阿里云Web应用防火墙WAF功能优势和特点介绍

　　阿里云Web应用防火墙WAF功能优势和特点介绍

　　Web应用防火墙是阿里云面向用户提供的Web安全防护产品，能够有效防护各种Web攻击，协助用户定制访问规则，提升网站等业务的安全。独创的全新WAF技术架构体系，能够将WAF实例灵活部署在各个Web业务入口，避免了传统云WAF架构下黑客绕过代理直攻源站的尴尬。云端安全大数据能力的集成也让WAF能更有效更快捷的帮助客户提升网站安全性与可用性。

　　阿里云Web应用防火墙（WAF）开通地址 https://partner.aliyun.com/shop/1690271921397837

　　阿里云Web应用防火墙（WAF）官方使用帮助文档 https://help.aliyun.com/document_detail/28518.html

　　WAF:Web应用防火墙（Web Application Firewall），简称WAF。

　　Web攻击：针对Web应用发起的攻击，包括但不限于以下攻击类型：SQL注入、XSS跨站、Webshell上传、命令注入、非法HTTP协议请求、非授权文件访问等。

　　全面防护常见Web攻击威胁

　　为HTTP／HTTPS业务提供SQL注入、XSS跨站、Webshell上传、非授权访问等多种Web服务攻击防护功能。

　　高危0day漏洞极速更新

　　阿里云WAF安全运营专家会第一时间获取各种0day漏洞信息，及时更新Web应用防火墙规则库，降低0day漏洞攻击带来的影响。

　　支持旁路观察模式

　　设置旁路观察模式，对于攻击只记录不阻断，客户方便评估总定义等多种规则在实际业务中的工作情况。

　　精准的访问控制

　　用户可以对多种HTTP字段进行组合匹配形成自己业务等定制规则，支持简单的逻辑语法。

　　独有的创新云上架构

　　可以随意将WAF实例真正部署到您的云上IT网络架构中去的，彻底告别传统云WAF源站暴露的问题。

　　规则策略准确有效

　　WAF策略经过阿里多项业务进行实地测试，规则策略准确有效，防护效果好。

　　使用简单

　　无需对DNS进行复杂的域名切换设置，操作更简单。

　　事件可追溯

　　完整的记录攻击事件的各种元素，方便客户分析和了解攻击状态。

　　WAF应用防火墙应用在金融、电商、o2o、互联网+、游戏、政府、保险、政府等各类网站的Web应用安全防护。主要解决问题包括但不限于：

　　防数据泄漏，避免因黑客的注入入侵攻击，导致网站核心数据被窃取。

　　0day攻击防护，针对系统软件被曝光的最新漏洞，最大可能提供快速修复的规则策略。

　　使用教程

　　更新时间： 2020-10-27

　　使用Web应用防火墙（WAF）防护您的Web业务前，您必须将要防护的网站接入Web应用防火墙。未完成接入操作，您的Web应用防火墙防护将无法生效。

　　网站接入流程

　　开通Web应用防火墙服务后，您可以使用CNAME接入的方式将网站接入Web应用防火墙进行防护。

　　您在WAF控制台添加需要防护的网站域名后，通过修改该域名的DNS解析设置，将网站流量解析到WAF，使访问网站的流量经过WAF并受到WAF的防护。WAF将过滤和处理后的请求转发回该域名的源站服务器。支持自动添加网站（即域名一键接入）和手动添加网站两种方式。

　　CNAME接入流程：

　　添加域名：介绍自动添加网站和手动添加网站的相关操作。

　　说明

　　如果网站使用HTTPS协议，您必须在添加域名后上传正确、有效的HTTPS证书，保证正常处理HTTPS协议流量。更多信息，请参见上传HTTPS证书。

　　如果源站服务器使用HTTP 80端口、HTTPS 443端口以外的端口，您可以在WAF支持的端口范围中自定义服务器端口。更多信息，请参见支持的自定义端口范围。

　　放行WAF回源IP段：WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护时，您需要设置源站服务器的安全软件或访问控制策略，放行WAF回源IP段的入方向流量。

　　本地验证：添加域名后，在本地电脑上搭建简易的模拟环境，验证网站流量转发设置已经生效，避免转发设置未生效时修改域名的DNS解析设置，导致业务访问异常。

　　修改域名DNS：手动修改域名的DNS解析设置，将网站流量解析到WAF进行防护。

　　完成接入流程后，网站访问流量将经过WAF保护。WAF包含多种防护检测模块，帮助网站应对不同类型的安全威胁，其中正则防护引擎和CC安全防护模块默认开启，分别用于防御常见的Web应用攻击（例如SQL注入、XSS跨站、webshell上传等）和CC攻击，其他防护模块需要您手动开启并配置具体防护规则。更多信息，请参见网站防护配置概述。

　　最佳实践

　　设置源站保护：源站服务器部署在ECS时，通过设置ECS或SLB的安全组策略，只放行WAF的入方向请求，避免攻击者绕过WAF直接对源站服务器发起攻击。

　　获取客户端真实IP：接入WAF后，源站收到的所有请求都经过WAF代理，您必须通过X-Forwarded-For获取访问请求的真实来源IP。

　　云产品接入WAF

　　同时部署WAF和DDoS高防：网站需要同时防御Web应用攻击和DDoS攻击时，您可以在源站前依次部署DDoS高防和WAF。

　　同时部署WAF和CDN：网站需要防御Web应用攻击，同时部署CDN加速时，您可以在源站前依次部署CDN和WAF。