騰訊云-Web應(yīng)用防火墻服務(wù)概述

1、Web應(yīng)用防火墻服務(wù)產(chǎn)品概述目 錄 TOC o 1-3 h z u HYPERLINK l _Toc31989730 產(chǎn)品簡介產(chǎn)品概述 PAGEREF _Toc31989730 h 3 HYPERLINK l _Toc31989731 什么是 Web 應(yīng)用防火墻 PAGEREF _Toc31989731 h 3 HYPERLINK l _Toc31989732 主要功能 PAGEREF _Toc31989732 h 3 HYPERLINK l _Toc31989733 產(chǎn)品分類 PAGEREF _Toc31989733 h 6 HYPERLINK l _Toc31989734 類型概述 PAG

2、EREF _Toc31989734 h 6 HYPERLINK l _Toc31989735 SaaS 型 WAF PAGEREF _Toc31989735 h 6 HYPERLINK l _Toc31989736 負(fù)載均衡型 WAF PAGEREF _Toc31989736 h 7 HYPERLINK l _Toc31989737 產(chǎn)品優(yōu)勢 PAGEREF _Toc31989737 h 10 HYPERLINK l _Toc31989738 多種接入防護(hù)方式 PAGEREF _Toc31989738 h 10 HYPERLINK l _Toc31989739 AI+規(guī)則雙引擎防護(hù) PAGER

3、EF _Toc31989739 h 10 HYPERLINK l _Toc31989740 BOT 行為管理 PAGEREF _Toc31989740 h 10 HYPERLINK l _Toc31989741 智能 CC 防護(hù) PAGEREF _Toc31989741 h 10 HYPERLINK l _Toc31989742 IPv6 安全防護(hù) PAGEREF _Toc31989742 h 11 HYPERLINK l _Toc31989743 應(yīng)用場景 PAGEREF _Toc31989743 h 12 HYPERLINK l _Toc31989744 政務(wù)網(wǎng)站防護(hù) PAGEREF _T

4、oc31989744 h 12 HYPERLINK l _Toc31989745 電商網(wǎng)站防護(hù) PAGEREF _Toc31989745 h 12 HYPERLINK l _Toc31989746 金融網(wǎng)站防護(hù) PAGEREF _Toc31989746 h 12 HYPERLINK l _Toc31989747 防數(shù)據(jù)泄密 PAGEREF _Toc31989747 h 12產(chǎn)品簡介產(chǎn)品概述19-12-20 16:26:33什么是 Web 應(yīng)用防火墻Web（Web Application Firewall，WAF）AIWebAIWebBOTWAFWAF，SaaSWAFWAFSaaS 型 WAF

5、通過 DNS 解析，將域名解析到 WAF 集群提供的 CNAME 地址上，通過 WAF 配置源站服務(wù)器IP，實現(xiàn)域名惡意流量清洗和過濾，將正常流量回源到源站，保護(hù)網(wǎng)站安全。負(fù)載均衡型 WAF 通過和騰訊云負(fù)載均衡集群進(jìn)行聯(lián)動，將負(fù)載均衡的 HTTP/HTTPS 流量鏡像到 WAF 集群， WAF 進(jìn)行旁路威脅檢測和清洗，將用戶請求的可信狀態(tài)同步到負(fù)載均衡集群進(jìn)行威脅攔截或放行，實現(xiàn)網(wǎng)站安全防護(hù)。WAFXSS 攻擊。此外還可以有效過DNS0day主要功能功能簡介AI + Web 應(yīng)用防火墻基于 AI + 規(guī)則的 Web 攻擊識別，防繞過、低漏報、低誤報、精準(zhǔn)有效防御常見Web 攻擊，如 SQL

6、注入、非授權(quán)訪問、XSS 跨站腳本、CSRF 跨站請求偽造， Webshell 木馬上傳等 OWASP 定義的十大 Web 安全威脅攻擊0day 漏洞虛擬補(bǔ)丁騰訊安全團(tuán)隊 7 * 24 小時監(jiān)測，主動發(fā)現(xiàn)并響應(yīng)，24 小時內(nèi)下發(fā)高危 Web 漏洞，0day 漏洞防護(hù)虛擬補(bǔ)丁，受護(hù)用戶無需任何操作即可獲取緊急漏洞，0day 漏洞攻擊防護(hù)能力，大大縮短漏洞響應(yīng)周期網(wǎng)頁防篡改用戶可設(shè)置將核心網(wǎng)頁內(nèi)容緩存云端，并對外發(fā)布緩存中的網(wǎng)頁內(nèi)容，實現(xiàn)網(wǎng)頁替身效果，防止網(wǎng)頁篡改給組織帶來負(fù)面影響功能簡介數(shù)據(jù)防泄漏通過事前服務(wù)器應(yīng)用隱藏，事中入侵防護(hù)及事后敏感數(shù)據(jù)替換隱藏策略，防止后臺數(shù)據(jù)庫被黑客竊取CC 攻擊防

7、護(hù)智能CC防護(hù)，綜合源站異常響應(yīng)情況（超時、響應(yīng)延遲）和網(wǎng)站行為大數(shù)據(jù)分析，智能決策生成防御策略。多維度自定義精準(zhǔn)訪問控制、配合人機(jī)識別和頻率控制等對抗手段，高效過濾垃圾訪問及緩解 CC 攻擊問題爬蟲 BOT 行為管理AIBOTBOTSEO、商業(yè)策略外泄等業(yè)務(wù)風(fēng)險問題DNS 非法劫持檢測對客戶提交的域名進(jìn)行全國范圍的 DNS 驗證，感知并詳細(xì)展示受護(hù)域名在各個地域的劫持情況，協(xié)助規(guī)避站點用戶被惡意劫持給企業(yè)主帶來的數(shù)據(jù)竊取及金融損失問題30 線 BGP IP 接入防護(hù)WAF30BGP IP 鏈路接入，節(jié)點智能調(diào)度，有效解決訪問延1 18WAF為何需要 Web 應(yīng)用防火墻在以下場景中，使用 WA

8、F 均可有效防御以及預(yù)防，保障企業(yè)網(wǎng)站的系統(tǒng)以及業(yè)務(wù)安全。數(shù)據(jù)泄露（核心信息資產(chǎn)泄露）Web 站點作為很多企業(yè)信息資產(chǎn)的入口，黑客可以通過 Web 入侵進(jìn)行企業(yè)信息資產(chǎn)的盜取，對企業(yè)造成不可估量的損失。惡意訪問和數(shù)據(jù)抓?。o法正常服務(wù)，被對手利用數(shù)據(jù)）黑客控制肉雞對 Web 站點發(fā)動 CC 攻擊，資源耗盡而不能提供正常服務(wù)。惡意用戶通過網(wǎng)絡(luò)爬蟲抓取網(wǎng)站的核心內(nèi)容（文學(xué)博客、招聘網(wǎng)站、論壇網(wǎng)站、電商內(nèi)的評論）電商網(wǎng)站被競爭對手刻意爬取商品詳情進(jìn)行研究。羊毛黨們試圖搜尋低價商品信息或在營銷大促前提前獲取情報尋找套利的可能。網(wǎng)站被掛馬被篡改（影響公信力和形象）Web公信力和形象蒙受損失。框架漏洞（補(bǔ)

9、丁修復(fù)時段被攻擊）很多 Web 系統(tǒng)基于常見的開源框架如 Structs2、Spring、WordPress 等，這些框架常常爆出安全漏洞，但等待安裝補(bǔ)丁的維護(hù)時段，則是一段艱難和危險的過程，很多攻擊會漏洞公布之后一天內(nèi)就遍地開花。非法劫持（無法感知被劫持情況）為了獲取流量，或者為了增加廣告收入，網(wǎng)站的正常 DNS 請求得不到正常的回應(yīng)，或者訪問的內(nèi)容被惡意修改，都是網(wǎng)絡(luò)上常見的劫持現(xiàn)象，網(wǎng)站運(yùn)營者往往只有在客戶投訴的時候才能知道，無法從服務(wù)端感知此類現(xiàn)象。大流量 DDoS 造成業(yè)務(wù)中斷為了使得競爭對手業(yè)務(wù)中斷，或者造成關(guān)鍵門戶網(wǎng)站不能訪問，DDoS 攻擊已經(jīng)成為成本和門檻較低的攻擊手段，對業(yè)

10、務(wù)的連續(xù)性和品牌的影響極大，而且往往運(yùn)營者在被攻擊時很被動。產(chǎn)品分類20-01-07 20:43:37類型概述騰訊云提供兩種類型的云上 WAF，SaaS 型 WAF 和負(fù)載均衡型 WAF。兩種 WAF 的安全防護(hù)能力基本相同，但接入方式不同，適用場景不同，您可以根據(jù)實際部署需要選擇不同類型的 WAF。類別SAAS 型負(fù)載均衡型適用場景適合所有用戶（云上用戶或本地IDC 用戶），通過 DNS 解析調(diào)度實現(xiàn)域名接入。騰訊云上已使用或計劃使用七層負(fù)載均衡的用戶。核心優(yōu)勢適用范圍廣闊，廣泛覆蓋騰訊云上和非騰訊云上用戶。無感知接入，毫秒級延遲，WAF 接入不需要調(diào)整現(xiàn)有的網(wǎng)絡(luò)架構(gòu)。網(wǎng)站業(yè)務(wù)轉(zhuǎn)發(fā)和安全防護(hù)

11、分離，一鍵bypass，保障網(wǎng)站業(yè)務(wù)安全、穩(wěn)定可靠。支持多地域接入。如何選擇若用戶在騰訊云上和本地均有網(wǎng)站需要防護(hù)需求，或騰訊云上未使用七層負(fù)載均衡，推薦使用SAAS 型 WAF。騰訊云上已使用或計劃使用七層負(fù)載均衡的用WebBOT保合規(guī)保護(hù)、網(wǎng)站安全運(yùn)營需求，推薦使用負(fù)。說明：說明：負(fù)載均衡型 WAF，當(dāng)前灰度開放中，如需使用請 HYPERLINK /apply/p/b5e8c1wm1or 提交申請，我們將盡快為您核實開通。SaaS 型 WAF用戶在 WAF 上添加防護(hù)域名并設(shè)置回源信息后，WAF 將為防護(hù)域名分配唯一的 CNAME 地址。用戶可以通過修改DNS 解析，將原來的 A 記錄修改

12、為 CNAME 記錄，并將防護(hù)域名流量調(diào)度到 WAF 集群。WAF 集群對防護(hù)域名進(jìn)行惡意流量檢測和防護(hù)后，將正常流量回源到源站，保護(hù)網(wǎng)站安全。負(fù)載均衡型 WAFWAF 通過配置域名和騰訊云七層負(fù)載均衡（監(jiān)聽器）集群進(jìn)行聯(lián)動，對經(jīng)過負(fù)載均衡的 HTTP/HTTPS 流量進(jìn)行旁路威脅檢測和清洗，實現(xiàn)業(yè)務(wù)轉(zhuǎn)發(fā)和安全防護(hù)分離，最大限度減少安全防護(hù)對網(wǎng)站業(yè)務(wù)的影響，保護(hù)網(wǎng)站穩(wěn)定運(yùn) 行。負(fù)載均衡型 WAF 提供兩種流量處理模式：鏡像模式：通過域名進(jìn)行關(guān)聯(lián)，CLB 鏡像流量到 WAF 集群，WAF 進(jìn)行旁路檢測和告警，不返回請求可信狀態(tài)。清洗模式：通過域名進(jìn)行關(guān)聯(lián)，CLB 鏡像流量到 WAF 集群，WAF

13、 進(jìn)行旁路檢測和告警，同步請求可信狀態(tài)， CLB 集群根據(jù)狀態(tài)對請求進(jìn)行攔截或放行處理。產(chǎn)品優(yōu)勢20-01-16 11:09:54多種接入防護(hù)方式開通 WAF 后，無需進(jìn)行業(yè)務(wù)變更即可完成防護(hù)接入，一鍵綁定騰訊云負(fù)載均衡實現(xiàn)網(wǎng)站旁路檢測和威脅清洗， 同時提供一鍵 bypass 功能，實現(xiàn)業(yè)務(wù)轉(zhuǎn)發(fā)和安全防護(hù)分離，穩(wěn)定可靠。通過 CNAME 接入 WAF，隱藏用戶真實源站，將可信流量回源，覆蓋騰訊云和非騰訊云上用戶。防護(hù)集群資源多地部署、動態(tài)擴(kuò)展，按需使用，避免冗余及單點故障。AI+規(guī)則雙引擎防護(hù)Top 防御（如XSSAIWeb0day 攻擊及其它新型未知攻擊。通過不斷學(xué)習(xí)海量業(yè)務(wù)數(shù)據(jù)特征，生成基

14、于業(yè)務(wù)的個性化防護(hù)策略，避免誤報，用戶可基于 AI 引擎實現(xiàn)自助誤報和漏報處理，提升運(yùn)營效率。共享騰訊安全聯(lián)合實驗室為騰訊云安全持續(xù)輸送安全防護(hù)能力，Web 應(yīng)用防火墻由專業(yè)攻防團(tuán)隊7x24小時持續(xù)迭代防護(hù)系統(tǒng)，保障您的網(wǎng)站防御系統(tǒng)處于行業(yè)前沿。BOT 行為管理基于 AI 的行為分析引擎，實現(xiàn)實時會話追蹤，通過流量畫像匹配行為模型及行為標(biāo)簽，進(jìn)行識別高效率檢測惡意BOT 行為。提供超過1000種公開 BOT 類型，可快速設(shè)定防護(hù)策略。提供爬蟲和 IP 情報特征，快速識別 BOT 行為。提供協(xié)議特征和50+會話特征，針對多種業(yè)務(wù)場景定義防護(hù)策略。提供已知、未知和自定義類型 BOT 詳細(xì)報表和統(tǒng)計

15、，快速定位和防御惡意 BOT，保護(hù)網(wǎng)站業(yè)務(wù)安全。智能 CC 防護(hù)綜合源站異常響應(yīng)情況（超時、響應(yīng)延遲）和網(wǎng)站歷史訪問數(shù)據(jù)，智能決策生成防御策略，實時攔截高頻訪問請求，封禁攻擊源?？勺远x session，通過 session 維度進(jìn)行 CC 防護(hù)，更加精確防護(hù) CC 攻擊，減少誤報?？蓪崟r查看 CC 封堵狀態(tài) IP，根據(jù)需要快速調(diào)整防護(hù)策略。一鍵無縫接入百 G 抗 DDoS 攻擊能力，輕松應(yīng)對敏感大流量 DDoS 攻擊問題，無懼突發(fā)風(fēng)險。IPv6 安全防護(hù)NAT64IPv6IPv4IPv6IPv4IPv6應(yīng)用場景19-12-05 18:48:20政務(wù)網(wǎng)站防護(hù)一鍵接入防御，輕松配置，隱藏并保護(hù)源站，保證網(wǎng)站內(nèi)容不被黑客入侵篡改。保障網(wǎng)站信息正確，政府服務(wù)正常可用，民眾訪問滿意暢通。電商網(wǎng)站防護(hù)持續(xù)優(yōu)化防護(hù)規(guī)則、精準(zhǔn)攔截 Web 攻擊，全面抵御 OWASP Top 10 Web 應(yīng)用風(fēng)險。在高并