阿里云Web應用防火墻WAF功能優(yōu)勢和特點介紹

　　Web應用防火墻是阿里云面向用戶提供的Web安全防護產(chǎn)品，能夠有效防護各種Web攻擊，協(xié)助用戶定制訪問規(guī)則，提升網(wǎng)站等業(yè)務的安全。獨創(chuàng)的全新WAF技術架構體系，能夠?qū)AF實例靈活部署在各個Web業(yè)務入口，避免了傳統(tǒng)云WAF架構下黑客繞過代理直攻源站的尷尬。云端安全大數(shù)據(jù)能力的集成也讓WAF能更有效更快捷的幫助客戶提升網(wǎng)站安全性與可用性。

　　阿里云Web應用防火墻（WAF）開通地址 https://partner.aliyun.com/shop/1690271921397837

　　阿里云Web應用防火墻（WAF）官方使用幫助文檔 https://help.aliyun.com/document_detail/28518.html

　　WAF:Web應用防火墻（Web Application Firewall），簡稱WAF。

　　Web攻擊：針對Web應用發(fā)起的攻擊，包括但不限于以下攻擊類型：SQL注入、XSS跨站、Webshell上傳、命令注入、非法HTTP協(xié)議請求、非授權文件訪問等。

　　全面防護常見Web攻擊威脅

　　為HTTP／HTTPS業(yè)務提供SQL注入、XSS跨站、Webshell上傳、非授權訪問等多種Web服務攻擊防護功能。

　　高危0day漏洞極速更新

　　阿里云WAF安全運營專家會第一時間獲取各種0day漏洞信息，及時更新Web應用防火墻規(guī)則庫，降低0day漏洞攻擊帶來的影響。

　　支持旁路觀察模式

　　設置旁路觀察模式，對于攻擊只記錄不阻斷，客戶方便評估總定義等多種規(guī)則在實際業(yè)務中的工作情況。

　　精準的訪問控制

　　用戶可以對多種HTTP字段進行組合匹配形成自己業(yè)務等定制規(guī)則，支持簡單的邏輯語法。

　　獨有的創(chuàng)新云上架構

　　可以隨意將WAF實例真正部署到您的云上IT網(wǎng)絡架構中去的，徹底告別傳統(tǒng)云WAF源站暴露的問題。

　　規(guī)則策略準確有效

　　WAF策略經(jīng)過阿里多項業(yè)務進行實地測試，規(guī)則策略準確有效，防護效果好。

　　使用簡單

　　無需對DNS進行復雜的域名切換設置，操作更簡單。

　　事件可追溯

　　完整的記錄攻擊事件的各種元素，方便客戶分析和了解攻擊狀態(tài)。

　　WAF應用防火墻應用在金融、電商、o2o、互聯(lián)網(wǎng)+、游戲、政府、保險、政府等各類網(wǎng)站的Web應用安全防護。主要解決問題包括但不限于：

　　防數(shù)據(jù)泄漏，避免因黑客的注入入侵攻擊，導致網(wǎng)站核心數(shù)據(jù)被竊取。

　　0day攻擊防護，針對系統(tǒng)軟件被曝光的最新漏洞，最大可能提供快速修復的規(guī)則策略。

　　使用教程

　　更新時間： 2020-10-27

　　使用Web應用防火墻（WAF）防護您的Web業(yè)務前，您必須將要防護的網(wǎng)站接入Web應用防火墻。未完成接入操作，您的Web應用防火墻防護將無法生效。

　　網(wǎng)站接入流程

　　開通Web應用防火墻服務后，您可以使用CNAME接入的方式將網(wǎng)站接入Web應用防火墻進行防護。

　　您在WAF控制臺添加需要防護的網(wǎng)站域名后，通過修改該域名的DNS解析設置，將網(wǎng)站流量解析到WAF，使訪問網(wǎng)站的流量經(jīng)過WAF并受到WAF的防護。WAF將過濾和處理后的請求轉發(fā)回該域名的源站服務器。支持自動添加網(wǎng)站（即域名一鍵接入）和手動添加網(wǎng)站兩種方式。

　　CNAME接入流程：

　　添加域名：介紹自動添加網(wǎng)站和手動添加網(wǎng)站的相關操作。

　　說明

　　如果網(wǎng)站使用HTTPS協(xié)議，您必須在添加域名后上傳正確、有效的HTTPS證書，保證正常處理HTTPS協(xié)議流量。更多信息，請參見上傳HTTPS證書。

　　如果源站服務器使用HTTP 80端口、HTTPS 443端口以外的端口，您可以在WAF支持的端口范圍中自定義服務器端口。更多信息，請參見支持的自定義端口范圍。

　　放行WAF回源IP段：WAF使用特定的回源IP段將經(jīng)過防護引擎檢測后的正常流量轉發(fā)回網(wǎng)站域名的源站服務器。網(wǎng)站接入WAF進行防護時，您需要設置源站服務器的安全軟件或訪問控制策略，放行WAF回源IP段的入方向流量。

　　本地驗證：添加域名后，在本地電腦上搭建簡易的模擬環(huán)境，驗證網(wǎng)站流量轉發(fā)設置已經(jīng)生效，避免轉發(fā)設置未生效時修改域名的DNS解析設置，導致業(yè)務訪問異常。

　　修改域名DNS：手動修改域名的DNS解析設置，將網(wǎng)站流量解析到WAF進行防護。

　　完成接入流程后，網(wǎng)站訪問流量將經(jīng)過WAF保護。WAF包含多種防護檢測模塊，幫助網(wǎng)站應對不同類型的安全威脅，其中正則防護引擎和CC安全防護模塊默認開啟，分別用于防御常見的Web應用攻擊（例如SQL注入、XSS跨站、webshell上傳等）和CC攻擊，其他防護模塊需要您手動開啟并配置具體防護規(guī)則。更多信息，請參見網(wǎng)站防護配置概述。

　　最佳實踐

　　設置源站保護：源站服務器部署在ECS時，通過設置ECS或SLB的安全組策略，只放行WAF的入方向請求，避免攻擊者繞過WAF直接對源站服務器發(fā)起攻擊。

　　獲取客戶端真實IP：接入WAF后，源站收到的所有請求都經(jīng)過WAF代理，您必須通過X-Forwarded-For獲取訪問請求的真實來源IP。

　　云產(chǎn)品接入WAF

　　同時部署WAF和DDoS高防：網(wǎng)站需要同時防御Web應用攻擊和DDoS攻擊時，您可以在源站前依次部署DDoS高防和WAF。

　　同時部署WAF和CDN：網(wǎng)站需要防御Web應用攻擊，同時部署CDN加速時，您可以在源站前依次部署CDN和WAF。