功能发布记录

本文介绍Web 应用防火墙 WAF(Web Application Firewall)的产品功能和对应的文档动态。

更多关于Web应用防火墙的产品动态信息,请参见产品动态

2024

发布日期

功能动态

发布说明

相关文档

2024-11-07

WAF 3.0新版基础防护规则

支持通过设置引擎配置和规则库管理更简便地对Web业务进行防护。

基础防护规则

2024-11-06

WAF 3.0洪峰限流功能

支持配置自定义规则与QPS限流方式与百分比限流方式等,对Web业务进行防护。

洪峰限流

2024-09-13

WAF 3.0支持将云原生API网关实例接入WAF

支持通过内嵌在网关中的SDK提取流量并进行检测和防护。

APIG实例开启WAF防护

2024-05-31

非标端口更新

扩展CNAME接入能力,支持IPv4全量非标端口转发能力。

WAF支持的端口范围

2024-03-27

企业级客户多账号统一管理

只需要购买一套WAF实例,即可接入其他阿里云账号下的云产品资源进行统一防护。

多账号统一管理

2024-01-16

封禁查询

在封禁查询页面,通过请求ID查询拦截详情

对象拦截查询

2024-01-15

混合云日志外发配置升级

混合云日志支持Kafka外发,可针对不同集群设置不同的Kafkasyslog日志外发配置。

混合云日志投递

2023

发布日期

功能动态

发布说明

相关文档

2023-10-12

WAF 3.0非中国内地支持API安全

非中国内地地域支持API安全功能。

API安全

2023-09-21

WAF 3.0 API安全支持合规审核和溯源审计

WAF 3.0 API支持对出境数据进行审查和溯源。

API安全

2023-08-28

WAF 3.0支持Cookie属性设置

WAF 3.0支持为防护对象增加Cookie属性设置。

配置防护对象和防护对象组

2023-08-20

WAF 3.0支持开启IPv6接入

WAF 3.0支持开启IPv6,将IPv6业务流量接入WAF进行防护。

开启IPv6

2023-08-10

VIP级别的TLS自定义和默认证书配置功能发布

WAF支持为IPv4版本的VIP自定义SSL证书或TLS策略。

设置默认SSLTLS策略

2023-08-01

回源标记、规则灰度、机器流量分析功能发布

  • Bot管理新增如下功能:

    • 支持机器流量分析功能。

    • 支持为被识别的Bot行为配置回源标记规则动作。

    • 支持规则灰度,可针对不同维度的对象配置不同的生效比例。

  • 自定义规则支持规则灰度,可针对不同维度的对象配置不同的生效比例。

2023-07-14

域名DNS状态检测功能发布

WAF 3.0会对接入的域名进行DNS状态检查,快速识别DNS解析异常的风险域名,避免网站业务受到影响。

2023-06-21

域名归属权验证功能发布

首次添加域名时,需要验证操作者是否拥有主域名的归属权。验证通过后,您再次添加该主域名下的任意域名时,无需再次验证。

2023-06-10

WAF 3.0支持国密HTTPS加密

选择HTTPS协议时,支持开启国密HTTPS仅支持国密客户端访问功能。

添加域名

2023-05-30

API安全功能更新

支持自定义敏感数据类型策略。

API安全

2023-05-22

基础防护规则新增语义防护功能

新增语义防护功能,可防御SQL注入攻击。在此基础上,提供针对非注入型攻击的检测开关。

基础防护规则和规则组

2023-05-18

降配功能更新

  • 支持降低独享IP规格。

  • 支持通过降配来关闭Bot管理-Web防护、Bot管理-APP防护、API安全。

升级与降配

2023-04-28

云产品接入(CLB、ECS)支持添加域名级防护对象

支持将CLB实例或ECS实例中的域名,手动添加为防护对象。

配置防护对象和防护对象组

2023-04-14

流量计费保护功能发布

启用流量计费保护后,如果按量付费实例一小时内的峰值QPS流量超过设置的流量计费保护阈值,实例进入沙箱,且该小时流量费和功能费为0,从而避免因QPS暴涨而产生超高账单。

2023-03-31

自助升级工具发布

WAF支持通过控制台升级工具,自助将WAF 2.0实例升级到WAF 3.0。

WAF 3.0升级向导

2023-03-03

API安全功能更新

  • 按量付费实例支持API安全功能。

  • API安全支持自定义策略。

API安全

2023-02-24

包年包月基础版、高级版、企业版、旗舰版支持的重保场景防护、混合云防护节点规格变更

  • 重保场景防护:

    • 旗舰版默认开通,高级版和企业版可通过临时升级按天开通,基础版不支持开通。

    • 高级版和企业版支持30天起购买。

  • 混合云接入:

    • 企业版、旗舰版默认支持混合云接入,并包含1个混合云防护节点。

    • 基础版、高级版默认不支持混合云接入。如果需要使用,您可以升级到企业版、旗舰版。

    • 企业版、旗舰版额外扩展1个节点,赠送100个域名,额外扩展2个或更多节点,赠送200个域名。

2023-02-08

智能白名单、误报屏蔽、宽松与严格规则组功能发布

  • 通过智能白名单功能,WAF将根据历史业务流量进行AI学习,发现URL粒度不适用的规则,并自动添加白名单,有效降低误拦截风险。

  • 内置规则组新增宽松规则组和严格规则组。

  • 通过误报屏蔽处置,一键加白基础防护规则的攻击IP。

2023-02-08

WAF 3.0支持函数计算一键接入WAF

WAF通过SDK模块化的方式与函数计算原生架构集成,支持为函数计算上的Web应用绑定的自定义域名开启安全防护,通过识别应用或者应用中函数的业务流量恶意特征,将正常和安全的流量回源至后端函数,避免函数被恶意侵入。

FC自定义域名开启WAF防护

2023-01-31

WAF 3.0包年包月实例支持自助退订

支持通过控制台自助退订WAF 3.0包年包月实例。

退订说明

2023-01-19

WAF 3.0支持资源组和标签管理

对接阿里云资源管理服务,新增资源组标签对账号下的资源做分组和权限隔离。

2023-01-17

Bot管理功能更新

  • Bot管理防护新增如下功能:

    • 新增基础防护功能,支持一键防护中低级Bot流量。

    • App场景化防护新增支持滑块和严格滑块验证、AI智能防护、威胁情报等功能。

    • 网页和App场景化防护新增支持定时生效。

  • Bot管理安全报表重构优化,增加攻击详情列表,提升攻击溯源分析能力。

2022

发布日期

功能动态

发布说明

相关文档

2022-11-29

WAF 3.0 CNAME接入域名时,支持重试及回源长连接配置

通过CNAME接入域名时,支持重试及回源长连接配置。

CNAME接入

2022-11-28

WAF 3.0日志服务支持记录自定义请求头部、请求体、响应头和响应体

新增request_bodyrequest_headerresponse_headerresponse_info字段,用于记录自定义请求头部、请求体、响应头和响应体。

日志字段说明

2022-11-25

WAF 3.0支持日志服务存储容量告警功能

当日志存储使用量超过80%时,您会收到短信和邮件,提醒您日志存储空间即将占满,请您及时升级容量,避免因日志存储空间容量占满,导致新的日志数据无法写入专属日志库,造成日志数据不完整。

日志容量升级

2022-11-23

WAF 3.0支持将四层或七层CLB实例、ECS实例接入WAF

支持通过添加引流端口的方式将要防护的四层或七层CLB实例、ECS实例接入WAF防护。

2022-11-17

WAF 3.0支持自助降配功能

根据业务的变化,您可以对已购买的QPS扩展规格、弹性后付费QPS规格、域名扩展数、日志存储容量自助降配。

升级与降配

2022-11-14

WAF 3.0 API安全功能发布

支持自动梳理已接入WAF防护的业务的API资产,检测API风险(例如未授权访问、敏感数据过度暴露、内部接口泄露等),并通过报表还原API异常事件,提供详细的风险处理建议和API生命周期管理参考数据,帮助您实现API安全防护。

API安全

2022-10-30

WAF 3.0 OpenAPI发布

针对常见控制台配置操作开放对应的API接口,方便用户执行批量化操作。

API概览

2022-10-27

WAF 3.0弹性后付费和沙箱功能发布

当您因大促等场景有短期或突发的业务流量上涨,且实际QPS用量可能超过版本内QPS和扩展QPS之和时,可开启弹性后付费,对超出的QPS用量进行后付费结算,避免实例因QPS超用进入沙箱,影响正常业务。

2022-10-19

WAF 3.0监控与告警功能发布

您可以通过设置告警,使WAF在网站请求流量中检测到攻击事件、异常流量时向您发送告警通知,帮助您及时掌握业务的安全状态。

告警设置

2022-09-23

WAF 3.0支持配置自定义header获取客户端真实源端口

WAF 3.0接入配置支持启用“流量标记”,选择“客户端真实源端口”。通过配置真实客户端源端口所在的头部字段名,WAF 3.0可记录该头部字段并将该头部字段传递回源站。

添加域名

2022-08-24

WAF 3.0支持回源超时时间支持自定义配置

WAF 3.0接入配置支持新建连接、读连接、写连接超时时间自定义,用户可以根据自身业务情况,灵活调整以满足业务需求。

添加域名

2022-08-12

WAF 3.0 MSE接入功能发布

如果您的Web业务启用了阿里云微服务引擎MSE(Microservices Engine)服务,您可以通过MSE接入WAF,将Web业务流量引流到WAF 3.0进行安全防护。

MSE云原生网关实例开启WAF防护

2022-07-22

WAF 3.0信息泄露防护功能发布

信息泄露防护支持网站过滤服务器返回内容(异常页面或关键字)中的敏感信息(包含身份证号、电话号码、银行卡号、敏感词汇),脱敏展示敏感信息或返回默认异常响应页面。

设置信息泄露防护规则避免敏感信息泄露

2022-07-22

WAF 3.0网页防篡改功能发布

网页防篡改支持锁定需要保护的网站页面(例如敏感页面),被锁定的页面在收到请求时,返回已设置的缓存页面,预防源站页面内容被恶意篡改。

设置网页防篡改规则避免网页被篡改

2022-07-20

WAF 3.0新增包年包月计费模式

WAF 3.0支持先付费后使用的付费方式。通过包年包月,您可以提前预留资源,同时享受更低的价格,帮您更大程度节省支出。

包年包月计费模式

2022-07-14

WAF 3.0资产中心功能发布

通过资产中心模块帮助您梳理云上、云下的域名资产,并根据资产在云上的攻击态势,进行风险等级评估,帮助您掌握业务的整体防护状态。

资产中心

2022-06-23

WAF 3.0 Bot管理功能发布

支持网页防爬场景化规则、App防爬场景化规则。通过设置防爬场景化规则,更有针对性地对业务进行爬虫风险防护。

2022-05-30

WAF 3.0重保场景防护功能发布

提供重保防护规则组、海量IP封禁、协同防御和COOKIE安全相关能力,为客户提供强攻防对抗场景下的高等级防护能力。

重保场景防护

2022-04-21

WAF 3.0 CC防护功能发布

CC防护功能为网站拦截针对页面请求的CC攻击(拦截后返回405拦截提示页面)。

设置CC防护规则防御CC攻击

2022-04-21

WAF 3.0区域封禁功能发布

区域封禁功能通过识别客户端访问请求的来源区域,一键封禁来自特定区域的访问或者允许特定区域的访问,解决部分地区高发的恶意请求问题。

设置区域封禁规则封禁特定区域请求

2022-01-22

WAF 3.0全新版本发布

WAF 3.0不仅支持2.0版本的CNAME接入,更实现了与应用型负载均衡ALB等云产品的云原生架构集成,支持云产品接入,并重构了控制台的防护配置交互逻辑,为您带来更高的安全运维效率、更流畅的交互体验和更多的新能力。

WAF 3.0发布及WAF 2.0停止新购公告