騰訊雲Web應用防火牆有什麼用?Web應用防火牆是防禦原理介紹

騰訊雲Web應用防火牆有什麼用?Web應用防火牆是防禦原理介紹

騰訊雲 Web 應用防火牆是一款專業為網站及 Web 服務的一站式智慧防護平臺，幫助企業組織應對網站及 Web 業務面臨的 Bot 爬蟲惡意爬取、漏洞暴露、Web 入侵及資料洩露、網站被篡改或植入、域名非法劫持等帶來的業務安全風險問題。其防護原理是透過將原本直接訪問 Web 業務站點的流量先引流到騰訊雲 Web 應用防火牆防護叢集，經過雲端威脅清洗過濾後再將安全流量回源到業務站點，從而確保到達使用者業務站點的流量安全可信。下面趙一八筆記()各位大家介紹騰訊雲Web應用防火牆有什麼用以及Web應用防火牆是防禦原理

騰訊雲web應用防火牆產品直達連結：點選進入  

騰訊雲 Web 應用防火牆為使用者輸送頂級安全能力，並結合騰訊自營業務 Web 安全防護實踐，針對性的提供最佳化 Web 業務安全運營的防護策略。

一.Web應用防火牆是防禦策略都有哪些?

1.AI+ 規則雙引擎

傳統 WAF 核心引擎多采用正規表示式集合，存在難以避免“漏判”被繞過，及“誤判”導致影響業務的問題。騰訊雲 Web 應用防火牆率先應用 AI+ 規則雙引擎檢測技術，最大限度地提高已知和未知威脅的檢測率和捕獲率，最大限度減少誤報，並且靈活適應不斷變化的 Web 應用。

AI 威脅人工智慧 + 規則雙引擎，交叉驗證，持續學習，精準有效捕捉各類常規 Web 攻擊，0day 攻擊及其它新型未知攻擊。

常見基於語義學習的威脅 AI 技術依然存在被經驗高段駭客繞過的可能，騰訊雲 Web 應用防火牆採用自研基於機率圖的威脅 AI 技術，同時藉助騰訊平臺海量威脅攻擊及正常訪問的資料訓練，實踐證明，大大提升了威脅 AI 識別能力，並保障了防護可靈活適應不斷變化的 Web 應用。

透過不斷學習海量業務資料特徵自動生成基於業務的個性化防護策略，防止特殊業務訪問資料誤判問題。

2.充分應用騰訊大資料威脅情報

憑藉騰訊十九年的海量資料處理經驗及黑產對抗沉澱，騰訊建立了安全大資料威脅情報平臺，涵蓋豐富殭屍網路、全球代理、高匿名代理、tor 代理、億級惡意黑 IP 庫情報(撞庫、暴力破解、掃描、黑產 IP 庫等)、漏洞、爬蟲庫，、聯網攻擊溯源資料、域名攻擊資料等。

騰訊雲 Web 應用防火牆充分應用騰訊大資料威脅情報能力，第一時間感知網際網路空間的已知及未知的攻擊及威脅，透過 Web 應用防火牆平臺，受護使用者實現大資料威脅情報共享，迅速感知 Web 業務入侵行為並動態調整威脅防護策略，及時有效防禦黑產的 0day 攻擊及各類入侵行為。

3.漏洞虛擬補丁

0day 漏洞爆發日益頻繁，安全運維團隊應接不暇。依託騰訊頂尖威脅情報能力，騰訊雲 Web 應用防火牆主動檢測並及時發現高危 Web 漏洞、0day 漏洞，並生成針對漏洞的防護規則，受護使用者無需任何操作即可獲取緊急漏洞，0day 漏洞攻擊防護能力，幫助受護網站無憂層出不窮的 Web 漏洞隱患。

騰訊專業安全團隊 7*24 小時持續響應 0day 漏洞，緊急漏洞問題。

12h 內更新高危漏洞防護補丁，24h 內更新常見通用型漏洞防護補丁。

Web 應用防火牆雲端自動升級針對漏洞的攻擊防護策略，全球秒級同步下發。

4.獨有基於 AI 的爬蟲 Bot 行為管理模組

騰訊雲 Web 應用防火牆獨家提供基於 AI+ 規則的 Bot 程式管理功能，對友好及惡意 Bot 爬蟲進行甄別分類，並允許採取針對性的管理策略，如放通搜尋引擎類機器人流量，而對惡意資料爬取商品資訊流量採取不響應策略，一方面應對惡意 Bot 爬取帶來的資源消耗，資訊洩露及業務競爭問題，同時也保障友好爬蟲(如搜尋引擎，廣告程式)的正常執行。瞭解更多：

支援識別多類已知 Bot 行為，包括但不限於：Feed fetcher，廣告，截圖工具，搜尋引擎，站點監控，連結查詢，工具類，漏洞掃描類，病毒查殺,網頁爬蟲，速度測試等爬蟲型別。

支援智慧識別未公開的及惡意爬蟲程式, 採用 AI 技術建模，透過對業務流量特徵，正常人類訪問行為，機器人程式訪問行為進行學習，智慧甄別異常爬蟲程式流量。

支援使用者自定義 Bot 行為識別規則：針對 referer 特徵，UA 特徵，請求速率，次數，引數，路徑特徵，IP 範圍等定義 Bot 行為識別規則。

支援對 Bot 行為及攔截情況進行分類統計並以圖形化報表展示，提供 Bot 管理決策依據。

支援靈活化設定“監控”“攔截”“放行”策略。

5.獨有 DNS 劫持檢測模組

DNS 劫持攻擊將對使用者業務及品牌信譽帶來嚴重損失。藉助於騰訊海量終端的檢測探測點與雲端強大資料分析能力，對客戶提交的域名進行全國範圍的 DNS 驗證，感知及詳細地展示受護域名在各個地域的劫持情況，幫助組織規避 DNS 劫持問題所帶來的業務風險問題。

6.資料防洩漏

Web 攻擊、系統漏洞攻擊等攻擊手段操作後臺資料庫，導致資料庫中儲存的使用者身份證資訊、聯絡方式等敏感資訊被攻擊者獲取。針對資料竊取行為，騰訊雲 WAF 提供基於事前，事中，事後的防護策略：

事前：對伺服器資訊如響應碼，資料庫錯誤資訊進行隱藏，並識別攔截駭客的掃描行為，防止駭客的“踩點”探測漏洞的行為，提升駭客入侵難度。

事中：對駭客入侵行為，如 SQL 注入行為，Webshell 上傳行為進行感知攔截，阻止駭客對資料庫的進一步入侵。

事後：提供自定義的資訊洩露防護規則，針對檢測到的資料竊取行為，自動啟用資料替換策略，將攻擊響應傳輸中的敏感資料，如電話號碼，ID 身份證號進行替換隱藏，防止駭客獲取業務資料。

7.CC 攻擊防護

騰訊雲 Web 應用防火牆內建久經實踐的 CC 攻擊防護演算法，透過在四層和七層阻斷海量的惡意請求，智慧高效的過濾垃圾訪問，有效防禦 CC 攻擊，保障業務資料免被惡意爬取及保障正常業務訪問的穩定性。

支援基於訪問頻次，條件匹配模式識別 CC 攻擊。

支援開啟“封禁訪問”或“人機識別”策略模式。

支援自定義懲罰時長。

8.網頁防篡改

網站部署騰訊雲 Web 應用防火牆後，使用者可設定將核心網頁內容快取雲端，並對外發布快取中的網頁內容，實現網頁替身效果。部署設定後，任何網頁內容更改，由使用者操作同步更新雲內快取後才對外發布，保障受護網頁的更新可控可靠：

當源站由於受到攻擊遭到篡改後，對外發布的內容依然為快取中的正常網頁，避免篡改事件擴散。

當處於敏感時期，可將網頁內容鎖定為快取網頁，實現敏感時期防篡改重保。

9.自定義防護策略

騰訊雲 Web 應用防火牆提供最簡化的雲 WAF 安全防護管理體驗，同時針對使用者特殊業務應用防護的需求，提供了靈活的配置策略以滿足防護靈活化需求：

自定義防禦規則：支援精細化基於 IP、URL 路徑、Referer、POST 引數的自定義防禦規則設定 Web 攻擊防護措施。

地域封禁：支援粗放式基於地域的封禁功能，對國內大區，省份或國外訪問進行黑名單封禁。

防護模式設定：支援根據實際業務防護需求，定義“攔截模式”及“觀察模式”。

10.一鍵整合高防能力

對外發布業務常常遭受 DDoS 攻擊威脅問題。針對突發性大量 DDoS 攻擊問題，Web 應用防火牆提供一鍵方便接入騰訊大禹 DDoS 防護體系，核心地域同步覆蓋， 能夠無縫和百 G 大流量高防包整合,將源站隱藏在源站在具備網站安全防護能力的同時，不懼超大流量 DDOS 攻擊。

騰訊大禹 DDoS 防護提供免費 2G 的基礎 DDOS 防護能力，滿足日常安全運營需求。

11.快速可靠的防護體驗

騰訊雲 Web 應用防火牆獨家支援防護節點30線獨享 BGP IP 鏈路接入, 節點智慧排程，有效解決訪問延遲問題，保障 1-18 線城市使用者的站點訪問速度，實現對網站訪問速度影響無感知的雲 WAF 安全防護部署。

騰訊雲 Web 應用防火牆基於騰訊雲平臺，保障安全業務流量穩定可用。

提供 WAF 叢集多地部署，全球負載，避免單點故障問題。

節點內部採用高可用彈性伸縮架構，故障快速遷移及恢復，防護能力按需靈活彈性伸縮。

各個使用者間防護叢集資源相互隔離，保障使用者間業務防護相互不受影響。

二.web使用者防火牆常見應用場景：

網際網路+業務：

業務資料不被入侵篡改竊取，過濾各類攻擊及垃圾流量，支撐網際網路 + 企業核心業務正常穩定運營。

解決惡意 Bot 帶來的內容版權侵權，黑產 SEO，資料爬取洩露，垃圾流量負面影響問題。

高可用，隨業務增長彈性擴充套件，節省成本。

電商 O2O 站點：

在高併發搶購及各類營銷活動場景下，智慧過濾惡意攻擊及爬蟲垃圾訪問，保障業務訪問流暢。

解決惡意 Bot 爬蟲競爭比價，庫存查詢，業務資料抓取分析，黑產 SEO 等負面影響問題，確保營銷策略有效開展。

高可用，隨業務增長彈性擴充套件，節省成本。

金融網站：

有效檢測 Web入侵，撞庫拖庫，DNS 劫持等異常訪問，保護使用者資訊不外洩。

識別管理 Bot 機器人程式行為，協助泛金融企業反爬蟲管理策略，避免金融產品資訊被爬取，金融策略外洩等風險。

民生政務網站：

保證民生政務網站(政務、醫療、教育、社保、稅務等)內容不被黑篡改，民生資料不被入侵竊取。

保障民生服務正常可用，民眾訪問滿意暢通，維護政府公信力，規避敏感安全事件影響。

企業網站：

保障企業入口網站不被入侵掛馬篡改，規避由網站安全事件帶來的經濟及企業品牌形象損失問題。

減少安全人員精力投入，零硬體零運維，節省成本。

三.騰訊雲web應用防火牆常見問題：

Web 應用防火牆是否支援 HTTPS 防護?

Web 應用防火牆全面支援 HTTPS 業務。使用者只需根據提示將 SSL 證書及私鑰上傳，或者選擇騰訊雲託管證書，Web 應用防火牆即可防護 HTTPS 業務流量。

Web 應用防火牆的 QPS 限制規格是針對整個例項，還是配置的單個域名的 QPS 上限?

Web 應用防火牆的 QPS 限制規格是針對整個例項。若配置防護三個域名，則這三個域名累加的 QPS 不能超過規定上限。如果超過已購買的例項的 QPS 限制，將觸發限速，導致丟包。

Web 應用防火牆的源站 IP 可以填寫騰訊雲 CVM 內網 IP 嗎?

Web 應用防火牆新增域名時，填寫的源站地址必須是公網 IP 或者域名。其中公網 IP 包括 CVM 公網 IP、CLB 公網 IP 或者其他本地 IDC 的出口 IP，不支援填寫 CVM 的內網 IP。

Web 應用防火牆可以直接使用 DDoS 高防包麼?

可以，在 DDoS 高防包控制檯配置頁面直接選擇 Web 應用防火牆例項的 IP 即可讓網站管傢俱備高防能力。詳情請參見 DDoS 高防包接入實踐。

Web 應用防火牆如何同 CDN 或 DDoS 高防包 一起接入?

Web 應用防火牆可直接將 DDoS 高防包疊加，CDN 的源站指向 Web 應用防火牆例項的 IP 即可。最佳部署架構：客戶端 > CDN > Web 應用防火牆+高防包 > 負載均衡 > 源站。

在客戶需要 CDN 和高防能力時，只要將網站管家接入後提供的 CNAME 配置為 CDN 的源站即可，同時可以將 DDoS 高防包疊加到 Web 應用防火牆例項上。即可實現使用者流量經過 CDN 之後，被轉發至 Web 應用防火牆，同時具備大流量 DDoS 的清洗能力，最終轉發至源站，對源站進行全面的安全防護。

Web 應用防火牆一個防護域名可以設定多少個回源 IP?

Web 應用防火牆一個防護域名最多可以設定20個回源 IP。

Web 應用防火牆配置多個源站時如何負載?

如果配置了多個回源 IP，Web 應用防火牆採用輪詢的方式對訪問請求進行負載均衡。

Web 應用防火牆是否支援健康檢查?

Web 應用防火牆預設啟用健康檢查。Web 應用防火牆會對所有源站 IP 進行接入狀態檢測，如果某個源站 IP 沒有響應，Web 應用防火牆將不再將請求轉發到該源站 IP ，直到接入狀態恢復正常。

Web 應用防火牆是否支援會話保持?

Web 應用防火牆支援會話保持，預設開啟。

在 Web 應用防火牆的控制檯中，更改配置後大約需要多少時間生效?

一般情況下，更改後的配置在10s內即可生效。

Web 應用防火牆是否會自動將回源 IP 段加入安全組?

不會自動將高防回源 IP 段新增到安全組。請參考 快速入門 將相應的回源 IP 加入到安全組。

如果上傳檔案被攔截，那使用 HTTPS 或者 SFTP 上傳檔案是否仍會攔截呢?

若沒有使用 Web 應用防火牆不會被攔截，如果使用 Web 應用防火牆並且開啟了攔截模式，使用 HTTP 或 HTTPS 上傳惡意檔案將會被攔截。但使用 SFTP 上傳檔案則不會被攔截，SFTP 是非 HTTP 或 HTTPS 協議，Web 應用防火牆不支援防護。

SaaS 型和負載均衡型 Web 應用防火牆是否都支援 SSL 雙向認證?

SaaS 型 Web 應用防火牆不支援 SSL 雙向認證，負載均衡型 Web 應用防火牆支援 SSL 雙向認證。