAF）日志服務幫助您采集并存儲WAF防護對象（云產品實例、域名）的Web訪問及攻擊防護日志，并基于阿里云日志服務，輸出查詢分析、統計圖表、報警服務、下游計算對接與投遞等能力，幫助您專注于分析，遠離瑣碎的查詢和整理工作。

告警設置

告警設置

網站接入Web應用防火墻（Web Application Firewall，簡稱WAF）后，您可以通過設置告警，使WAF在網站請求流量中檢測到攻擊事件、異常流量時向您發送告警通知，幫助您及時掌握業務的安全狀態。

封禁查詢

封禁查詢

Web業務接入Web應用防火墻（Web Application Firewall，簡稱WAF）防護后，您可以在封禁查詢頁面，通過請求ID查詢攔截詳情，若確認為正常請求，可以通過白名單進行加白處理，或者修改對應規則進行優化。

多賬號統一管理

多賬號統一管理

針對企業用戶擁有多個阿里云賬號，且每個賬號下都有云產品需要接入WAF防護的場景，可通過阿里云資源管理的可信服務功能，將多個阿里云賬號匯總到一個資源目錄（其中每個阿里云賬號表示一個成員賬號），并委派特定的成員作為WAF管理員，使其可以訪問資源目錄下所有成員賬號包含的云產品資源，從而實現云產品資源接入WAF并配置統一安全策略。

功能集

功能

功能描述

參考文檔

賬單管理

賬單管理

開通Web 應用防火墻 WAF（Web Application Firewall） 3.0后，您可以在WAF賬單管理頁面查看按量付費實例和包年包月實例的實際用量和產生的費用，并在費用與成本中查看扣費賬單。

混合云管理

集群管理

您可以通過集群管理頁面來部署和管理混合云集群和防護節點。

功能集

功能

功能描述

參考文檔

人機驗證

人機驗證

提供滑塊驗證、無痕驗證、拼圖驗證、空間推理等多種驗證形態，通過交互行為和語義邏輯上判斷人機操作，能夠緩解及防止計算機程序模擬人類用戶來濫用網絡資源

自定義策略

自定義策略

根據不同的業務需求制定個性化的驗證場景策略，包括限速閾值、策略的強度、模擬器攔截選擇等

自動容災架構

自動容災架構

若服務端發生不可用場景，監測指標自動發現會對驗證碼能力做放行，優先保證業務鏈路正常，保障99.99%高可用

功能集

功能

功能描述

參考文檔

WAF3.0自助升級

WAF3.0自助升級

Web 應用防火墻 WAF（Web Application Firewall）支持通過控制臺升級工具，自助將WAF 2.0實例升級到WAF 3.0。