功能特性_Web应用防火墙(WAF)-阿里云帮助中心

资产中心

资产中心功能帮助您梳理阿里云云上、云下的域名资产，并根据资产在云上的攻击态势，进行风险等级评估，帮助您掌握业务的整体防护状态。您可以为风险等级较高的域名资产开启防护，提升整体安全防护水平。

功能集	功能	功能描述	参考文档
资产中心	资产中心	Web应用防火墙（Web Application Firewall，简称WAF）的资产中心功能帮助您梳理阿里云云上、云下的域名资产，并根据资产在云上的攻击态势，进行风险等级评估，帮助您掌握业务的整体防护状态。	资产中心

接入管理

如果要使用Web应用防火墙防护您的Web业务，您必须先将Web业务接入WAF。WAF 3.0支持云产品接入和CNAME接入两种接入方式，您可以根据Web业务的部署特征，选择合适的接入方式。

功能集	功能	功能描述	参考文档
混合云接入	反向代理	反向代理接入模式需要将网站域名或IP接入WAF，并将DNS解析指向WAF的防护集群地址。混合云WAF集群对所有代理的访问请求进行安全检测。	混合云接入
混合云接入	服务化模式	服务化接入模式需要在统一接入网关上部署SDK插件，SDK插件将网关的业务流量复制一份到WAF防护集群。该模式下，混合云WAF防护集群不参与流量转发，实现业务转发与检测分离。	混合云接入
云产品接入	ALB接入	如果您的Web业务启用了阿里云应用型负载均衡（Application Load Balancer，简称ALB），您可以为ALB实例开启Web应用防火墙（Web Application Firewall，简称WAF）防护，将Web业务流量引流到WAF进行安全防护。	为ALB实例开启WAF防护
	CLB接入	如果您已创建阿里云传统型负载均衡（Classic Load Balancer，简称CLB）实例，且已为端口添加HTTP或HTTPS监听或TCP监听，您可以添加该端口到Web应用防火墙（Web Application Firewall，简称WAF），将Web业务引流到WAF防护。	将七层CLB（HTTP/HTTPS）实例接入WAF 将四层CLB（TCP）实例接入WAF
	ECS接入	如果您已创建云服务器ECS（Elastic Compute Service）实例，您可以添加实例的引流端口到Web应用防火墙（Web Application Firewall，简称WAF），将Web业务引流到WAF防护。	将ECS实例接入WAF
	MSE接入	如果您的Web业务启用了阿里云微服务引擎（Microservices Engine，简称MSE）服务，您可以为MSE实例开启Web应用防火墙（Web Application Firewall，简称WAF）防护，将Web业务流量引流到WAF 3.0进行安全防护。	为MSE实例开启WAF防护
	FC接入	如果您将为或者已为阿里云函数计算（Function Compute，简称FC）上的Web应用绑定自定义域名，并通过自定义域名访问该应用时，您可以在函数计算控制台，为该自定义域名开启Web应用防火墙（Web Application Firewall，简称WAF）功能，将Web应用业务流量引流到WAF进行安全防护。	为FC自定义域名开启WAF防护
	SAE接入	如果应用托管在Serverless 应用引擎 SAE（Serverless App Engine） 2.0上，您可以为应用绑定的自定义域名开启Web应用防火墙（Web Application Firewall，简称WAF）功能，将Web业务流量引流到WAF进行安全防护。	为SAE自定义域名开启WAF防护
CNAME接入	CNAME接入	开通Web 应用防火墙 WAF（Web Application Firewall）后，如何通过CNAME接入方式, 将网站域名添加到Web应用防火墙WAF中进行安全防护。	CNAME接入

防护配置

Web业务接入WAF防护后，您可以为Web业务配置防护规则。不同接入方式下的防护配置流程略有差异

功能集	功能	功能描述	参考文档
防护对象	防护对象	防护对象是接入WAF防护的域名或云产品实例，是防护规则的最小生效单元。您可以将防护对象关联到防护模板，实现Web应用防火墙（Web Application Firewall，简称WAF）防护	防护对象和防护对象组
防护对象	防护对象组	防护对象组是防护对象的合集，也是防护规则的生效单元。您可以将多个防护对象加入到一个防护对象组，通过为防护对象组配置防护规则，实现为组内所有防护对象批量配置防护规则。	防护对象和防护对象组
基础Web防护	基础规则引擎防护	基于模式匹配的防护方法，依赖于预定义的规则（即规则组）来识别已知的攻击模式，可防御常见Web应用攻击。	基础防护规则和规则组
	语义引擎防护	更智能的防护方法，通过分析请求的内容和上下文来理解语义与语法结构，能够更好地识别未知的攻击形式，可防御SQL注入攻击。	基础防护规则和规则组
	协议合规引擎防护	由于每种语言处理HTTP请求数据格式要求的松散程度不同，从而衍生出多种绕过WAF防御的方式，比较典型的是文件上传场景，协议合规主要是从协议层面判断数据格式是否符合标准，是防御文件上传等类型变种攻击的利器。	基础防护规则和规则组
	智能运维	根据历史业务流量进行AI学习，发现URL粒度不适用的规则，并自动添加白名单，有效降低误拦截风险。	基础防护规则和规则组
	自定义规则组	WAF按照防护严格程度，内置了三套默认规则组：中等规则组：默认选用该规则组。宽松规则组：如需减少误拦截，可选用该规则组。严格规则组：如需提高攻击检测命中率，可选用该规则组。您也可以根据业务需要，配置自定义规则组。	基础防护规则和规则组
IP黑名单	IP黑名单	接入Web应用防火墙（Web Application Firewall，简称WAF）后，您可以通过设置IP黑名单规则，拦截来自特定IP地址或地址段的请求。	设置IP黑名单规则拦截特定请求
区域封禁	区域封禁	接入Web应用防火墙（Web Application Firewall，简称WAF）后，您可以设置区域封禁规则，通过识别客户端访问请求的来源区域，一键封禁来自特定区域的访问或者允许特定区域的访问，解决部分地区高发的恶意请求问题。	设置区域封禁规则封禁特定区域请求
自定义响应	自定义响应	接入Web应用防火墙（Web Application Firewall，简称WAF）后，您可以设置自定义响应规则，自定义客户端请求被WAF拦截时返回给客户端的拦截页面的样式和内容，包含响应码、响应头、响应体。	设置自定义响应规则配置拦截响应页面
自定义规则	访问控制	根据客户端IP、请求URL及常见的请求头字段定义请求特征匹配条件，对命中匹配条件的请求执行相应处置。例如，您可以使用自定义规则拦截访问指定URI的请求、对包含指定User-Agent内容的请求进行校验等。	自定义规则
	频率控制	在访问控制匹配条件的基础上，定义访问频率检测条件，对访问频率异常的统计对象执行相应处置。例如，如果同一个IP或会话在短时间内频繁命中匹配条件，您可以通过启用频率控制，在一段时间内拦截该IP或会话的请求。	自定义规则
	滑块验证	表示WAF向客户端返回滑动验证页面。如果客户端成功执行滑动验证，则WAF放行本次请求，否则拦截请求。严格滑块验证模式下，客户端的每次请求都需要验证。	自定义规则
网页防篡改	网页防篡改	接入Web应用防火墙（Web Application Firewall，简称WAF）后，您可以通过设置网页防篡改规则，锁定需要保护的网站页面（例如敏感页面）。当被锁定的页面在收到请求时，返回已设置的缓存页面，预防源站页面内容被恶意篡改。	设置网页防篡改规则避免网页被篡改
信息泄露防护	信息泄露防护	接入Web应用防火墙（Web Application Firewall，简称WAF）后，您可以通过设置信息泄露防护规则，使得网站过滤服务器返回内容（例如异常页面、关键字）中的敏感信息（包含身份证号、电话号码、银行卡号、敏感词汇），脱敏展示敏感信息或返回默认异常响应页面。	设置信息泄露防护规则避免敏感信息泄露
CC防护	CC防护	接入Web应用防火墙（Web Application Firewall，简称WAF）后，您可以设置CC防护规则，拦截针对网站页面请求的CC攻击，并返回405拦截提示页面。	设置CC防护规则防御CC攻击
扫描防护	扫描防护	接入Web应用防火墙（Web Application Firewall，简称WAF）后，您可以设置扫描防护规则，识别扫描行为和扫描器特征，阻止攻击者或扫描器对网站的大规模扫描行为，帮助Web业务降低被入侵的风险并减少扫描带来的垃圾流量。	扫描防护规则

场景防护

功能集	功能	功能描述	参考文档
API安全	API资产发现	展示检测发现的所有开放API，包含API名称、所属域名、请求方法、近30天调用量、敏感数据等级、敏感数据类型、服务对象、业务用途等信息。	API安全
	API风险检测	展示检测发现的风险API，包含风险ID、风险类型、来源类型、风所属的来源API名称、所属域名、业务用途、状态、关联安全事件数等信息。	API安全
	API安全事件	展示检测发现的API安全事件，包含事件ID、事件类型、来源类型、安全事件所属的API名称、所属域名、业务用途、攻击源、状态、关联风险等信息。	API安全
	API合规审查和溯源审计	如果您的业务需要对非中国内地地域提供数据时，您需要向所在地省级网信部门向国家网信部门申报数据出境安全评估。您可以使用API安全合规审查和溯源审计功能，对出境数据进行审查和溯源。仅中国内地支持。	API安全
Bot管理	Bot管理-App防护	如果您的实际业务是基于iOS或Android原生开发的App（不包括App中使用的H5页面）等，您可以创建App防爬场景化防护模板，自定义防护规则，防御App爬虫。	开通和配置Bot管理
	Bot管理-Web防护	如果您的实际业务通过浏览器访问网页或H5页面（包括App中使用的H5页面）等，您可以创建网页防爬场景化防护模板，自定义防护规则，防御网页爬虫。	开通和配置Bot管理
	风险识别	Web应用防火墙（WAF）配备了内建的手机号信誉数据库，旨在防范垃圾账号注册、营销活动作弊等行为。WAF可以根据配置，在HTTP请求中检测手机号或其MD5加密信息，并将其与信誉库进行对比。如果发现与异常行为相关的标签，WAF将采取相应的措施，例如启动滑块验证、直接阻止访问或者将标记信息传回服务器。	风险识别
重保场景防护	重保场景防护	重保场景防护适用于特定时间段的重大活动安全保障，为您提供更加精准和定制化的防御模式。	重保场景防护

安全运营

功能集	功能	功能描述	参考文档
安全报表	安全报表	Web应用防火墙（Web Application Firewall，简称WAF）安全报表向您展示WAF不同模块防护规则的防护记录。您可以使用安全报表，查看已启用的基础防护规则、IP黑名单规则、自定义规则等的防护数据，进行业务安全分析。	安全报表
日志服务	日志服务	Web应用防火墙（WAF）日志服务帮助您采集并存储WAF防护对象（云产品实例、域名）的Web访问及攻击防护日志，并基于阿里云日志服务，输出查询分析、统计图表、报警服务、下游计算对接与投递等能力，帮助您专注于分析，远离琐碎的查询和整理工作。	日志管理
告警设置	告警设置	网站接入Web应用防火墙（Web Application Firewall，简称WAF）后，您可以通过设置告警，使WAF在网站请求流量中检测到攻击事件、异常流量时向您发送告警通知，帮助您及时掌握业务的安全状态。	告警设置
封禁查询	封禁查询	Web业务接入Web应用防火墙（Web Application Firewall，简称WAF）防护后，您可以在封禁查询页面，通过请求ID查询拦截详情，若确认为正常请求，可以通过白名单进行加白处理，或者修改对应规则进行优化。	封禁查询
多账号统一管理	多账号统一管理	针对企业用户拥有多个阿里云账号，且每个账号下都有云产品需要接入WAF防护的场景，可通过阿里云资源管理的可信服务功能，将多个阿里云账号汇总到一个资源目录（其中每个阿里云账号表示一个成员账号），并委派特定的成员作为WAF管理员，使其可以访问资源目录下所有成员账号包含的云产品资源，从而实现云产品资源接入WAF并配置统一安全策略。	多账号统一管理

系统管理

功能集	功能	功能描述	参考文档
账单管理	账单管理	开通Web 应用防火墙 WAF（Web Application Firewall） 3.0后，您可以在WAF账单管理页面查看按量付费实例和包年包月实例的实际用量和产生的费用，并在用户中心查看扣费账单。	查看账单
混合云管理	集群管理	您可以通过集群管理页面来部署和管理混合云集群和防护节点。	混合云接入

验证码

验证码2.0是阿里云推出的新一代验证码产品，广泛地应用在账号注册、短信发送、票务预订、信息查询、免费下载、论坛发帖、在线投票等交互模块，通过简单、安全、多样的交互逻辑，提供区分机器脚本和自然人的验证服务，能够缓解及防止计算机程序模拟人类用户来滥用网络资源，在提升网站资源不被恶意程序访问的防御能力的同时，保持真实的用户体验。

功能集	功能	功能描述	参考文档
人机验证	人机验证	提供滑块验证、无痕验证、拼图验证、空间推理等多种验证形态，通过交互行为和语义逻辑上判断人机操作，能够缓解及防止计算机程序模拟人类用户来滥用网络资源	什么是验证码2.0
自定义策略	自定义策略	根据不同的业务需求制定个性化的验证场景策略，包括限速阈值、策略的强度、模拟器拦截选择等	自定义策略
自动容灾架构	自动容灾架构	若服务端发生不可用场景，监测指标自动发现会对验证码能力做放行，优先保证业务链路正常，保障99.99%高可用	什么是验证码2.0