什么是腾讯云web应用防火墙？有哪些优势以及适用于什么场景？

腾讯云 Web 应用防火墙（Web Application Firewall，WAF）是一款基于 AI 的一站式 Web 业务运营风险防护方案。沉淀了腾讯云安全大数据检测能力和 19 年自营业务 Web 安全防护经验。通过 Web 入侵防护、0day 漏洞补丁修复、恶意访问惩罚、云备份防篡改等多维度防御策略全面防护网站的系统及业务安全。

什么是 Web 应用防火墙

腾讯云 Web 应用防火墙（Web Application Firewall，WAF）是一款基于 AI 的一站式 Web 业务运营风险防护方案。通过 AI+规则双引擎识别恶意流量，保护网站安全，提高 Web 站点的安全性和可靠性。通过 BOT 行为分析，防御恶意访问行为，保护网站核心业务安全和数据安全。

腾讯云 WAF 提供两种类型的云上 WAF，SaaS 型 WAF 和负载均衡型 WAF，两种 WAF 提供的安全防护能力基本相同，接入方式不同。

腾讯云web应用防火墙参考：

SaaS 型 WAF 通过 DNS 解析，将域名解析到 WAF 集群提供的 CNAME 地址上，通过 WAF 配置源站服务器 IP，实现域名恶意流量清洗和过滤，将正常流量回源到源站，保护网站安全。负载均衡型 WAF 通过和腾讯云负载均衡集群进行联动，将负载均衡的 HTTP/HTTPS 流量镜像到 WAF 集群，WAF 进行旁路威胁检测和清洗，将用户请求的可信状态同步到负载均衡集群进行威胁拦截或放行，实现网站安全防护。

腾讯云 WAF 可以有效防御 SQL 注入、XSS 跨站脚本、木马上传、非授权访问等 OWASP 攻击。此外还可以有效过滤 CC 攻击、提供 0day 漏洞补丁、防止网页篡改等，通过多种手段全方位保护网站的系统以及业务安全。

主要功能

为何需要 Web 应用防火墙

在以下场景中，使用 WAF 均可有效防御以及预防，保障企业网站的系统以及业务安全。

数据泄露（核心信息资产泄露）

Web 站点作为很多企业信息资产的入口，黑客可以通过 Web 入侵进行企业信息资产的盗取，对企业造成不可估量的损失。恶意访问和数据抓取（无法正常服务，被商业竞争对手利用数据）

黑客控制肉鸡对 Web 站点发动 CC 攻击，资源耗尽而不能提供正常服务。恶意用户通过网络爬虫抓取网站的核心内容（文学博客、招聘网站、论坛网站、电商内的评论）电商网站被竞争对手刻意爬取商品详情进行研究。羊毛党们试图搜寻低价商品信息或在营销大促前提前获取情报寻找套利的可能。网站被挂马被篡改（影响公信力和形象）

攻击者在获取 Web 站点或者服务器权限后，通过插入恶意代码来让用户执行恶意程序、赚取流量、盗取账号、炫技等；植入“黄、赌、非法”链接；篡改网页图片和文字；对网站运行造成很大影响，损坏网站运营者的形象。对外公信力和形象蒙受损失。框架漏洞（补丁修复时段被攻击）

很多 Web 系统基于常见的开源框架如 Structs2、Spring、WordPress 等，这些框架常常爆出安全漏洞，但等待安装补丁的维护时段，则是一段艰难和危险的过程，很多攻击会在漏洞公布之后一天内就遍地开花。大流量 DDoS 造成业务中断

为了使得竞争对手业务中断，或者造成关键门户网站不能访问，DDoS 攻击已经成为成本和门槛较低的攻击手段，对业务的连续性和品牌的影响极大，而且往往运营者在被攻击时很被动。

产品优势

多种接入防护方式

开通 WAF 后，无需进行业务变更即可完成防护接入，一键绑定腾讯云负载均衡实现网站旁路检测和威胁清洗，同时提供一键 Bypass功能，实现业务转发和安全防护分离，稳定可靠。通过 CNAME 接入 WAF，隐藏用户真实源站，将可信流量回源，覆盖腾讯云和非腾讯云上用户。防护集群资源多地部署、动态扩展，按需使用，避免冗余及单点故障。

AI+规则双引擎防护

在安全规则引擎进行 OWASP Top10 防御（如 SQL 注入、非授权访问、XSS 跨站脚本、CSRF 跨站请求伪造、命令行注入等）的基础上，引入 AI 防御能力，通过交叉验证持续学习，精准有效捕捉各类常规 Web 攻击、0day 攻击及其它新型未知攻击。通过不断学习海量业务数据特征，生成基于业务的个性化防护策略，避免误报，用户可基于 AI 引擎实现自助误报和漏报处理，提升运营效率。共享腾讯安全联合实验室为腾讯云安全持续输送安全防护能力，Web 应用防火墙由专业攻防团队7x24小时持续迭代防护系统，保障您的网站防御系统处于行业前沿。

BOT 行为管理

基于 AI 的行为分析引擎，实现实时会话追溯，通过流量画像匹配行为模型及行为标签，进行识别高效率检测恶意 BOT 行为。提供超过1000种公开 BOT 类型，可快速设定防护策略。提供爬虫和 IP 情报特征，快速识别 BOT 行为。提供协议特征和50+会话特征，针对多种业务场景定义防护策略。提供已知、未知和自定义类型 BOT 详细报表和统计，快速定位和防御恶意 BOT，保护网站业务安全。

智能 CC 防护

综合源站异常响应情况（超时、响应延迟）和网站历史访问数据，智能决策生成防御策略，实时拦截高频访问请求，封禁攻击源。可自定义 session，通过 session 维度进行 CC 防护，更加精确防护 CC 攻击，减少误报。可实时查看 CC 封堵状态 IP，根据需要快速调整防护策略。一键无缝接入百 G 抗 DDoS 攻击能力，轻松应对敏感大流量 DDoS 攻击问题，无惧突发风险。

IPv6 安全防护

通过和腾讯云负载均衡进行联动，无缝处理 IPv4 和 IPv6 访问流量，使其具备同等安全防护能力，简单快捷。

应用场景

政务网站防护

一键接入防御，轻松配置，隐藏并保护源站，保证网站内容不被黑客入侵篡改。保障网站信息正确，政府服务正常可用，民众访问满意畅通。

电商网站防护

持续优化防护规则、精准拦截 Web 攻击，全面抵御 OWASP Top 10 Web 应用风险。在高并发抢购场景下，可智能过滤恶意攻击及垃圾访问，保障正常访问业务流畅。

金融网站防护

一键接入防护，可跟大流量 DDoS 防御有机结合，同时具备 Web 安全防护。可有效检测撞库等异常访问，保护用户信息不外泄。云端资源优势，自动伸缩，轻松应对业务突发，大流量 CC 攻击。

防数据泄密

避免因黑客的注入入侵攻击，导致网站核心数据被拖库泄露。防 CC 攻击，防恶意 CC（HTTPFlood），通过在四层和七层阻断海量的恶意请求，保障网站可用性。