什么是防护IP?
防护IP是指需要保护的网站的IP地址。
Web应用防火墙支持漏洞检测吗?
WAF的Web基础防护功能可以对第三方漏洞攻击等威胁进行检测和拦截。在配置Web基础防护规则时,如果您开启了扫描器,WAF将对扫描器爬虫,如OpenVAS、Nmap等进行检测。
Web应用防火墙是否支持Exchange里的相关协议?
WAF支持exchange里登录网页webmail时的http和https协议;WAF不支持exchange里的SMTP 、POP3 、IMAP 等邮件相关的协议。
Web应用防火墙是否支持防御XOR注入攻击?
Web应用防火墙支持防御XOR注入。
如何理解WAF日志里的bind_ip参数?
网站接入WAF后,WAF作为反向代理存在客户端与源站服务器之间,检测过滤恶意攻击流量,用bind_ip(WAF的回源IP)将正常的流量转发传输到源站。
通过IP接入WAF后,WAF可以防护映射到这个IP的所有域名吗?
不支持。WAF的独享模式支持源站IP接入WAF防护,且该IP支持私网IP或者内网IP,但WAF仅防护通过IP访问的流量,不能防护映射到这个IP的域名,如需防护域名,需要单独将域名接入WAF进行防护。
Web应用防火墙是否支持SSL双向认证?
不支持。您可以在WAF上配置单向的SSL证书。
Web应用防火墙支持基于应用层协议和内容的访问控制吗?
WAF支持应用层协议和内容的访问控制,应用层协议支持HTTP和HTTPS。
Web应用防火墙是否可以对用户添加的Post的body进行检查?
WAF的内置检测会检查Post数据,webshell是Post提交的文件。Post类型提交的表单、json等数据,都会被WAF的默认策略检查。
您可以通过配置精准访问防护规则,对添加的Post的body进行检查。
Web应用防火墙可以限制域名访问速度吗?
不支持。WAF支持通过自定义CC防护规则,限制单个IP/Cookie/Referer访问者对防护网站上特定路径(URL)的访问频率,精准识别CC攻击以及有效缓解CC攻击。
Web应用防火墙可以拦截multipart/form-data格式的数据包吗?
WAF支持拦截multipart/form-data格式的数据包。
Multipart/form-data是浏览器使用表单上传文件的方式。例如,在写邮件时,如果邮件添加了附件,附件通常使用multipart/form-data格式上传到服务器。
Web应用防护墙可以部署在VPC内网吗?
可以。独享版WAF的独享引擎实例部署在VPC内。
Web应用防火墙支持拦截包含特殊字符的URL请求吗?
WAF不支持将拦截请求URL中含有特殊字符作为拦截条件,即URL请求中有特殊字符,WAF不会拦截。WAF可以对来源IP进行检测和限制。
Web应用防火墙可以防止垃圾注册和恶意注册吗?
WAF不能防止垃圾注册和恶意注册等业务层面攻击行为。建议您在网站配置注册验证机制,以防止垃圾注册和恶意注册。
WAF通过对HTTP(S)请求进行检测,可以识别并阻断Web服务的网络攻击(SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等)。
Web应用防火墙可以拦截Web页面调用其他接口的请求数据吗?
当Web页面调用其他接口的请求数据在WAF防护域名内时,该请求数据将经过WAF,WAF会检测并阻断该请求数据。
如果Web页面调用其他接口的请求数据不在WAF防护域名内,则该请求数据不经过WAF,WAF不会拦截该请求数据。
Web应用防火墙可以设置域名限制访问吗?
WAF不能直接通过域名限制访问。WAF支持配置黑白名单规则(即设置IP黑/白名单),阻断、仅记录或放行指定IP或IP段的访问请求。
您可以通过配置黑白名单规则,阻断、仅记录或放行域名对应的IP或IP段的访问请求。
Web应用防火墙有IPS入侵防御系统模块吗?
Web应用防火墙没有传统防火墙的IPS模块,不支持IPS入侵防御,仅支持对HTTP/HTTPS协议的入侵检测。
WAF会缓存网站数据吗?
WAF的网页防篡改功能,可以为用户提供应用层的防护,只对网站的静态网页进行缓存,当用户访问网站时返回给用户缓存的正常页面,并随机检测网页是否被篡改。
独享版WAF是否支持跨VPC防护?
WAF独享引擎不支持跨VPC防护的场景。如果WAF独享引擎实例与源站不在同一个VPC中,建议您重新申请与源站在同一VPC下的WAF独享引擎实例进行防护。
Web应用防火墙是硬防火墙还是软防火墙?
Web应用防火墙是软防火墙。
有关域名接入WAF的详细操作,请参见接入WAF。
HTTP 2.0业务接入WAF防护是否会对源站有影响?
HTTP 2.0业务接入WAF防护对源站有影响。HTTP 2.0业务接入WAF防护表示WAF可以处理客户端的HTTP 2.0请求,而WAF目前仅支持以HTTP 1.0/1.1协议转发回源请求,即WAF与源站间暂不支持HTTP 2.0。因此,如果您将HTTP 2.0业务接入WAF防护,则源站的HTTP 2.0特性将会受到影响,例如,源站HTTP 2.0的多路复用特性可能失效,造成源站业务带宽上升。
Web应用防火墙支持哪些Web服务框架/协议?
Web应用防火墙部署在云端,与Web服务框架没有关系。
WAF通过对HTTP/HTTPS请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。
WAF支持防护的协议类型说明如下:
- WebSocket/WebSockets协议,且默认为开启状态
- “对外协议”选择“HTTP”时,默认支持WebSocket
- “对外协议”选择“HTTPS”时,默认支持WebSockets
- HTTP/HTTPS协议
WAF可以防护使用HSTS策略/NTLM代理认证访问的网站吗?
可以。WAF支持防护HTTP/HTTPS协议业务。
网站选择使用HSTS(HTTP Strict Transport Security,HTTP严格传输安全协议)策略后,会强制要求客户端(如浏览器)使用HTTPS协议与网站进行通信,以减少会话劫持风险。配置HSTS策略的网站使用的是HTTPS协议,WAF可以防护。
NTLM(New Technology LAN Manager,Windows NT LAN管理器)代理是Windows平台下HTTP代理的一种认证方式,其认证方式与Windows远程登录的认证方式是一样的,客户端(如浏览器)和代理之前需要三次握手才开始传递信息。
对于客户端(如浏览器)和代理之前使用NTLM认证的业务,WAF可以防护。
WAF转发和Nginx转发有什么区别?
WAF转发和Nginx转发的主要区别为Nginx是直接转发访问请求到源站服务器,而WAF会先检测并过滤恶意流量,再将过滤后的访问请求转发到源站服务器,详细说明如下:
- WAF转发:网站接入WAF后,所有访问请求将先经过WAF,WAF通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击流量后,将正常流量返回给源站,从而确保Web应用安全、稳定、可用。
- Nginx转发:即反向代理(Reverse Proxy)方式转发。反向代理服务器接受客户端访问请求后,直接将访问请求转发给Web服务器,并将从Web服务器上获取的结果返回给客户端。反向代理服务器安装在网站机房,代理Web服务器接收访问请求,并对访问请求进行转发。
反向代理可以防止外网对内网服务器的恶性攻击,缓存以减少内网服务器压力,还可以实现访问安全控制和负载均衡。
Web应用防火墙可以配置会话Cookie吗?
WAF不支持配置会话Cookie。
WAF可以通过配置CC攻击防护规则,限制单个Cookie字段特定路径(URL)的访问频率,精准识别CC攻击以及有效缓解CC攻击。例如,您可以通过配置CC攻击规则,使Cookie标识为name的用户在60秒内访问域名的“/admin*”页面超过10次时,封禁该用户访问域名600秒。
- 什么是Cookie
- Cookie是网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),Cookie由Web服务器发送到浏览器,可以用来记录用户个人信息。
- Cookie由一个名称(Name)、一个值(Value)和其它几个用于控制Cookie有效期、安全性、使用范围的可选属性组成。Cookie分为会话Cookie和持久性Cookie两种类型,详细说明如下:
- 会话Cookie
临时的Cookie,不包含到期日期,存储在内存中。当浏览器关闭时,Cookie将被删除。 - 持久性Cookie
包含到期日期,存储在磁盘中,当到达指定的到期日期时,Cookie将从磁盘中被删除。
Web应用防火墙支持自定义POST拦截吗?
WAF不支持自定义POST拦截。针对HTTP/HTTPS原始请求,WAF引擎内置防护规则的检测流程如图所示。
