kf@jusoucn.com 
4000-747-360 
常见Web应用攻击防护
防御OWASP常见威胁:支持防御以下常见威胁:SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等。
网站隐身:不对攻击者暴露站点地址、避免其绕过Web应用防火墙直接攻击。
0day补丁定期及时更新:防护规则与淘宝同步,及时更新最新漏洞补丁,第一时间全球同步下发最新补丁,对网站进行安全防护。
前往购买:阿里云web应用防火墙最低149元/年!
深度精确防护
支持全解析多种常见HTTP协议数据提交格式:任意头部字段、Form表单、Multipart、JSON、XML。
支持解码常见编码类型:URL编码、Java Script Unicode编码、HEX编码、HTML实体编码、Java序列化编码、PHP序列化编码、base64编码、UTF-7编码、混合嵌套编码。
支持预处理机制:空格压缩、注释删减、特殊字符处理,向上层多种检测引擎提供更为精细、准确的数据源。
在准确性上,优化引擎解析HTTP协议的能力,支持复杂格式数据环境下的检测能力;抽象复杂格式数据中用户可控部分,降低上层检测逻辑的复杂度,避免过多检测数据导致的误报,降低多倍的误报率;在全面性上,支持多种形式数据编码的自适应解码,避免利用各种编码形式的绕过。
CC恶意攻击防护
对单一源IP的访问频率进行控制,基于重定向跳转验证,人机识别等。
针对海量慢速请求攻击,根据统计响应码及URL请求分布、异常Referer及User-Agent特征识别,结合网站精准防护规则进行综合防护。
充分利用阿里云大数据安全优势,建立威胁情报与可信访问分析模型,快速识别恶意流量。
精准访问控制
提供友好的配置控制台界面,支持IP、URL、Referer、User-Agent等HTTP常见字段的条件组合,配置强大的精准访问控制策略;支持盗链防护、网站后台保护等防护场景。
与Web常见攻击防护、CC防护等安全模块结合,搭建多层综合保护机制;依据需求,轻松识别可信与恶意流量。
虚拟补丁
在Web应用漏洞补丁发布和修复之前,通过调整Web防护策略实现快速防护。
攻击事件管理
支持对攻击事件、攻击流量、攻击规模的集中管理统计。
可靠性
支持负载均衡:以集群方式提供服务,多台机器负载均衡,支持多种负载均衡策略。
支持平滑扩容:可根据实际流量情况,缩减或增加集群机器的数量,进行服务能力弹性扩容。
无单点问题:单台机器宕机或者下线维修,均不影响正常服务。
规格说明
业务规格高级版企业版旗舰版独享版(仅支持工单开通)
站点规模中小型网站,对业务没有特殊的安全需求中型企业级网站或服务对互联网公众开放,关注数据安全且具有高标准的安全需求中大型企业网站,具备较大的业务规模,或是具有特殊定制的安全需求大型企业网站,具备较大的业务规模且基于业务特性具有定制化的配置需求
业务并发请求峰值2,000 QPS5,000 QPS超过10,000 QPS5,000 QPS
业务带宽阈值(源站服务器部署在阿里云)50 Mbps100 Mbps200 Mbps100 Mbps
业务带宽阈值(源站服务器未部署在阿里云)10 Mbps30 Mbps50 Mbps30 Mbps
默认可防护的一级域名个数1个1个1个1000个
默认可防护的总域名个数(支持泛域名)10个10个10个1000个
云技术|云慧采工程师提供WAF安全托管服务
我们的安全工程师通过阿里云安全认证,为您提供完整的WAF接入和使用支持,下表描述了具体的服务内容。
服务类型描述
接入配置
在WAF上配置保护对象的域名策略。
协助用户配置和上传HTTPS证书(用户可自行上传)。
协助用户配置ecs和SLB的源站保护策略。
产品适配和访问测试验证。
用户保护域名变化时,调整相关配置。
防护策略优化
在WAF上的业务出现异常时,提供诊断和排错服务。
基于攻防日志,优化用户安全防护策略和配置。
安全事件响应时,调整防护策略和提供方案,帮助用户缓解事件影响。
提供故障处理、CC防护规则、精准访问控制规则、数据风控等WAF防护配置建议。
监控和预警
系统自动化监控WAF集群可用性故障。
系统自动化监控安全高危事件和攻击导致的异常事件。
人工在线判断和过滤监控事件预警。
安全报告
根据用户要求提供定制化安全报告内容。
提供服务日报和服务月报,其中日报包括当天操作信息,月报包括操作数据和攻防数据分析。
安全事件响应时间
开通WAF安全托管后,当您遇到安全事件需要紧急协助时,服务团队响应您的时间遵循下表描述。
序号优先级定义响应时间
1危险用户核心业务严重受损或完全不可用15分钟
2紧急用户核心业务出现非全局异常30分钟
3高用户非核心业务严重受损或不可用2小时
4中用户非核心业务出现非全局异常4小时
5低用户日常技术咨询8小时
WAF功能列表
功能模块描述高级版企业版旗舰版
业务接入
HTTPS安全防护全站一键实现HTTPS防护。
非标准端口防护支持防护80、8080、443、8443以外的特定非标准端口上的业务。
IPv6防护支持IPv6访问流量的安全检测与防护。
智能负载均衡通过多节点智能接入技术,实现源站服务器多节点、多线路自动调度容灾。增值增值增值
域名独享资源包支持为域名开启独享IP防护。增值增值增值
独享集群基于业务特性的定制化接入和防护能力。
资产识别主动发现和管理站点资产,支持一键接入防护。
透明接入直接牵引源站ECS的流量到Web应用防火墙进行防护。
网站防护
正则防护引擎防御常见的Web攻击,例如SQL注入、XSS等。
自动更新Web 0day漏洞攻击防护规则。
防护规则组支持自定义防护规则组。
大数据深度学习引擎依托于大数据深度学习引擎的0day漏洞风险检测。
主动防御基于网站访问流量的深度学习,提供主动防御能力。
网站防篡改锁定网站页面,防止内容被恶意篡改。
防敏感信息泄露防敏感隐私数据泄露,包括电话号码、身份证、银行卡等重要隐私数据。
CC安全防护防御常见的CC攻击,支持内置的防护和防护-紧急模式。
IP黑名单一键封禁特定的IP地址和地址段的访问能力。
包含上述特性,且支持一键封禁指定地理区域IP的访问能力。
扫描防护支持高频Web攻击封禁(默认规则)、目录遍历封禁(默认规则)、扫描工具封禁、协同防御。
包含上述特性,且支持自定义高频Web攻击封禁、目录遍历封禁规则。
自定义防护策略基于基础字段(包含IP、URL、Referer、User-Agent、Params)的ACL访问控制。
包含基础字段,且支持高级字段(例如Cookie、Content-Type、Header、Http-Method等)。
自定义CC防护规则,设置基于IP和Session进行请求次数统计的频率控制策略。
包含IP和Session,且支持基于自定义字段进行请求次数统计。
数据风控防御网站关键业务(例如注册、登录、活动、论坛)中可能发生的机器爬虫欺诈行为。增值增值增值
Bot管理提供针对自动化攻击或Bot流量的智能防护方案,缓解机器流量对业务造成的安全威胁。支持人机识别,防黄牛、防恶意注册场景。增值增值增值
app防护专门针对原生APP端,提供可信通信,防机器脚本滥刷等安全防护,可以有效识别代理、模拟器、非法签名的请求。增值增值增值
账户安全支持识别与账户关联的业务接口(例如注册、登录等)上的撞库、暴力破解、垃圾注册、弱口令嗅探和短信验证码接口滥刷事件。
API安全支持上传自定义的API规则文件,确保只有符合规则的API请求才会被执行。
安全分析和支持
日志服务支持采集WAF所有的日志信息并存储至日志服务中,提供准实时查询分析和在线报表展示等功能。增值增值增值
可视化大屏服务提供网站整体业务及安全状况的可视化大屏分析。增值增值增值
产品专家服务由安全专家提供咨询服务,负责产品配置、策略优化、日常监控等技术支持。增值增值增值
4000-747-360 
