AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 Web应用防火墙 Web应用防火墙3.0 产品概述 产品简介 什么是Web应用防火墙

什么是Web应用防火墙

更新时间:
产品详情
我的收藏

Web应用防火墙(Web Application Firewall,简称WAF)通过对网站或App的业务流量进行恶意特征识别和防护,帮助抵御常见的Web攻击。WAF对流量进行清洗和过滤,将正常、安全的流量转发至服务器,防止恶意请求影响网站正常运行,有效保护业务稳定和数据安全。

应用场景

适用于网站服务器部署在阿里云或非阿里云环境的各类用户,广泛支持金融、电商、O2O、互联网+、游戏、政府、保险等各行业场景。阿里云WAF可对网站及Web应用的HTTP/HTTPS流量提供安全防护,有效抵御各类Web攻击,保障业务安全稳定运行。

核心安全防护能力

Web 应用攻击防护

  • 抵御常见威胁:有效防御 OWASP Top 10 中定义的常见攻击,包括SQL注入、XSS跨站、WebShell上传、后门攻击、命令注入、非法HTTP协议请求、CSRF、核心文件非授权访问、路径穿越等。

  • 网站隐身:不对攻击者暴露网站服务器地址,避免其绕过WAF直接攻击。

  • 虚拟补丁与0day防护:在官方安全补丁发布前,通过快速更新防护规则,为高危漏洞(包括 0day 漏洞)提供及时有效的虚拟补丁。

  • 友好的观察模式:针对新上线网站业务启用观察模式,对触发防护规则的疑似攻击行为仅生成告警而不实施拦截,便于统计误报情况。

  • 深度检测技术

    • 数据格式解析:支持对 HTTP 常见协议数据格式进行全解析,包括任意头部字段、Form表单、Multipart、JSON、XML。

    • 解码常见编码类型:支持URL编码、JavaScript Unicode编码、HEX编码、HTML实体编码、Java序列化编码、PHP序列化编码、Base64编码、UTF-7编码、UTF-8编码、混合嵌套编码。

    • 数据预处理:通过空格压缩、注释删减、特殊字符处理等机制,为检测引擎提供更精确的数据源,降低误报率。

CC攻击防护

  • 多维度攻击识别

    • 基于单一源 IP 的访问频率控制。

    • 通过重定向跳转、人机识别等方式验证访问者身份。

    • 结合统计响应码、URL 请求分布、异常 Referer 及 User-Agent 等特征进行智能识别。

  • 大数据威胁情报:充分利用阿里云大数据安全优势,建立威胁情报与可信访问分析模型,快速识别恶意流量。

精准访问控制

  • 自定义防护策略:提供友好的控制台界面,支持IP、URL、Referer、User-AgentHTTP常见字段的条件组合,配置强大的精准访问控制策略。

  • 场景化防护:支持盗链防护、网站后台保护等场景。

  • 多层综合保护:与Web常见攻击防护、CC防护等安全模块结合,搭建多层综合保护机制,轻松识别可信与恶意流量。

恶意爬虫流量防御

  • 机器流量分析报表:对机器流量进行恶意、疑似、友好分类,通过报表展示流量趋势及风险客户端信息。

  • 全场景防护支持:全场景无死角爬虫防护,全面支持网页、H5、原生APP(IOS、Android、鸿蒙)、小程序(微信小程序、支付宝小程序)等客户端环境集成。

  • 端到端全链路防控:全链路多维度爬虫识别手段,覆盖100+种浏览器探针特征、7000+种客户端指纹、100万+恶意爬虫威胁情报以及6种高级爬虫识别算法。

API风险与攻击检测

  • 开箱即用:一键开启检测,基于被动流量检测,支持对API接口全生命周期的管理,监控敏感数据流转,对业务无侵扰。

  • 风险发现:检测API接口脆弱性,识别未授权敏感数据泄露、内部接口对外暴露等问题,并提供修复建议。

  • 威胁检测:基于跨会话双向流量分析,识别API滥用行为,如接口数据遍历爬取、暴力破解等,支持联动WAF进行处置。

AI应用防护

  • 提示词攻击检测:专业防御针对生成式AI的注入式攻击,精准识别越狱指令、角色扮演诱导、系统指令篡改等对抗性攻击行为,构建AI系统防线。

  • 内容合规检测:支持请求和响应内容的合规性检测,确保所有交互内容符合安全和法规要求。

  • 实时防护与响应:结合拦截、应答替换及撤回等防护措施,实现对异常行为的实时阻断和响应内容的自动替换,保障业务安全运行。

运维管理与架构可靠性

简易的部署与运维

  • 快速部署:5分钟内部署和激活,无需安装任何软硬件或调整路由配置。

  • 攻击事件管理:通过安全报表与日志,对攻击事件、攻击流量、攻击规模进行集中管理统计。

高可靠与弹性伸缩的平台架构

  • 集群化部署:采用集群架构,消除单点故障,单台服务器故障或维护不影响整体服务可用性。

  • 负载均衡:内置多种负载均衡策略,确保流量处理的高性能和高可用性。

  • 弹性伸缩:可根据实际流量情况,缩减或增加集群服务器的数量,实现服务能力弹性扩容。

技术实力与经验沉淀

  • 10年以上网络安全经验

    • 源自阿里巴巴集团逾十年的网络安全实践,具备支撑淘宝、天猫、支付宝等高并发、高安全要求场景的技术能力。

    • 由专业安全团队提供服务,有效防御OWASP Top 10等已知漏洞,并持续响应新披露的安全漏洞。

  • 大数据智能驱动

    • 日均防御数亿次攻击,依托全球领先的IP威胁情报库,积累了覆盖多行业、多场景的攻击特征库,对主流攻击模式、行为特征与攻击签名具备深度识别能力。

    • 融合大数据分析与机器学习技术,持续迭代攻击识别模型,提升威胁识别的准确性与覆盖范围。

更多产品信息,请参见Web应用防火墙产品页面

如何使用WAF

如何使用WAF

更多信息,请参见快速使用WAF 3.0

应用防护RASPWeb应用防火墙的关系

应用防护RASP(Runtime Application Self-Protection)是一种集成于应用程序内部的安全防护机制,可在应用运行时实时检测并阻断攻击行为,实现自我保护。更多详情,请参见接入应用防护

RASPWAF属于互补性技术,适用于不同的安全防护场景。RASP更适用于防御0day漏洞利用、加密流量攻击等应用层威胁;WAF则在处理网络层访问控制、区域封禁、CC攻击、爬虫攻击等场景中具有优势。为实现全面防护,建议根据业务需求同时部署RASPWAF,构建应用内部与边界协同的双重安全体系。

合规资质

WAF已通过ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 27701、ISO 29151、BS 10012、CSA STAR、等保三级、SOC 1/2/3、C5、HK金融、OSPAR、PCI DSS等多项国际权威认证。

WAF作为标准的阿里云云产品,在云平台层面具备与阿里云同等水平的安全合规资质。详细内容,请参见阿里云信任中心

上一篇:产品简介下一篇:快速选型指导