阿里云Web應(yīng)用防火墻WAF功能優(yōu)勢和特點(diǎn)介紹

　　Web應(yīng)用防火墻是阿里云面向用戶提供的Web安全防護(hù)產(chǎn)品，能夠有效防護(hù)各種Web攻擊，協(xié)助用戶定制訪問規(guī)則，提升網(wǎng)站等業(yè)務(wù)的安全。獨(dú)創(chuàng)的全新WAF技術(shù)架構(gòu)體系，能夠?qū)AF實(shí)例靈活部署在各個Web業(yè)務(wù)入口，避免了傳統(tǒng)云WAF架構(gòu)下黑客繞過代理直攻源站的尷尬。云端安全大數(shù)據(jù)能力的集成也讓W(xué)AF能更有效更快捷的幫助客戶提升網(wǎng)站安全性與可用性。

　　阿里云Web應(yīng)用防火墻（WAF）開通地址 https://partner.aliyun.com/shop/1690271921397837

　　阿里云Web應(yīng)用防火墻（WAF）官方使用幫助文檔 https://help.aliyun.com/document_detail/28518.html

　　WAF:Web應(yīng)用防火墻（Web Application Firewall），簡稱WAF。

　　Web攻擊：針對Web應(yīng)用發(fā)起的攻擊，包括但不限于以下攻擊類型：SQL注入、XSS跨站、Webshell上傳、命令注入、非法HTTP協(xié)議請求、非授權(quán)文件訪問等。

　　全面防護(hù)常見Web攻擊威脅

　　為HTTP／HTTPS業(yè)務(wù)提供SQL注入、XSS跨站、Webshell上傳、非授權(quán)訪問等多種Web服務(wù)攻擊防護(hù)功能。

　　高危0day漏洞極速更新

　　阿里云WAF安全運(yùn)營專家會第一時間獲取各種0day漏洞信息，及時更新Web應(yīng)用防火墻規(guī)則庫，降低0day漏洞攻擊帶來的影響。

　　支持旁路觀察模式

　　設(shè)置旁路觀察模式，對于攻擊只記錄不阻斷，客戶方便評估總定義等多種規(guī)則在實(shí)際業(yè)務(wù)中的工作情況。

　　精準(zhǔn)的訪問控制

　　用戶可以對多種HTTP字段進(jìn)行組合匹配形成自己業(yè)務(wù)等定制規(guī)則，支持簡單的邏輯語法。

　　獨(dú)有的創(chuàng)新云上架構(gòu)

　　可以隨意將WAF實(shí)例真正部署到您的云上IT網(wǎng)絡(luò)架構(gòu)中去的，徹底告別傳統(tǒng)云WAF源站暴露的問題。

　　規(guī)則策略準(zhǔn)確有效

　　WAF策略經(jīng)過阿里多項(xiàng)業(yè)務(wù)進(jìn)行實(shí)地測試，規(guī)則策略準(zhǔn)確有效，防護(hù)效果好。

　　使用簡單

　　無需對DNS進(jìn)行復(fù)雜的域名切換設(shè)置，操作更簡單。

　　事件可追溯

　　完整的記錄攻擊事件的各種元素，方便客戶分析和了解攻擊狀態(tài)。

　　WAF應(yīng)用防火墻應(yīng)用在金融、電商、o2o、互聯(lián)網(wǎng)+、游戲、政府、保險(xiǎn)、政府等各類網(wǎng)站的Web應(yīng)用安全防護(hù)。主要解決問題包括但不限于：

　　防數(shù)據(jù)泄漏，避免因黑客的注入入侵攻擊，導(dǎo)致網(wǎng)站核心數(shù)據(jù)被竊取。

　　0day攻擊防護(hù)，針對系統(tǒng)軟件被曝光的最新漏洞，最大可能提供快速修復(fù)的規(guī)則策略。

　　使用教程

　　更新時間： 2020-10-27

　　使用Web應(yīng)用防火墻（WAF）防護(hù)您的Web業(yè)務(wù)前，您必須將要防護(hù)的網(wǎng)站接入Web應(yīng)用防火墻。未完成接入操作，您的Web應(yīng)用防火墻防護(hù)將無法生效。

　　網(wǎng)站接入流程

　　開通Web應(yīng)用防火墻服務(wù)后，您可以使用CNAME接入的方式將網(wǎng)站接入Web應(yīng)用防火墻進(jìn)行防護(hù)。

　　您在WAF控制臺添加需要防護(hù)的網(wǎng)站域名后，通過修改該域名的DNS解析設(shè)置，將網(wǎng)站流量解析到WAF，使訪問網(wǎng)站的流量經(jīng)過WAF并受到WAF的防護(hù)。WAF將過濾和處理后的請求轉(zhuǎn)發(fā)回該域名的源站服務(wù)器。支持自動添加網(wǎng)站（即域名一鍵接入）和手動添加網(wǎng)站兩種方式。

　　CNAME接入流程：

　　添加域名：介紹自動添加網(wǎng)站和手動添加網(wǎng)站的相關(guān)操作。

　　說明

　　如果網(wǎng)站使用HTTPS協(xié)議，您必須在添加域名后上傳正確、有效的HTTPS證書，保證正常處理HTTPS協(xié)議流量。更多信息，請參見上傳HTTPS證書。

　　如果源站服務(wù)器使用HTTP 80端口、HTTPS 443端口以外的端口，您可以在WAF支持的端口范圍中自定義服務(wù)器端口。更多信息，請參見支持的自定義端口范圍。

　　放行WAF回源IP段：WAF使用特定的回源IP段將經(jīng)過防護(hù)引擎檢測后的正常流量轉(zhuǎn)發(fā)回網(wǎng)站域名的源站服務(wù)器。網(wǎng)站接入WAF進(jìn)行防護(hù)時，您需要設(shè)置源站服務(wù)器的安全軟件或訪問控制策略，放行WAF回源IP段的入方向流量。

　　本地驗(yàn)證：添加域名后，在本地電腦上搭建簡易的模擬環(huán)境，驗(yàn)證網(wǎng)站流量轉(zhuǎn)發(fā)設(shè)置已經(jīng)生效，避免轉(zhuǎn)發(fā)設(shè)置未生效時修改域名的DNS解析設(shè)置，導(dǎo)致業(yè)務(wù)訪問異常。

　　修改域名DNS：手動修改域名的DNS解析設(shè)置，將網(wǎng)站流量解析到WAF進(jìn)行防護(hù)。

　　完成接入流程后，網(wǎng)站訪問流量將經(jīng)過WAF保護(hù)。WAF包含多種防護(hù)檢測模塊，幫助網(wǎng)站應(yīng)對不同類型的安全威脅，其中正則防護(hù)引擎和CC安全防護(hù)模塊默認(rèn)開啟，分別用于防御常見的Web應(yīng)用攻擊（例如SQL注入、XSS跨站、webshell上傳等）和CC攻擊，其他防護(hù)模塊需要您手動開啟并配置具體防護(hù)規(guī)則。更多信息，請參見網(wǎng)站防護(hù)配置概述。

　　最佳實(shí)踐

　　設(shè)置源站保護(hù)：源站服務(wù)器部署在ECS時，通過設(shè)置ECS或SLB的安全組策略，只放行WAF的入方向請求，避免攻擊者繞過WAF直接對源站服務(wù)器發(fā)起攻擊。

　　獲取客戶端真實(shí)IP：接入WAF后，源站收到的所有請求都經(jīng)過WAF代理，您必須通過X-Forwarded-For獲取訪問請求的真實(shí)來源IP。

　　云產(chǎn)品接入WAF

　　同時部署WAF和DDoS高防：網(wǎng)站需要同時防御Web應(yīng)用攻擊和DDoS攻擊時，您可以在源站前依次部署DDoS高防和WAF。

　　同時部署WAF和CDN：網(wǎng)站需要防御Web應(yīng)用攻擊，同時部署CDN加速時，您可以在源站前依次部署CDN和WAF。