什么是 WAF（Web 应用防火墙）？

Web 应用防火墙的定义

Web 应用防火墙 (WAF) 可防御恶意攻击和非授权流量，包括机器人流量、注入攻击和应用层拒绝服务 (DoS) 攻击，保护 Web 应用安全。WAF 将帮助您创建和管理规则，更好地防御网络威胁，包括 IP 地址攻击、HTTP 标头攻击、HTTP 正文攻击、URI 字符串攻击、跨站点脚本 (XSS) 攻击、SQL 注入以及其他 OWASP 漏洞。在部署 Web 应用防火墙后，企业将能够有效保护 Web 应用，同时收集访问日志，满足合规和分析需求。

WAF 安全性为何十分重要？

Web 应用防火墙可通过基于地理位置数据、IP 白名单和黑名单、超文本传输协议统一资源定位符 (HTTP URL) 以及 HTTP 标头的访问控制，全面保护公有云技术、本地和多云环境下的应用。它能够使用一系列高级验证方法，包括 JavaScript、全自动区分计算机和人类的图灵测试 (CAPTCHA)、设备识别以及人机交互算法，识别和阻止恶意机器人流量；能够利用聚合了多个来源和开放式 Web 应用程序安全项目 (OWASP) 的检测规则的集成式威胁智能，保护网络应用不受攻击影响。

Web 应用防火墙的特性

WAF 的主要特性和功能包括：

基于域名系统 (DNS) 进行动态流量路由：充分利用基于 DNS 的流量路由算法，基于来自全球数千个位置的用户延迟情况，确定最低延迟路径。

高可用性：在配置 Web 应用交付时，WAF 可通过添加多个源服务器提供多个高可用性配置选项。当主源服务器离线或未正确响应运行状况检测时，这些设置可确保实现高可用性。

灵活的策略管理方法：在 WAF 配置中，用户可按需对各项特性和功能进行配置和管理，满足企业需求。

监视和报告：WAF 支持用户访问内容库的相关报告，满足合规和分析需求。

升级：WAF 可提供相关信息，帮助支持团队按紧急程度发布和升级票据。

部署基于云技术的 Web 应用防火墙

基于云技术的 WAF 可满足多种 Web 应用托管环境的安全保护需求，包括本地环境、云环境、混合环境和多云环境。无论企业部署了多少家基础设施提供商的产品，它都可以可靠保护网络边缘免受恶意流量影响。换言之，通过部署适当的基于云技术的 WAF，企业可通过一个独立平台保护所有网络应用和 API — 无论部署在什么位置。

领先的基于云技术的 WAF 由经验丰富的互联网安全专家团队全天候托管：监测 Web 应用托管环境，并在发生问题时提供可靠的风险缓解建议。这种托管式 WAF 服务不仅能显著降低风险，还能减轻管理负担 — 云技术提供商负责 WAF 配置、监测、调优并响应安全事件。得益于持续监测，企业可有效防范计划外停机以及停机引发的品牌商誉损失。此外，基于云技术的托管式 WAF 服务还有助于企业将更多时间投入到核心业务上，提高利润。基于云技术的 WAF 的提供商可确保实现最高等级的 Web 应用安全性，企业既无需支付高昂的前期投资，还能消除关于维护、硬件更换和软件升级的持续性成本。最后，基于云技术的 WAF 部署简单，采用可预测的订阅式定价模式，企业可轻松进行预算规划。

Web 应用防火墙的优势

Web 应用防火墙 (WAF) 不仅能过滤指向 Web 应用或 API 的恶意请求，还能提供更高的流量来源可见性，消除针对应用层 (Layer 7) 的分布式拒绝服务 (DDos) 攻击，从而提高应用可用性，更好地执行合规要求。

机器人管理解决方案可使用 IP 速率限制、CAPTCHA、设备指纹识别以及人机交互挑战等检测技术识别和阻止恶意和/或可疑机器人活动，防止其从您的网站上抓取竞争性数据。与此同时，WAF 允许来自 Google、Facebook 和其它公司的合法机器人正常访问您的 Web 应用。利用基于数据驱动式算法的智能域名系统 (DNS)，WAF 可实时识别理想的全球接入点 (POP)，满足特定用户需求。换言之，它可以在确保正常运行时间和服务水平的同时，让用户绕过全球网络问题和潜在延迟。

上海云盾专注于提供新一代安全产品和服务，以纵深安全加速，护航数字业务的产品服务理念，替身和隐身的攻防思想，运用大数据、AI、零信任技术架构和健壮的全球网络资源，一站式解决数字业务的应用漏洞、黑客渗透、爬虫Bot、DDoS等安全威胁，满足合规要求，提高用户体验。其中Web安全加速产品，是一款专注保护游戏、电商、金融、医疗、门户等行业网站/APP/API业务免遭Web攻击、漏洞利用、系统入侵、内容篡改、后门、CC和DDoS攻击威胁的安全防护产品，支持HTTP、HTTPS和WebSocket协议，在抵御各类攻击的同时，保障网站业务的快速稳定访问。

例如，内容安全。过滤和替换应用系统中的敏感信息，支持定制专属敏感词库，避免因敏感信息导致业务系统被关停的风险。

例如，访客鉴权。通过算法签名对请求进行校验，可识别针对应用的各种CC攻击，适用于APP和API场景。

例如，智能调度。YUNDUN智能调度系统根据业务系统访客分布、全局边缘节点质量、源站线路、运营商分布、攻击数据等信息，解析就近最优线路节点， 兼顾安全和加速能力。