[大阪/横滨/德岛] 寻找基础设施/服务器端工程师！

【超过500家企业部署】AWS搭建、运维、监控服务

【CentOS的后继者】AlmaLinux OS服务器搭建/迁移服务

[仅适用于 WordPress] 云服务器“Web Speed”

[便宜]网站安全自动诊断“快速扫描仪”

[预约系统开发] EDISONE定制开发服务

[注册100个URL 0日元] 网站监控服务“Appmill”

【兼容200多个国家】全球eSIM“超越SIM”

[如果您在中国旅行、出差或驻扎]中国SIM服务“Choco SIM”

【全球专属服务】Beyond北美及中国MSP

[YouTube]超越官方频道“美由丸频道”

【中国】阿里云WAF功能【安全】

2021.09.02

1 阿里云安全历史
2 阿里云WAF服务概述
3 阿里云WAF特性（按版本）
4 概括

我是技术销售部门的大原。

本次阿里云提供的阿里云WAF 的特性和功能
*信息截至 2021 年 9 月。

阿里云安全历史

在阿里云，我们专注于开发安全产品，以保护阿里云服务免受各种外部网络攻击。

其安全产品之一阿里云WAF（Web应用防火墙）是基于阿里云10多年的安全经验开发的Web攻击防御服务，是一种不断发展的具有先进防御机制的服务。

阿里云WAF服务概述

阿里云WAF不仅可以安装在阿里云上，还可以通过简单的切换DNS安装在本地运行的系统、VPS或其他公司的云服务器上，因此可以用来保护任何基础设施环境。

■ Web 应用程序保护

● 零日攻击防护
——24小时内动态更新防御规则，及时应对风险。
● 隐藏您的网站
：通过使用DNS 分流流量来隐藏您的网站并保护您的网站免受入侵者的侵害。
● OWASP 攻击防护
- 提供丰富的防御策略和隔离功能，准确判断和防御SQL注入等已知攻击。

■ 站点访问控制

● 添加HTTPS 功能
- 只需上传私钥文件即可将HTTPS 功能添加到您的站点。
● 访问控制
和多层保护确定并阻止入侵所需的站点信息收集活动。

■ 高精度流量分析

● 恶意访问精准判定
——对机器人等恶意访问进行精准识别和拦截评估。
● 自定义策略
- 您可以根据需要自由更改和反映防御规则。

阿里云WAF特性（按版本）

阿里云WAF根据处理能力、防御功能、案例有4个版本可供选择。
例如，您可以从小规模开始使用专业版，然后随着 Web 访问量的增加而更改版本，从而允许您灵活地扩展以满足您的需求和情况。

特征	概述	专业版	商业版	企业版	尊享版（提交门票购买）
峰值请求率	-	2,000 每秒查询量	5,000 每秒查询量	高于 10,000 QPS	5,000 每秒查询量
最大带宽	如果源站部署在阿里云	50兆比特/秒	100兆比特/秒	200兆比特/秒	100兆比特/秒
最大带宽	如果源站没有部署到阿里云	10兆比特/秒	30兆比特/秒	50兆比特/秒	30兆比特/秒
默认支持的最大域数	-	1	1	1	1,000
默认支持的最大子域数	支持通配符域	10	10	10	1,000
HTTPS保护	只需点击几下即可在您的网站上实施 HTTPS 保护	✓	✓	✓	✓
HTTPS/2 保护	使用 HTTP/2 的安全网站	×	✓	✓	✓
非标端口保护	保护通过标准端口 80、8080、443 和 8443 以外的端口的流量	×	✓	✓	✓
智能负载均衡	连接多个SLB服务节点，实现自动容灾和低时延最优路由	○	○	○	○
专属IP地址	提供专属IP地址，保护特定域名	○	○	○	○
专属集群	根据业务需求定制服务接入和保护	×	×	×	✓
保护规则引擎	防范常见的 Web 攻击，例如 SQL 注入和 XSS 攻击	✓	✓	✓	✓
保护规则引擎	启用Web零日漏洞防护规则自动更新	✓	✓	✓	✓
自定义保护规则组	自定义保护规则组	×	✓	✓	✓
大数据深度学习引擎	检测 Web 零日漏洞	×	✓	✓	✓
积极的安全模型	基于网站流量深度学习的主动防护	×	×	✓	✓
防止网站被篡改	锁定网页以防止内容篡改	✓	✓	✓	✓
防止数据泄露	防止身份证号、手机号、银行卡号等机密数据泄露。	✓	✓	✓	✓
HTTP 洪水防护	在预防性或预防性紧急模式下防范常见的 HTTP 洪水攻击	✓	✓	✓	✓
黑名单	阻止来自特定 IP 地址或 CIDR 块的访问请求	✓	✓	✓	✓
黑名单	阻止来自特定IP地址、特定网段或特定区域IP地址的访问请求	×	✓	✓	✓
扫描保护	对频繁发起Web攻击和路径遍历的IP地址进行封堵，并扫描工具IP地址，实现联防联动（默认规则对第一类IP地址进行封堵）	✓	✓	✓	✓
扫描保护	支持以上防护，针对高频网络攻击和路径穿越定制拦截规则	×	✓	✓	✓
定制保护政策	支持基于ACL的访问控制，使用IP、URL、Referrer、User Agent和参数等基本字段	✓	✓	✓	✓
	支持基于ACL的访问控制，使用基本字段和高级字段（高级字段包括Cookie、Content-Type、Header和HTTP-Method）	×	✓	✓	✓
	配置基于IP地址和会话的限速策略（自定义HTTP泛洪防护规则，可添加匹配条件并配置限速策略）	×	✓	✓	✓
	配置基于IP地址、会话和自定义字段的限速策略	×	×	✓	✓
数据风险管理	保护注册、登录、活动和论坛等关键网站服务免遭欺诈	○	○	○	○
允许的爬虫	维护Google、Bing、Baidu、Yandex等认可搜索引擎的白名单（这些搜索引擎的爬虫会访问指定的域名）	○	○	○	○
机器人威胁情报	提供有关恶意扫描程序使用的数据中心和可疑IP地址的信息（还维护恶意爬虫的IP地址库，并允许爬虫访问某个域名或特定目录下的所有页面）	○	○	○	○
应用程序保护	为本机应用程序提供安全连接和反机器人保护（识别来自代理服务器和模拟器的请求以及具有无效签名的请求）	○	○	○	○
账户安全	检测针对服务端点（例如注册端点和登录端点）的字典攻击、暴力攻击、垃圾邮件用户注册、弱密码和短信洪水攻击。	✓	✓	✓	✓
WAF日志服务	收集并存储所有日志，实现近实时查询和分析，并提供在线报告	×	○	○	○