标准版
独享IP版源站可以配置黑白名单,仅放行 WAF 回源网段以及一些可信 IP 地址网段,其他 IP 地址的连接一律拒绝。
产品介绍
WEB应用防火墙(简称WAF)是对客户请求与Web应用之间信息的唯一出入口,能根据不同的策略控制,有效地监控了应用业务和互联网之间的任何活动,保证了内部系统的安全。
产品特性
安全防护
WAF的虚拟补丁可快速对漏洞进行实时的防护与响应
源站保护
隐藏真实源站,实现网站隐身,避免真实地址暴露受到黑客攻击
访问来源控制
通过安全准入控制,只允许云WAF的IP访问,其余定向访问一律禁止,可对抗指定源站IP进行的定向攻击行为
功能优势
低延迟
基于BGP线路接入,质量稳定,毫秒级响应延迟。
规则自完善系统
基于机器学习,智能检测引擎具有优秀的泛化能力以及自动学习能力,能够同规则系统进行有机结合,为客户网站的安全提供更坚实的保障。
自动化弹性扩展能力
具备自动化弹性扩展能力,利用新网公有云资源池作为支撑,在遭遇CC攻击或者业务突发时,能够进行自身服务的快速扩展,所以不会存在性能瓶颈问题。
协同防御能力
强大的云端情报收集能力,同时结合其他情报厂商的情报,在WAF上利用情报库可以过滤海量的恶意访问。
丰富的规则支持
基于流量内容深度解析,可针对不同的业务字段进行定制化的规则设置,包括对字段内容的二次分析,比如归属地查询、自动拦截恶意IP、CC策略、自定义拦截页面等。
7*24小时专家服务
WAF用户,均能够享受到7*24小时免费的专家服务,对于复杂的攻击,当机器或者算法无法进行精准的判断和阻挡时,安全专家可以介入分析,并提供针对性的防御措施。
功能规格
| 核心功能 | 说明 |
|---|---|
| 混合云接入 | 通过 CNAME 解析接入 WAF,新网公有云和非新网公有云用户均可接入。 |
| 0Day 防护 | 安全团队 7 * 24 小时监测,主动发现并响应,24 小时内下发高危 Web 漏洞,0day 漏洞防护虚拟补丁,受护用户无需任何操作即可获取紧急漏洞、0day 漏洞攻击防护能力,大大缩短漏洞响应周期。 |
| 基础防护 | 全面防护以下攻击类型:SQL 注入、XSS 跨站、WebShell、命令注入、非法 HTTP 协议请求、常见 Web 服务器漏洞攻击、核心文件非授权访问、路径穿越等。提供后门隔离保护及扫描防护等功能。规则支持自定义。 |
| 访问控制 | 提供友好的配置控制台界面,支持 IP、URL、Referer、User-Agent 等 HTTP 常见字段的条件组合,打造强大的精准访问控制策略,可支持盗链、网站后台保护等防护场景。与 Web 常见攻击防护、CC 防护等安全模块采用联动机制,打造多层综合保护机制、可根据需求,识别可信与恶意流量。 |
| CC攻击防护 | 对单一源 IP 的访问频率进行控制,支持重定向跳转验证、及人机识别等。针对海量慢速请求攻击,根据统计响应码及 URL 请求分布、异常 Referer 及 User-Agent 特征识别,结合网站精准访问控制进行综合防护。 |
| 全量访问日志 | 实时日志的搜索查询与下载180天内日志。 |
| 防页面篡改 | 用户可设置将核心网页内容缓存云端,并对外发布缓存中的网页内容,实现网页替身效果,防止网页篡改给组织带来负面影响。 |
| 防敏感信息泄露 | 将敏感信息如手机号、身份证脱敏,防止泄漏,同时也可以根据响应内容进行阻断,响应内容的格式需为 text/html 或 text/plain。也可以根据源站的响应码伪装响应内容,或者改响应阻断。 |
| 核心功能 | 说明 |
|---|---|
| 地域 | 目前支持大陆地区,华北一、上海两个地域,后续其他地域将陆续上线 |
| 域名数量 | 一个服务支持绑定1个域名 |
| 日志服务 | 180天 |
| 带宽 | 峰值40Mbps |
| QPS | 峰值3000 |
| HTTP | 支持80、443标准端口接入 |
| HTTPS | 支持80、443标准端口接入 |
| HTTP2.0 | 除80、443标准端口外,还支持防护特定的非标准端口上的业务,但客户需要自行配置 |
| 非标端口 | 支持HTTP2.0 业务的转发与安全防 |
| 系统规则 | 40条/单个服务 |
| CC 防护规则 | 20条/单个服务 |
| 恶意 IP 封禁* | 5条/单个服务 |
| 区域 IP 封禁 | 10条/单个服务 |
| 信息安全防护 | 20条/单个服务 |
| 黑白名单 | 1000条/单个服务 |
| 网页防篡改 | 20条/单个服务 |
| 核心功能 | 说明 |
|---|---|
| 标准版 | 各版本功能及配额完全一致 |
| 独立IP版 | 在标准版基础上,享有独立ip,相比于标准版,该服务绑定的域名能在共享防护IP的域名被DDoS攻击时不受影响,同时拥有更好的并发性能 |
| 高防版(即将上线) | 在独立IP版基础上,防护域名被DDoS攻击时可自动开启高防(10G容量),将恶意流量清洗后再进行WAF防护 |
应用场景
网站基础防护
覆盖中常见安全威胁,通过预置丰富的信誉库,对漏洞攻击、网页木马等威胁进行检测和拦截
支持SQL注入、XSS跨站脚本、Webshell上传、目录(路径)遍历、文件包含等常见Web攻击的检测和拦截
能解决的问题
全面防护SQL注入、XSS、Webshell上传、目录遍历、后门隔离等各类常见Web攻击
相关产品
CC攻击防护
黑客控制大量肉鸡或代理服务器,生成大量的指向受害网站的合法请求,长时间占用核心资源
静态网站遭受攻击时,网络资源被垃圾数据消耗,网站无法正常访问
能解决的问题
可以对请求进行限流,防止出现大量请求直接回源到源站造成源站网络拥堵或 CPU 使用率飙升的情况
相关产品
面临问题与处理
| 客户面临的问题 | 新网云WAF的有效新利8体育 - 百度百科 |
|---|---|
| 网页防篡改 |
支持静态首页等资源的网页防篡改需求
|
| 网络CC攻击 |
CC规则可通过阈值控制、验证码等多种方式进行安全防范
|
| 网站来源访问管理 |
定制化的黑白名单及路径控制,有效解决用户访问管理
|
| 等保合规要求 |
满足等保合规,具有销售认证许可
|
| 基本的网站防护(扫描,OWASP TOP 10等) |
默认系统功能可解决来自于互联网恶意扫描等问题
|
文档及帮助
如何防止攻击者绕过 WAF?
WAF 回源 IP 地址怎么看?
WAF 控制台概览界面的【信息通告】一栏正下方有一栏【基本信息】,最后一行为【回源 IP】,点击【查看】即可获取相应的回源 IP 网段地址。
最新的高危漏洞出现 WAF 是否会支持防护?
每当爆出最新漏洞的时候,我们的安全工程师会第一时间跟进,分析 POC 和漏洞原理,提取出相应的检测规则,及时部署新规则到 WAF。
WAF 支持虚拟补丁,什么是虚拟补丁?
WAF 系统对漏洞攻击的阻断称为“虚拟补丁”,意味着并非是真正的打补丁行为,而是临时封堵攻击,为业务方更新补丁赢取时间。
如果源站是 SLB 负载均衡网关,是直接填写网关的 IP 还是填写子网主机 IP?
如果有外网 SLB,则填写 SLB 网关的 IP 即可,不需要填写子网主机 IP。对于请求代理型 SLB,推荐使用SLB 版 WAF。
WAF 上的域名开启【HTTP2 转发】需要注意什么?
开启【HTTP2 转发】后,同一防护 IP[?]下所有的域名的 HTTPS 端口都会支持 HTTPS,若只希望个别域名开启 HTTP2.0,建议此类域名使用独享 IP。对于 HTTPS 443 端口,建议同步开启【HTTPS 跳转】。HTTP 端口不支持 HTTP2.0。
WAF 上的各种规则如黑白名单、CC 规则、WAF 规则的优先级顺序是什么?
参见规则优先级。
被 WAF 拦截的请求的响应状态码是什么?
对于触发 WAF 规则而拦截的请求:响应 404 状态码和默认的拦截页面,旗舰版及专属定制版用户可以自定义拦截的响应状态码和拦截页面。
对于触发 CC 规则的 IP 的请求:若限制方式是 拦截此类请求,则拒绝连接并记录 444 状态码;若限制方式是 启用验证码,则响应 200 状态码和验证码页面;若限制方式是限制请求速率,则对超出速率的请求响应 429 状态码。
对于黑名单中 IP 的请求,若动作是拦截,则拒绝连接并记录 444 状态码;若动作是验证码,则响应 200 状态码和验证码页面。
商品已成功加入购物车