Application Shield(WAF)

轻松确保安全、合规和高可用的 Web 应用程序

CDNetworks Application Shield 始终在线,并保护您的网络资产

CDNetworks Application Shield 提供了基于云的 Web 应用防火墙解决方案,以保护 Web 应用免受漏洞和攻击。 我们的多层 WAF 技术与我们的全球 CDN 集成,可保证安全且高性能的 Web 体验。 下图显示了我们的云 WAF 如何实时防止 Web 应用程序攻击

CDNetworks Application Shield 始终在线,并保护您的网络资产。 我们的 WAF 内置自学习技术,保护您的 Web 应用程序免受新出现的恶意行为和攻击,确保您的业务安全和可用

Application Shield 的优势

智能WAF

我们部署了智能 Web 应用程序防火墙 (WAF) 技术,该技术与我们的全球 CDN 完全集成,提供7*24 全天候监控

自学习

我们的云安全技术是自学习和自进化的,通过多层防护在攻击期间提供快速可靠的修复

免费赠送DDOS防护

Application Shield 中包含免费的DDOS防护

Application Shield 功能

OWASP top 10, 2017

Injections, XSS 以及其他常见威胁

特定应用程序漏洞

针对漏洞扫描自动创建规则以及打相关补丁

速率限制

创建和实施自定义速率限制

快速部署

通过简单的 DNS 配置,轻松、快速地保护 HTTP/S 流量

DDoS 防护

  • 无限制的应用层 DDoS 攻击防护
  • 网络层 DDoS 攻击清洗,无需额外费用

常见应用程序漏洞

流行的CMS和电子商务平台补丁

0-day威胁

通过智能监控,检测和阻止不必要的行为来保护应用程序的0-day威胁

访问控制

创建自定义规则按 IP、区域、HTTP 标头等阻止流量进入

自定义签名

通过界面友好的规则向导创建自定义规则和正则表达式签名

可视化仪表盘

  • 完整的 DDoS 仪表板和日志
  • 完整的 WAF 仪表板和事件日志
  • 在实时仪表板上按域名、攻击类型、日期和更多参数查看攻击趋势

Application Shield 架构图

Application Shield Firewall Layers Diagram

什么是应用防火墙 (WAF) ?

WAF 是一种网络安全系统,它通过确保 Web 服务器只接收合法流量来帮助保护 Web 应用程序免受各种类型的攻击。

防火墙是监视和控制进出网络流量的系统。它在你的内部网络和公共互联网之间起着屏障的作用。

Web 应用程序防火墙是一种特定类型的防火墙,专注于进出 Web 应用程序的流量。 标准防火墙充当第一层安全防护,但当今的网站和 Web 服务需要更高的安全性。 WAF 为此而生,它可以阻止专门针对应用程序本身的攻击。

应用防火墙 (WAF) 如何工作?

WAF的工作原理是过滤、监视和阻止web应用程序和internet之间可疑的HTTP/s通信。

长久以来,传统防火墙一直是一种基本的网络安全策略。它们部署在网络边缘,在 OSI 模型的第3层到第4层中运行。它们的作用仅限于检查IP和TCP/UDP协议上的数据包,并根据IP地址、协议类型和端口号过滤流量。

另一方面,WAF 在 OSI 模型的第 7 层 (L7) 上运行,并且可以理解 Web 应用程序协议。 它们对于分析进出 Web 应用程序的流量以及防止可能无法通过传统网络防火墙检测到的攻击至关重要。

部署 WAF 时,它充当应用程序和 Internet 之间的反向代理屏蔽。 代理服务器是保护客户端机器的中介。 而反向代理确保客户端在到达服务器之前通过它。 至关重要的是,WAF 可用于保护放置在其前面的多个应用程序。

WAF 使用一组称为安全策略的规则来过滤利用应用程序漏洞的恶意流量。 这些安全策略通常基于已知的 Web 攻击特征,包括 HTTP 标头、HTTP 请求正文和 HTTP 响应正文等扫描点。 还可以指定这组规则来检测 URL 或文件扩展名中的模式,限制 URI、标头和正文长度,检测 SQL/XSS 注入甚至基于其签名和行为检测机器人。

使用WAF的主要好处是可以快速轻松地修改和实施这些策略。一些WAF提供程序还提供 负载均衡 、SSL卸载和使用机器学习智能自动化这些策略修改。这使得适应和响应不同的攻击媒介和分布式拒绝服务 (DDoS) 保护变得容易。

仅靠 WAF 无法抵御所有攻击。但它可以增强web应用程序的安全性,以抵御以下常见攻击:

跨站伪造

这些攻击迫使经过身份验证的web应用程序用户采取危及应用程序安全的操作。 通常,攻击者通过电子邮件向用户发送链接来诱使用户点击链接。 完成用户身份验证和登录后,就可以强制用户执行诸如转账、更改其个人资料和电子邮件地址等请求。 如果攻击的目标是管理员帐户并最终得手,则可能会危及整个 Web 应用程序。

跨站脚本

跨站点脚本攻击是指攻击者将恶意软件注入客户端浏览器以窃取包括会话 cookie 在内的数据或编辑内容以显示虚假信息的攻击。 当包含 JavaScript、PHP 和 .NET 脚本的动态网站被注入恶意代码时,通常会发生这种情况。 当用户加载网页时,攻击者的恶意脚本就会被执行。 例如,用户的 cookie 可能会发送给攻击者,攻击者可以使用它进行模拟登陆。

SQL注入

在这类攻击中,攻击者会尝试将恶意 SQL 命令注入具有用户输入数据字段(例如联系表单)的网站和应用程序。 注入的代码可以未经授权访问数据库并运行命令来提取或修改数据库中包含的私密信息。

WAF 有哪些不同类型?

WAF 通过阻止未授权的攻击,同时允许授权的流量来保护 Web 应用程序。 它们有助于防止跨站伪造、跨站脚本、SQL 注入和文件包含漏洞,在这些情况下,攻击者会尝试未经授权访问应用程序以窃取敏感数据或危害应用程序本身。

A WAF can be one of three types based on the way they are implemented.

基于网络的 WAF

这通常是一个基于硬件的WAF,并且安装在本地。这意味着它靠近服务器,因此更容易访问。与其它基于硬件的设备一样,它们有助于最小化延迟,但存储和维护成本很高。

基于主机的 WAF

基于主机的 WAF 是完全集成到应用程序软件中的 WAF。 它作为应用服务器内部的一个模块存在。 这种类型的 WAF 比基于网络的 WAF 更便宜,而且更易于定制。 但另一面,它们可能会过度消耗本地服务器资源并影响应用程序的性能。 它们的实施和维护也很复杂。

基于云的 WAF

基于云的 WAF 更实惠,管理所需的资源也更少。 它们更容易实施,并且通常由供应商作为 SaaS 交付。 就像更改 DNS 以重定向网络流量一样简单。 由于采用云服务模型,它们的前期成本也很低,并且可以不断更新以跟进最新攻击威胁。 CDNetworks 提供基于云的 WAF,它与我们的全球内容交付网络 (CDN) 集成并实时防止 Web 应用程序攻击。

Web Application Firewall
Play Video