騰訊云-Web應(yīng)用防火墻服務(wù)概述

1、Web應(yīng)用防火墻服務(wù)產(chǎn)品概述目 錄 TOC o 1-3 h z u HYPERLINK l _Toc31989730 產(chǎn)品簡介產(chǎn)品概述 PAGEREF _Toc31989730 h 3 HYPERLINK l _Toc31989731 什么是 Web 應(yīng)用防火墻 PAGEREF _Toc31989731 h 3 HYPERLINK l _Toc31989732 主要功能 PAGEREF _Toc31989732 h 3 HYPERLINK l _Toc31989733 產(chǎn)品分類 PAGEREF _Toc31989733 h 6 HYPERLINK l _Toc31989734 類型概述 PAG

2、EREF _Toc31989734 h 6 HYPERLINK l _Toc31989735 SaaS 型 WAF PAGEREF _Toc31989735 h 6 HYPERLINK l _Toc31989736 負(fù)載均衡型 WAF PAGEREF _Toc31989736 h 7 HYPERLINK l _Toc31989737 產(chǎn)品優(yōu)勢 PAGEREF _Toc31989737 h 10 HYPERLINK l _Toc31989738 多種接入防護(hù)方式 PAGEREF _Toc31989738 h 10 HYPERLINK l _Toc31989739 AI+規(guī)則雙引擎防護(hù) PAGER

3、EF _Toc31989739 h 10 HYPERLINK l _Toc31989740 BOT 行為管理 PAGEREF _Toc31989740 h 10 HYPERLINK l _Toc31989741 智能 CC 防護(hù) PAGEREF _Toc31989741 h 10 HYPERLINK l _Toc31989742 IPv6 安全防護(hù) PAGEREF _Toc31989742 h 11 HYPERLINK l _Toc31989743 應(yīng)用場景 PAGEREF _Toc31989743 h 12 HYPERLINK l _Toc31989744 政務(wù)網(wǎng)站防護(hù) PAGEREF _T

4、oc31989744 h 12 HYPERLINK l _Toc31989745 電商網(wǎng)站防護(hù) PAGEREF _Toc31989745 h 12 HYPERLINK l _Toc31989746 金融網(wǎng)站防護(hù) PAGEREF _Toc31989746 h 12 HYPERLINK l _Toc31989747 防數(shù)據(jù)泄密 PAGEREF _Toc31989747 h 12產(chǎn)品簡介產(chǎn)品概述19-12-20 16:26:33什么是 Web 應(yīng)用防火墻Web（Web Application Firewall，WAF）AIWebAIWebBOTWAFWAF，SaaSWAFWAFSaaS 型 WAF

5、通過 DNS 解析，將域名解析到 WAF 集群提供的 CNAME 地址上，通過 WAF 配置源站服務(wù)器IP，實(shí)現(xiàn)域名惡意流量清洗和過濾，將正常流量回源到源站，保護(hù)網(wǎng)站安全。負(fù)載均衡型 WAF 通過和騰訊云負(fù)載均衡集群進(jìn)行聯(lián)動，將負(fù)載均衡的 HTTP/HTTPS 流量鏡像到 WAF 集群， WAF 進(jìn)行旁路威脅檢測和清洗，將用戶請求的可信狀態(tài)同步到負(fù)載均衡集群進(jìn)行威脅攔截或放行，實(shí)現(xiàn)網(wǎng)站安全防護(hù)。WAFXSS 攻擊。此外還可以有效過DNS0day主要功能功能簡介AI + Web 應(yīng)用防火墻基于 AI + 規(guī)則的 Web 攻擊識別，防繞過、低漏報(bào)、低誤報(bào)、精準(zhǔn)有效防御常見Web 攻擊，如 SQL

6、注入、非授權(quán)訪問、XSS 跨站腳本、CSRF 跨站請求偽造， Webshell 木馬上傳等 OWASP 定義的十大 Web 安全威脅攻擊0day 漏洞虛擬補(bǔ)丁騰訊安全團(tuán)隊(duì) 7 * 24 小時(shí)監(jiān)測，主動發(fā)現(xiàn)并響應(yīng)，24 小時(shí)內(nèi)下發(fā)高危 Web 漏洞，0day 漏洞防護(hù)虛擬補(bǔ)丁，受護(hù)用戶無需任何操作即可獲取緊急漏洞，0day 漏洞攻擊防護(hù)能力，大大縮短漏洞響應(yīng)周期網(wǎng)頁防篡改用戶可設(shè)置將核心網(wǎng)頁內(nèi)容緩存云端，并對外發(fā)布緩存中的網(wǎng)頁內(nèi)容，實(shí)現(xiàn)網(wǎng)頁替身效果，防止網(wǎng)頁篡改給組織帶來負(fù)面影響功能簡介數(shù)據(jù)防泄漏通過事前服務(wù)器應(yīng)用隱藏，事中入侵防護(hù)及事后敏感數(shù)據(jù)替換隱藏策略，防止后臺數(shù)據(jù)庫被黑客竊取CC 攻擊防

7、護(hù)智能CC防護(hù)，綜合源站異常響應(yīng)情況（超時(shí)、響應(yīng)延遲）和網(wǎng)站行為大數(shù)據(jù)分析，智能決策生成防御策略。多維度自定義精準(zhǔn)訪問控制、配合人機(jī)識別和頻率控制等對抗手段，高效過濾垃圾訪問及緩解 CC 攻擊問題爬蟲 BOT 行為管理AIBOTBOTSEO、商業(yè)策略外泄等業(yè)務(wù)風(fēng)險(xiǎn)問題DNS 非法劫持檢測對客戶提交的域名進(jìn)行全國范圍的 DNS 驗(yàn)證，感知并詳細(xì)展示受護(hù)域名在各個地域的劫持情況，協(xié)助規(guī)避站點(diǎn)用戶被惡意劫持給企業(yè)主帶來的數(shù)據(jù)竊取及金融損失問題30 線 BGP IP 接入防護(hù)WAF30BGP IP 鏈路接入，節(jié)點(diǎn)智能調(diào)度，有效解決訪問延1 18WAF為何需要 Web 應(yīng)用防火墻在以下場景中，使用 WA

8、F 均可有效防御以及預(yù)防，保障企業(yè)網(wǎng)站的系統(tǒng)以及業(yè)務(wù)安全。數(shù)據(jù)泄露（核心信息資產(chǎn)泄露）Web 站點(diǎn)作為很多企業(yè)信息資產(chǎn)的入口，黑客可以通過 Web 入侵進(jìn)行企業(yè)信息資產(chǎn)的盜取，對企業(yè)造成不可估量的損失。惡意訪問和數(shù)據(jù)抓?。o法正常服務(wù)，被對手利用數(shù)據(jù)）黑客控制肉雞對 Web 站點(diǎn)發(fā)動 CC 攻擊，資源耗盡而不能提供正常服務(wù)。惡意用戶通過網(wǎng)絡(luò)爬蟲抓取網(wǎng)站的核心內(nèi)容（文學(xué)博客、招聘網(wǎng)站、論壇網(wǎng)站、電商內(nèi)的評論）電商網(wǎng)站被競爭對手刻意爬取商品詳情進(jìn)行研究。羊毛黨們試圖搜尋低價(jià)商品信息或在營銷大促前提前獲取情報(bào)尋找套利的可能。網(wǎng)站被掛馬被篡改（影響公信力和形象）Web公信力和形象蒙受損失?？蚣苈┒矗ㄑa(bǔ)

9、丁修復(fù)時(shí)段被攻擊）很多 Web 系統(tǒng)基于常見的開源框架如 Structs2、Spring、WordPress 等，這些框架常常爆出安全漏洞，但等待安裝補(bǔ)丁的維護(hù)時(shí)段，則是一段艱難和危險(xiǎn)的過程，很多攻擊會漏洞公布之后一天內(nèi)就遍地開花。非法劫持（無法感知被劫持情況）為了獲取流量，或者為了增加廣告收入，網(wǎng)站的正常 DNS 請求得不到正常的回應(yīng)，或者訪問的內(nèi)容被惡意修改，都是網(wǎng)絡(luò)上常見的劫持現(xiàn)象，網(wǎng)站運(yùn)營者往往只有在客戶投訴的時(shí)候才能知道，無法從服務(wù)端感知此類現(xiàn)象。大流量 DDoS 造成業(yè)務(wù)中斷為了使得競爭對手業(yè)務(wù)中斷，或者造成關(guān)鍵門戶網(wǎng)站不能訪問，DDoS 攻擊已經(jīng)成為成本和門檻較低的攻擊手段，對業(yè)

10、務(wù)的連續(xù)性和品牌的影響極大，而且往往運(yùn)營者在被攻擊時(shí)很被動。產(chǎn)品分類20-01-07 20:43:37類型概述騰訊云提供兩種類型的云上 WAF，SaaS 型 WAF 和負(fù)載均衡型 WAF。兩種 WAF 的安全防護(hù)能力基本相同，但接入方式不同，適用場景不同，您可以根據(jù)實(shí)際部署需要選擇不同類型的 WAF。類別SAAS 型負(fù)載均衡型適用場景適合所有用戶（云上用戶或本地IDC 用戶），通過 DNS 解析調(diào)度實(shí)現(xiàn)域名接入。騰訊云上已使用或計(jì)劃使用七層負(fù)載均衡的用戶。核心優(yōu)勢適用范圍廣闊，廣泛覆蓋騰訊云上和非騰訊云上用戶。無感知接入，毫秒級延遲，WAF 接入不需要調(diào)整現(xiàn)有的網(wǎng)絡(luò)架構(gòu)。網(wǎng)站業(yè)務(wù)轉(zhuǎn)發(fā)和安全防護(hù)

11、分離，一鍵bypass，保障網(wǎng)站業(yè)務(wù)安全、穩(wěn)定可靠。支持多地域接入。如何選擇若用戶在騰訊云上和本地均有網(wǎng)站需要防護(hù)需求，或騰訊云上未使用七層負(fù)載均衡，推薦使用SAAS 型 WAF。騰訊云上已使用或計(jì)劃使用七層負(fù)載均衡的用WebBOT保合規(guī)保護(hù)、網(wǎng)站安全運(yùn)營需求，推薦使用負(fù)。說明：說明：負(fù)載均衡型 WAF，當(dāng)前灰度開放中，如需使用請 HYPERLINK /apply/p/b5e8c1wm1or 提交申請，我們將盡快為您核實(shí)開通。SaaS 型 WAF用戶在 WAF 上添加防護(hù)域名并設(shè)置回源信息后，WAF 將為防護(hù)域名分配唯一的 CNAME 地址。用戶可以通過修改DNS 解析，將原來的 A 記錄修改

12、為 CNAME 記錄，并將防護(hù)域名流量調(diào)度到 WAF 集群。WAF 集群對防護(hù)域名進(jìn)行惡意流量檢測和防護(hù)后，將正常流量回源到源站，保護(hù)網(wǎng)站安全。負(fù)載均衡型 WAFWAF 通過配置域名和騰訊云七層負(fù)載均衡（監(jiān)聽器）集群進(jìn)行聯(lián)動，對經(jīng)過負(fù)載均衡的 HTTP/HTTPS 流量進(jìn)行旁路威脅檢測和清洗，實(shí)現(xiàn)業(yè)務(wù)轉(zhuǎn)發(fā)和安全防護(hù)分離，最大限度減少安全防護(hù)對網(wǎng)站業(yè)務(wù)的影響，保護(hù)網(wǎng)站穩(wěn)定運(yùn) 行。負(fù)載均衡型 WAF 提供兩種流量處理模式：鏡像模式：通過域名進(jìn)行關(guān)聯(lián)，CLB 鏡像流量到 WAF 集群，WAF 進(jìn)行旁路檢測和告警，不返回請求可信狀態(tài)。清洗模式：通過域名進(jìn)行關(guān)聯(lián)，CLB 鏡像流量到 WAF 集群，WAF

13、 進(jìn)行旁路檢測和告警，同步請求可信狀態(tài)， CLB 集群根據(jù)狀態(tài)對請求進(jìn)行攔截或放行處理。產(chǎn)品優(yōu)勢20-01-16 11:09:54多種接入防護(hù)方式開通 WAF 后，無需進(jìn)行業(yè)務(wù)變更即可完成防護(hù)接入，一鍵綁定騰訊云負(fù)載均衡實(shí)現(xiàn)網(wǎng)站旁路檢測和威脅清洗， 同時(shí)提供一鍵 bypass 功能，實(shí)現(xiàn)業(yè)務(wù)轉(zhuǎn)發(fā)和安全防護(hù)分離，穩(wěn)定可靠。通過 CNAME 接入 WAF，隱藏用戶真實(shí)源站，將可信流量回源，覆蓋騰訊云和非騰訊云上用戶。防護(hù)集群資源多地部署、動態(tài)擴(kuò)展，按需使用，避免冗余及單點(diǎn)故障。AI+規(guī)則雙引擎防護(hù)Top 防御（如XSSAIWeb0day 攻擊及其它新型未知攻擊。通過不斷學(xué)習(xí)海量業(yè)務(wù)數(shù)據(jù)特征，生成基

14、于業(yè)務(wù)的個性化防護(hù)策略，避免誤報(bào)，用戶可基于 AI 引擎實(shí)現(xiàn)自助誤報(bào)和漏報(bào)處理，提升運(yùn)營效率。共享騰訊安全聯(lián)合實(shí)驗(yàn)室為騰訊云安全持續(xù)輸送安全防護(hù)能力，Web 應(yīng)用防火墻由專業(yè)攻防團(tuán)隊(duì)7x24小時(shí)持續(xù)迭代防護(hù)系統(tǒng)，保障您的網(wǎng)站防御系統(tǒng)處于行業(yè)前沿。BOT 行為管理基于 AI 的行為分析引擎，實(shí)現(xiàn)實(shí)時(shí)會話追蹤，通過流量畫像匹配行為模型及行為標(biāo)簽，進(jìn)行識別高效率檢測惡意BOT 行為。提供超過1000種公開 BOT 類型，可快速設(shè)定防護(hù)策略。提供爬蟲和 IP 情報(bào)特征，快速識別 BOT 行為。提供協(xié)議特征和50+會話特征，針對多種業(yè)務(wù)場景定義防護(hù)策略。提供已知、未知和自定義類型 BOT 詳細(xì)報(bào)表和統(tǒng)計(jì)

15、，快速定位和防御惡意 BOT，保護(hù)網(wǎng)站業(yè)務(wù)安全。智能 CC 防護(hù)綜合源站異常響應(yīng)情況（超時(shí)、響應(yīng)延遲）和網(wǎng)站歷史訪問數(shù)據(jù)，智能決策生成防御策略，實(shí)時(shí)攔截高頻訪問請求，封禁攻擊源。可自定義 session，通過 session 維度進(jìn)行 CC 防護(hù)，更加精確防護(hù) CC 攻擊，減少誤報(bào)。可實(shí)時(shí)查看 CC 封堵狀態(tài) IP，根據(jù)需要快速調(diào)整防護(hù)策略。一鍵無縫接入百 G 抗 DDoS 攻擊能力，輕松應(yīng)對敏感大流量 DDoS 攻擊問題，無懼突發(fā)風(fēng)險(xiǎn)。IPv6 安全防護(hù)NAT64IPv6IPv4IPv6IPv4IPv6應(yīng)用場景19-12-05 18:48:20政務(wù)網(wǎng)站防護(hù)一鍵接入防御，輕松配置，隱藏并保護(hù)源站，保證網(wǎng)站內(nèi)容不被黑客入侵篡改。保障網(wǎng)站信息正確，政府服務(wù)正?？捎茫癖娫L問滿意暢通。電商網(wǎng)站防護(hù)持續(xù)優(yōu)化防護(hù)規(guī)則、精準(zhǔn)攔截 Web 攻擊，全面抵御 OWASP Top 10 Web 應(yīng)用風(fēng)險(xiǎn)。在高并