waf(web安全防火墙)主要功能点

大家好，又见面了，我是你们的朋友全栈君。

注入攻击

 SQL注入防护：阻止恶意SQL代码在网站服务器上执行。
 命令注入防护：阻止攻击者利用网站漏洞直接执行系统命令。
 XPATH注入防护：阻止攻击者构造恶意输入数据，形成XML文件实施注入。
 LDAP注入防护：阻止攻击者将网站输入的参数引入LDAP查询实施注入。
 SSI注入防护：阻止攻击者将SSI命令在服务端执行,主要发生在.shtml,.shtm,.stm文件。
 缓冲区溢出防护：阻止请求中填入超过缓冲区容量的数据，防止恶意代码被执行。
 HPP攻击防护：阻止攻击者利用HPP漏洞来发起注入攻击。

跨站请求

 XSS防护：阻止恶意脚本在网站服务器上解析执行。
 CSRF跨站请求伪造防护：阻止攻击者伪装成受信任用户，在用户已登录的Web应用程序上执行恶意操作。csrf

扫描器/爬虫:
 扫描器扫描防护：阻止扫描器对站点进行漏洞扫描。
 恶意爬虫防护：阻止恶意爬虫程序对站点进行爬取。

网站挂马

 后门上传防护：阻止攻击者向网站服务器上传webshell后门木马。
 后门连接防护：阻止攻击者通过已上传的后门和服务器交互。
 WebShell动态识别：对历史访问和告警日志进行动态分析，识别WebShell后门程序，从而进行防护或提醒客户删除。
 文件上传防护：阻止非法文件上传。

授权和认证

 会话劫持防护：阻止攻击者盗用会话标识来窃取用户权限。
 会话固定攻击防护：阻止攻击者以会话固定攻击方式来来窃取用户权限。
 Cookie安全保护：阻止攻击者通过对Cookie的篡改、盗用实施注入等攻击。
 本地文件包含防护：阻止攻击者利用本地文件包含漏洞窃取网站服务器的重要文件。
 目录遍历、强制浏览防护：阻止越权访问受限制的目录。

Web框架漏洞

 第三方开源软件漏洞防护：防护站点使用的第三方组件本身存在的漏洞。

敏感信息泄露

 服务器敏感信息防护：阻止网站因异常或配置错误向外界泄露包含程序、系统敏感信息（如数据库报错、应用程序错误信息、服务器目录信息等）。
 响应状态码防护：针对服务器经常返回的4和5等敏感响应码，WAF也可支持告警或者拦截，避免服务器敏感信息泄露。
 响应内容敏感信息检测：实时检测响应内容，若出现服务器敏感信息、个人隐私信息、非法敏感词汇等则采取相应措施避免敏感信息泄露。
 敏感文件下载防护：阻止攻击者对网站上敏感信息（如密码、配置、备份、数据库等）进行下载尝试。

远程执行

 远程文件包含防护：阻止攻击者引入利用远程文件包含漏洞向网站服务器引入恶意文件。
 远程代码执行防护：阻止攻击者在请求中插入恶意代码使网站服务器执行。

暴力破解

 暴力破解防护：阻止短时间内大量尝试密码登陆的请求（单账号）。
 防撞库：针对网站账号密码提交页面发起的撞库攻击进行防护，提醒网站管理员哪些帐号在发生撞库攻击时可能存在较高安全风险（多账号）

第三方防盗链

 盗链防护：阻止在未经网站授权的情况下在第三方站点上引用本站点的资源

 
CC缓解

 访问频率限制：对客户端/源IP的访问频率进行检测，对访问过快的客户端/源IP进行限制，降低其访问速率，以缓解CC等攻击。

工作模式

 工作模式：支持域名粒度WAF开关、检测模式设置

报表

 生成、导出报表；支持生成、导出一段时间内客户网站的防护报表。

业务风控

 访问控制；基于IP、URL、IP+URL、IP+COOCIE做访问频率控制
 浏览器识别:只允许客户端为真正浏览器通过
 验证码：针对使用自动化程序（可支持HTTP协议、HTML解析、脚本执行等浏览器特性）伪装成浏览器自动访问网站（业务）页面进行大量业务操作的行为进行防护
 GEOIP：封禁指定区域来源IP

动态防护

 网站学习：通过智能学习引擎对网站业务进行正向分析并建立正常访问业务基线，完成学习后对不符合业务基线的请求自动启用防护算法或拦截策略
 网站特征库：根据客户网站的业务类型、数据库类型、操作系统、开发语言、第三方组件生成相匹配的攻击特征库，以便为客户网站提供精确防护。
 动态IP黑名单：WAF发现攻击行为时，统计攻击IP在一定周期内的攻击次数，若攻击次数超过设定阈值，则将攻击IP加入动态黑名单，进行拦截。

防篡改

 云端阻断篡改行为：实时阻断SQL注入、XSS等请求，避免攻击者通过web应用攻击的方式获取管理员帐号和密码，进而避免对网站内容进行篡改。
 传输防篡改：对节点内部采用严格的服务器登录权限管控和内容加密存储方式，并在节点间进行内容一致性验证工作；同时针对网站到节点网络的传输可能存在的篡改问题，可采用HTTPS传输或特征值校验。
 源站防篡改；对于源站发布的图片、文章等内容进行签名，并在云端服务节点上对源站的响应内容进行校验，避免用户获取到被篡改的页面。

防劫持

 域名防劫持：采用HTTPDNS进行域名解析，以HTTP的方式代替传统DNS协议来传递解析结果，避开DNS层面的劫持。
 内容防劫持：采用HTTPS或特征值校验的方式防止内容被劫持。
 广告插入防护：针对用户侧网络通过内容劫持的方式插入非网站授权的广告或内容的行为进行检测与防护，在浏览器端移除被插入的广告内容，使其对用户不可见。
 防广告植入：防广告植入对客户端的内容劫持、插入广告的行为进行检测，移除被插入的广告内容，使其对用户不可见。
 

防盗链

 请求控制防盗链：对请求所携带的关键信息(如请求IP、Referer、Cookie、User-Agent等)进行验证，验证通过后才认为请求合法，继续提供服务。
 时间戳防盗链：对加密URL中的验证信息进行过期验证，验证通过后才认为请求合法，继续提供服务。
 回源鉴权：针对每次接收到的请求先回源进行验证，验证通过后才认为请求合法，继续提供服务。

 
鉴黄

 智能图片鉴黄:基于大数据和深度学习的人工智能技术，鉴别图片中是否存在不良内容，为客户提供高效经济的智能鉴黄服务。

BOT防护

 识别善意BOT：包括搜索引擎Bot、网站流量监测和排名类Bot、网站在线监控服务类Bot、图片搜索引擎类Bot等。
 识别恶意BOT：包括恶意注册Bot、非法登录Bot、活动作弊Bot、黄牛刷票/虚拟占座Bot、价格爬虫Bot、恶意点击Bot等。
 BOT情报库：基于大数据分析技术形成威胁情报库和善意Bot白名单库，智能识别善意Bot与恶意Bot流量。
 客户端速率控制：为每一个首次访问网站的客户端添加“唯一标识信息”，并针对客户端进行速率控制。
 客户端指纹采集：在响应页面中添加检测脚本，对客户端的各种特性进行校验（如是否支持JS、H5、Cookie等属性），采集每个客户端的指纹信息，进而识别客户端为正常用户或者Bot工具。
 
 布设陷阱：布设陷阱诱导Bot访问，进而识别客户端为正常用户或者Bot工具。
 机器识别：客户端添加预设的交互场景诱导用户下意识进行简单操作，监测并分析客户端的用户行为数据，进而识别客户端为正常用户或者Bot工具。

BOT可视

 BOT流量预警：对Bot流量进行实时监控，以便第一时间发现异常流量并报警。
 善意Bot管理：可自助配置放行、限速或拒绝某类善意Bot，支持自定义善意Bot特征码(如IP、UA信息)。
 恶意Bot管理：支持自定义恶意Bot检测机制，如是否进行JS检测、HTML5检测、用户行为检测等；支持自定义恶意Bot流量处理机制，如拦截、限速、伪造响应、重定向等。
 Bot流量可视化：实时展示Bot流量趋势、Bot类型分布、Bot流量来源和拦截情况等。

性能

 检测时间
 QPS影响
 漏报误报
 ssl加速