源站可以配置黑白名單,僅放行 WAF 回源網(wǎng)段以及一些可信 IP 地址網(wǎng)段,其他 IP 地址的連接一律拒絕。
產(chǎn)品介紹
WEB應用防火墻(簡稱WAF)是對客戶請求與Web應用之間信息的唯一出入口,能根據(jù)不同的策略控制,有效地監(jiān)控了應用業(yè)務和互聯(lián)網(wǎng)之間的任何活動,保證了內(nèi)部系統(tǒng)的安全。
產(chǎn)品特性
安全防護
WAF的虛擬補丁可快速對漏洞進行實時的防護與響應
源站保護
隱藏真實源站,實現(xiàn)網(wǎng)站隱身,避免真實地址暴露受到黑客攻擊
訪問來源控制
通過安全準入控制,只允許云WAF的IP訪問,其余定向訪問一律禁止,可對抗指定源站IP進行的定向攻擊行為
功能優(yōu)勢
低延遲
規(guī)則自完善系統(tǒng)
自動化彈性擴展能力
協(xié)同防御能力
豐富的規(guī)則支持
7*24小時專家服務
功能規(guī)格
核心功能 | 說明 |
---|---|
混合云接入 | 通過 CNAME 解析接入 WAF,新網(wǎng)公有云和非新網(wǎng)公有云用戶均可接入。 |
0Day 防護 | 安全團隊 7 * 24 小時監(jiān)測,主動發(fā)現(xiàn)并響應,24 小時內(nèi)下發(fā)高危 Web 漏洞,0day 漏洞防護虛擬補丁,受護用戶無需任何操作即可獲取緊急漏洞、0day 漏洞攻擊防護能力,大大縮短漏洞響應周期。 |
基礎防護 | 全面防護以下攻擊類型:SQL 注入、XSS 跨站、WebShell、命令注入、非法 HTTP 協(xié)議請求、常見 Web 服務器漏洞攻擊、核心文件非授權訪問、路徑穿越等。提供后門隔離保護及掃描防護等功能。規(guī)則支持自定義。 |
訪問控制 | 提供友好的配置控制臺界面,支持 IP、URL、Referer、User-Agent 等 HTTP 常見字段的條件組合,打造強大的精準訪問控制策略,可支持盜鏈、網(wǎng)站后臺保護等防護場景。與 Web 常見攻擊防護、CC 防護等安全模塊采用聯(lián)動機制,打造多層綜合保護機制、可根據(jù)需求,識別可信與惡意流量。 |
CC攻擊防護 | 對單一源 IP 的訪問頻率進行控制,支持重定向跳轉驗證、及人機識別等。針對海量慢速請求攻擊,根據(jù)統(tǒng)計響應碼及 URL 請求分布、異常 Referer 及 User-Agent 特征識別,結合網(wǎng)站精準訪問控制進行綜合防護。 |
全量訪問日志 | 實時日志的搜索查詢與下載180天內(nèi)日志。 |
防頁面篡改 | 用戶可設置將核心網(wǎng)頁內(nèi)容緩存云端,并對外發(fā)布緩存中的網(wǎng)頁內(nèi)容,實現(xiàn)網(wǎng)頁替身效果,防止網(wǎng)頁篡改給組織帶來負面影響。 |
防敏感信息泄露 | 將敏感信息如手機號、身份證脫敏,防止泄漏,同時也可以根據(jù)響應內(nèi)容進行阻斷,響應內(nèi)容的格式需為 text/html 或 text/plain。也可以根據(jù)源站的響應碼偽裝響應內(nèi)容,或者改響應阻斷。 |
核心功能 | 說明 |
---|---|
地域 | 目前支持大陸地區(qū),華北一、上海兩個地域,后續(xù)其他地域將陸續(xù)上線 |
域名數(shù)量 | 一個服務支持綁定1個域名 |
日志服務 | 180天 |
帶寬 | 峰值40Mbps |
QPS | 峰值3000 |
HTTP | 支持80、443標準端口接入 |
HTTPS | 支持80、443標準端口接入 |
HTTP2.0 | 除80、443標準端口外,還支持防護特定的非標準端口上的業(yè)務,但客戶需要自行配置 |
非標端口 | 支持HTTP2.0 業(yè)務的轉發(fā)與安全防 |
系統(tǒng)規(guī)則 | 40條/單個服務 |
CC 防護規(guī)則 | 20條/單個服務 |
惡意 IP 封禁* | 5條/單個服務 |
區(qū)域 IP 封禁 | 10條/單個服務 |
信息安全防護 | 20條/單個服務 |
黑白名單 | 1000條/單個服務 |
網(wǎng)頁防篡改 | 20條/單個服務 |
核心功能 | 說明 |
---|---|
標準版 | 各版本功能及配額完全一致 |
獨立IP版 | 在標準版基礎上,享有獨立ip,相比于標準版,該服務綁定的域名能在共享防護IP的域名被DDoS攻擊時不受影響,同時擁有更好的并發(fā)性能 |
高防版(即將上線) | 在獨立IP版基礎上,防護域名被DDoS攻擊時可自動開啟高防(10G容量),將惡意流量清洗后再進行WAF防護 |
應用場景
網(wǎng)站基礎防護
覆蓋中常見安全威脅,通過預置豐富的信譽庫,對漏洞攻擊、網(wǎng)頁木馬等威脅進行檢測和攔截
支持SQL注入、XSS跨站腳本、Webshell上傳、目錄(路徑)遍歷、文件包含等常見Web攻擊的檢測和攔截
能解決的問題
全面防護SQL注入、XSS、Webshell上傳、目錄遍歷、后門隔離等各類常見Web攻擊
相關產(chǎn)品
CC攻擊防護
黑客控制大量肉雞或代理服務器,生成大量的指向受害網(wǎng)站的合法請求,長時間占用核心資源
靜態(tài)網(wǎng)站遭受攻擊時,網(wǎng)絡資源被垃圾數(shù)據(jù)消耗,網(wǎng)站無法正常訪問
能解決的問題
可以對請求進行限流,防止出現(xiàn)大量請求直接回源到源站造成源站網(wǎng)絡擁堵或 CPU 使用率飆升的情況
相關產(chǎn)品
面臨問題與處理
客戶面臨的問題 | 新網(wǎng)云WAF的有效解決方案 |
---|---|
網(wǎng)頁防篡改 | 支持靜態(tài)首頁等資源的網(wǎng)頁防篡改需求 |
網(wǎng)絡CC攻擊 | CC規(guī)則可通過閾值控制、驗證碼等多種方式進行安全防范 |
網(wǎng)站來源訪問管理 | 定制化的黑白名單及路徑控制,有效解決用戶訪問管理 |
等保合規(guī)要求 | 滿足等保合規(guī),具有銷售認證許可 |
基本的網(wǎng)站防護(掃描,OWASP TOP 10等) | 默認系統(tǒng)功能可解決來自于互聯(lián)網(wǎng)惡意掃描等問題 |
文檔及幫助
WAF 控制臺概覽界面的【信息通告】一欄正下方有一欄【基本信息】,最后一行為【回源 IP】,點擊【查看】即可獲取相應的回源 IP 網(wǎng)段地址。
每當爆出最新漏洞的時候,我們的安全工程師會第一時間跟進,分析 POC 和漏洞原理,提取出相應的檢測規(guī)則,及時部署新規(guī)則到 WAF。
WAF 系統(tǒng)對漏洞攻擊的阻斷稱為“虛擬補丁”,意味著并非是真正的打補丁行為,而是臨時封堵攻擊,為業(yè)務方更新補丁贏取時間。
如果有外網(wǎng) SLB,則填寫 SLB 網(wǎng)關的 IP 即可,不需要填寫子網(wǎng)主機 IP。對于請求代理型 SLB,推薦使用SLB 版 WAF。
開啟【HTTP2 轉發(fā)】后,同一防護 IP[?]下所有的域名的 HTTPS 端口都會支持 HTTPS,若只希望個別域名開啟 HTTP2.0,建議此類域名使用獨享 IP。對于 HTTPS 443 端口,建議同步開啟【HTTPS 跳轉】。HTTP 端口不支持 HTTP2.0。
參見規(guī)則優(yōu)先級。
對于觸發(fā) WAF 規(guī)則而攔截的請求:響應 404 狀態(tài)碼和默認的攔截頁面,旗艦版及專屬定制版用戶可以自定義攔截的響應狀態(tài)碼和攔截頁面。
對于觸發(fā) CC 規(guī)則的 IP 的請求:若限制方式是 攔截此類請求,則拒絕連接并記錄 444 狀態(tài)碼;若限制方式是 啟用驗證碼,則響應 200 狀態(tài)碼和驗證碼頁面;若限制方式是限制請求速率,則對超出速率的請求響應 429 狀態(tài)碼。
對于黑名單中 IP 的請求,若動作是攔截,則拒絕連接并記錄 444 狀態(tài)碼;若動作是驗證碼,則響應 200 狀態(tài)碼和驗證碼頁面。