最近更新时间:2023-01-06
Web应用防火墙是一种Web安全防护云服务,适用于PCI-DSS、等级保护、企业内控等信息安全规范,通过对网站或APP的业务流量进行特征识别与拦截,可实时防护各类针对网站、Web应用等的常见Web攻击,保障您的业务数据安全,助您提升网站业务的可用性。
紫光云为您提供以下几种类型的Web应用防火墙:
迷你版:入门体验版,适合轻量级别用户,例如博客,静态网页
基础版:基础版功能,适合小型网站
标准版:中型规模网站,关注一部分功能以及安全需求
企业版:中大型网站,政企类服务网站,关注数据内容,对于安全功能有定制化需求
旗舰版:大型网站或特殊业务类别网站,具备特殊定制需求的网站。
几种类型的Web应用防火墙支持的防护指标如下表所示。
功能 | 迷你版 | 基础版 | 标准版 | 企业版 | 旗舰版 |
从节点流出的业务带宽(Mbps) | 10 Mbps | 20 Mbps | 50 Mbps | 100 Mbps | 200 Mbps |
版本内包含支持配置的二级域名个数 | 5 | 10 | 30 | 50 | 50 |
可添加的请求端口,如果使用TCP转发方式需要避开集群已占用的系统端口 | 80、443、8443 | 80、443、8443 | 1001-65534除集群占用端口 | 1001-65534除集群占用端口 | 1001-65534除集群占用端口 |
除了80,443,8443以外的特殊端口数量 | 0 | 10 | 60 | 60 | 60 |
一个套餐内的回源IP个数 | 5 | 10 | 30 | 30 | 50 |
最大每秒请求数(峰值) | 2000 | 4000 | 10000 | 10000 | 20000 |
使用HTTPS方式访问 | 支持 | 支持 | 支持 | 支持 | 支持 |
http请求强制跳转到https,https回源到http源站服务器 | 支持 | 支持 | 支持 | 支持 | 支持 |
对WS/WSS协议服务的转发支持 | 支持 | 支持 | 支持 | 支持 | 支持 |
使用WAF的默认规则进行防护,包括基础的XSS攻击,SQL注入攻击等常见攻击方式的防护 | 支持 | 支持 | 支持 | 支持 | 支持 |
对默认规则的单独开启关闭操作 | 支持 | 支持 | 支持 | 支持 | 支持 |
防御CC攻击 | 支持 | 支持 | 支持 | 支持 | 支持 |
高级CC防护,重复率,单一URL访问频次等配置 | 不支持 | 不支持 | 不支持 | 支持 | 支持 |
配置CC攻击的阈值,返回信息,是否开启/关闭验证码 | 支持 | 支持 | 支持 | 支持 | 支持 |
设置IP黑白名单 | 支持 | 支持 | 支持 | 支持 | 支持 |
对静态文件例如JS文件,图片文件缓存处理,提升访问速度 | 不支持 | 支持 | 支持 | 支持 | 支持 |
对图片或文档文件进行防盗链检查,不允许跨域访问 | 不支持 | 不支持 | 支持 | 支持 | 支持 |
配置符合需求的robots.txt文件规则,提升搜索引擎友好度 | 不支持 | 不支持 | 支持 | 支持 | 支持 |
对一部分区域的客户端IP放行/禁止访问 | 不支持 | 不支持 | 支持 | 支持 | 支持 |
限制客户端对指定URL的请求频次 | 不支持 | 不支持 | 支持 | 支持 | 支持 |
保护某个URL的资源,避免类似短信接口,登录接口的暴力访问情况 | 不支持 | 不支持 | 支持 | 支持 | 支持 |
配置匹配请求头字段的访问控制策略 | 不支持 | 不支持 | 支持 | 支持 | 支持 |
配置扫描器/爬虫的访问频次以及请求规则 | 不支持 | 不支持 | 支持 | 支持 | 支持 |
保护页面中展示的身份证号,手机号和银行卡号 | 不支持 | 不支持 | 支持 | 支持 | 支持 |
设置访问策略规则的条数,包括IP黑白名单条数,URL频次限制条数,URL保护规则条数,精准访问控制规则条数 | 10 | 20 | 50 | 50 | 100 |
定制高级WAF规则,例如限制某个参数名称,某个请求字段的长度,带有正则匹配的URL名,或者同时满足多个条件的防护规则 | 不支持 | 不支持 | 支持 | 支持 | 支持 |
WAF规则云端更新 | 支持 | 支持 | 支持 | 支持 | 支持 |
Webshell检测 | 支持 | 支持 | 支持 | 支持 | 支持 |
定制部分错误返回页面 | 不支持 | 不支持 | 支持 | 支持 | 支持 |
高级WAF规则的条数 | 0 | 10 | 50 | 100 | 150 |
运维支撑 | 不支持 | 有限支持 | 支持 | 支持 | 支持 |
对客户端请求日志的详细分析数据报表 | 不支持 | 不支持 | 支持 | 支持 | 支持 |
对WAF防护数据,访问控制数据的详细分析报表 | 支持 | 支持 | 支持 | 支持 | 支持 |
对各类流量数据的统计分析报表 | 支持 | 支持 | 支持 | 支持 | 支持 |
下载操作日志,安全日志和部分访问日志数据 | 不支持 | 不支持 | 不支持 | 支持 | 支持 |
说明:
监听端口取值范围为80~65534中的任意一个,HTTP/HTTPS协议不可选用81、82、83、84、85、86、87、6379、8000、8001、8002、8003、8004、8005、8006、8007、8008、8009、8080、8081、8082、8083、8084、8085、8086、8087、8088、8089、10050、20050、62222、63790端口,另外HTTP可选用80,HTTPS协议不可选用80。具体端口的支持情况,请以控制台显示和操作结果为准。
采用先进的双引擎技术(用户行为异常检测引擎、基于反向代理架构的黑名单特征引擎),可有效防范SQL注入、跨站脚本、命令注入、木马上传、非授权访问、核心文件盗用等常见Web攻击。
通过行为异常检测引擎可有效防护0day攻击。
通过对常见的请求头部字段进行过滤,可提供针对恶意特征攻击的有效拦截防护,降低CC攻击对业务带来的影响。
支持指定丰富的参数条件或字段条件设置访问黑名单或访问白名单,执行精准的访问控制。
支持全量日志保存和检索功能,一键查询异常请求和攻击拦截日志,便于了解当前Web业务防护情况。
网站可能会被不断增多的CC攻击占用消耗服务器资源,导致网站业务响应缓慢甚至无法对外提供服务。
预防黑客侵入获得管理员权限后植入木马后门进行攻击。
防止数据接口、用户登录接口被人恶意爬取造成用户数据和业务信息被盗用。
