Web业务的迅速发展引起了黑客的强烈关注,他们利用网站操作系统的漏洞和Web程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据。
基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性。
以用户网站资产为导向,梳理网站资产列表。在透明和路由牵引模式下,自动发现网站资产并识别HTTP/HTTPS流量,大大减少部署工作量。
灵活丰富的内置规则库,覆盖SQL注入、XSS攻击、命令执行、缓冲区溢出、数据库泄露、网站挂马、扫描器探测等50+攻击类型。
通过速率限制、行为分析和防自动化来保护API接口,自动检测应用程序接口威胁,为API接口提供严格的策略规则。
登录弱密码检测、暴力破解防护、双因素身份验证,为登录页面提供多重安全保护,确保用户身份验证安全。
SSL安全加密功能,用户访问WAF的443端口即可实现HTTP数据流加密,同时过滤HTTPS会话中的攻击行为,保护数据传输安全。
针对高级用户提供自定义规则编写功能,支持字符串快速匹配与正则匹配,满足个性化防护需求。
自动将请求分发到不同Web服务器,支持动态网站会话保持、自动热备、故障自动切换,合理分配流量负载。
全面兼容并支持IPv6协议,可轻松融入IPv6网络或IPv4/IPv6混合网络,为IPv6时代提供完善安全防护。
全面记录访问日志和攻击日志,支持日志分析溯源,满足等级保护对日志留存的要求。
针对网站内容、数据和访问行为提供全面的动态防护能力,确保Web应用的安全性和完整性。
独创幻象防护技术,自动生成网站快照,使访问者无法看到真实网站内容,始终对外展示某一时间点的网站幻象,保护网站内容安全。
智能防扫描识别扫描行为和扫描器特征,将短时间内访问大量无效目录的攻击源自动拉入黑名单,防止目录遍历攻击。
针对网站内容数据进行安全防护,防止敏感信息泄露,可对身份证号、手机号、银行卡等信息做部分隐藏处理。
满足政府、教育、企业等各类网站的Web安全防护需求,为不同业务场景提供针对性解决方案。
满足等级保护合规要求,WAF作为等级保护合规设备,过滤恶意请求,保护网站数据安全。
工作在应用层,对请求进行内容检测和验证,实时阻断非法请求,保障网站安全运行。
无需后端服务器改动,即可完成HTTP到HTTPS、IPv4到IPv6的平滑升级改造。
使用静态幻象技术对网页进行保护,确保网站内容安全,防止非法篡改。
弱密码检测、暴力破解防护、双因素认证,为登录页面提供多重安全保护。
身份证、银行卡、手机号等敏感信息脱敏处理,防止信息泄露和隐私侵犯。
防御CC攻击,拦截针对网站页面请求的恶意访问,避免服务器资源耗尽。
一键断网、首页锁定、HTTP方法控制等多种应急处置手段,快速响应安全事件。
支持多种部署模式,可灵活应对各种复杂网络环境,保护单台或多台Web服务器。
在两台运行的网络设备中间插入设备,对流量不产生影响。先部署后配置,快速简便,阻断Web应用层攻击,让正常流量通过。
访问Web服务器的所有请求都通过设备代理流入流出。快速、简单、隐藏真实服务器,可按需配置,无需调整网络拓扑。
通过配置策略路由,根据源IP地址、目的IP地址、协议等条件,将需要保护的Web流量引导到WAF上,不影响正常业务运营。
提供多种高可用部署方案,确保业务连续性,满足关键业务场景的可靠性需求。