源站可以配置黑白名單,僅放行 WAF 回源網段以及一些可信 IP 地址網段,其他 IP 地址的連接一律拒絕。
產品介紹
WEB應用防火墻(簡稱WAF)是對客戶請求與Web應用之間信息的唯一出入口,能根據不同的策略控制,有效地監控了應用業務和互聯網之間的任何活動,保證了內部系統的安全。
產品特性
安全防護
WAF的虛擬補丁可快速對漏洞進行實時的防護與響應
源站保護
隱藏真實源站,實現網站隱身,避免真實地址暴露受到黑客攻擊
訪問來源控制
通過安全準入控制,只允許云WAF的IP訪問,其余定向訪問一律禁止,可對抗指定源站IP進行的定向攻擊行為
功能優勢
低延遲
規則自完善系統
自動化彈性擴展能力
協同防御能力
豐富的規則支持
7*24小時專家服務
功能規格
核心功能 | 說明 |
---|---|
混合云接入 | 通過 CNAME 解析接入 WAF,新網公有云和非新網公有云用戶均可接入。 |
0Day 防護 | 安全團隊 7 * 24 小時監測,主動發現并響應,24 小時內下發高危 Web 漏洞,0day 漏洞防護虛擬補丁,受護用戶無需任何操作即可獲取緊急漏洞、0day 漏洞攻擊防護能力,大大縮短漏洞響應周期。 |
基礎防護 | 全面防護以下攻擊類型:SQL 注入、XSS 跨站、WebShell、命令注入、非法 HTTP 協議請求、常見 Web 服務器漏洞攻擊、核心文件非授權訪問、路徑穿越等。提供后門隔離保護及掃描防護等功能。規則支持自定義。 |
訪問控制 | 提供友好的配置控制臺界面,支持 IP、URL、Referer、User-Agent 等 HTTP 常見字段的條件組合,打造強大的精準訪問控制策略,可支持盜鏈、網站后臺保護等防護場景。與 Web 常見攻擊防護、CC 防護等安全模塊采用聯動機制,打造多層綜合保護機制、可根據需求,識別可信與惡意流量。 |
CC攻擊防護 | 對單一源 IP 的訪問頻率進行控制,支持重定向跳轉驗證、及人機識別等。針對海量慢速請求攻擊,根據統計響應碼及 URL 請求分布、異常 Referer 及 User-Agent 特征識別,結合網站精準訪問控制進行綜合防護。 |
全量訪問日志 | 實時日志的搜索查詢與下載180天內日志。 |
防頁面篡改 | 用戶可設置將核心網頁內容緩存云端,并對外發布緩存中的網頁內容,實現網頁替身效果,防止網頁篡改給組織帶來負面影響。 |
防敏感信息泄露 | 將敏感信息如手機號、身份證脫敏,防止泄漏,同時也可以根據響應內容進行阻斷,響應內容的格式需為 text/html 或 text/plain。也可以根據源站的響應碼偽裝響應內容,或者改響應阻斷。 |
核心功能 | 說明 |
---|---|
地域 | 目前支持大陸地區,華北一、上海兩個地域,后續其他地域將陸續上線 |
域名數量 | 一個服務支持綁定1個域名 |
日志服務 | 180天 |
帶寬 | 峰值40Mbps |
QPS | 峰值3000 |
HTTP | 支持80、443標準端口接入 |
HTTPS | 支持80、443標準端口接入 |
HTTP2.0 | 除80、443標準端口外,還支持防護特定的非標準端口上的業務,但客戶需要自行配置 |
非標端口 | 支持HTTP2.0 業務的轉發與安全防 |
系統規則 | 40條/單個服務 |
CC 防護規則 | 20條/單個服務 |
惡意 IP 封禁* | 5條/單個服務 |
區域 IP 封禁 | 10條/單個服務 |
信息安全防護 | 20條/單個服務 |
黑白名單 | 1000條/單個服務 |
網頁防篡改 | 20條/單個服務 |
核心功能 | 說明 |
---|---|
標準版 | 各版本功能及配額完全一致 |
獨立IP版 | 在標準版基礎上,享有獨立ip,相比于標準版,該服務綁定的域名能在共享防護IP的域名被DDoS攻擊時不受影響,同時擁有更好的并發性能 |
高防版(即將上線) | 在獨立IP版基礎上,防護域名被DDoS攻擊時可自動開啟高防(10G容量),將惡意流量清洗后再進行WAF防護 |
應用場景
網站基礎防護
覆蓋中常見安全威脅,通過預置豐富的信譽庫,對漏洞攻擊、網頁木馬等威脅進行檢測和攔截
支持SQL注入、XSS跨站腳本、Webshell上傳、目錄(路徑)遍歷、文件包含等常見Web攻擊的檢測和攔截
能解決的問題
全面防護SQL注入、XSS、Webshell上傳、目錄遍歷、后門隔離等各類常見Web攻擊
相關產品
CC攻擊防護
黑客控制大量肉雞或代理服務器,生成大量的指向受害網站的合法請求,長時間占用核心資源
靜態網站遭受攻擊時,網絡資源被垃圾數據消耗,網站無法正常訪問
能解決的問題
可以對請求進行限流,防止出現大量請求直接回源到源站造成源站網絡擁堵或 CPU 使用率飆升的情況
相關產品
面臨問題與處理
客戶面臨的問題 | 新網云WAF的有效解決方案 |
---|---|
網頁防篡改 | 支持靜態首頁等資源的網頁防篡改需求 |
網絡CC攻擊 | CC規則可通過閾值控制、驗證碼等多種方式進行安全防范 |
網站來源訪問管理 | 定制化的黑白名單及路徑控制,有效解決用戶訪問管理 |
等保合規要求 | 滿足等保合規,具有銷售認證許可 |
基本的網站防護(掃描,OWASP TOP 10等) | 默認系統功能可解決來自于互聯網惡意掃描等問題 |
文檔及幫助
WAF 控制臺概覽界面的【信息通告】一欄正下方有一欄【基本信息】,最后一行為【回源 IP】,點擊【查看】即可獲取相應的回源 IP 網段地址。
每當爆出最新漏洞的時候,我們的安全工程師會第一時間跟進,分析 POC 和漏洞原理,提取出相應的檢測規則,及時部署新規則到 WAF。
WAF 系統對漏洞攻擊的阻斷稱為“虛擬補丁”,意味著并非是真正的打補丁行為,而是臨時封堵攻擊,為業務方更新補丁贏取時間。
如果有外網 SLB,則填寫 SLB 網關的 IP 即可,不需要填寫子網主機 IP。對于請求代理型 SLB,推薦使用SLB 版 WAF。
開啟【HTTP2 轉發】后,同一防護 IP[?]下所有的域名的 HTTPS 端口都會支持 HTTPS,若只希望個別域名開啟 HTTP2.0,建議此類域名使用獨享 IP。對于 HTTPS 443 端口,建議同步開啟【HTTPS 跳轉】。HTTP 端口不支持 HTTP2.0。
參見規則優先級。
對于觸發 WAF 規則而攔截的請求:響應 404 狀態碼和默認的攔截頁面,旗艦版及專屬定制版用戶可以自定義攔截的響應狀態碼和攔截頁面。
對于觸發 CC 規則的 IP 的請求:若限制方式是 攔截此類請求,則拒絕連接并記錄 444 狀態碼;若限制方式是 啟用驗證碼,則響應 200 狀態碼和驗證碼頁面;若限制方式是限制請求速率,則對超出速率的請求響應 429 狀態碼。
對于黑名單中 IP 的請求,若動作是攔截,則拒絕連接并記錄 444 狀態碼;若動作是驗證碼,則響應 200 狀態碼和驗證碼頁面。