產品定義

Web應用防火墻（原生版）（CT-WAF，Web Application Firewall，簡稱WAF）為用戶Web應用提供一站式安全防護，對Web業務流量進行智能全方位檢測，有效識別惡意請求特征并防御，避免源站服務器被惡意入侵，保護網站核心業務安全和數據安全。

產品架構

Web應用防火墻（原生版）產品整體架構主要包括3個部分，分別為WAF集群、中央管理平臺、日志平臺。

• WAF集群：依托規則引擎實現流量過濾，并通過管控Agent與管理平臺通信，接收防護策略的下發，上報執行節點運行狀態。

  Web應用防火墻（原生版）提供兩種WAF云SaaS模式和WAF獨享模式兩種模式：

  • WAF云SaaS模式，WAF集群分布式部署于多個天翼云資源池上。

  • WAF獨享模式，WAF部署在租戶VPC內。

• 中央管理平臺：提供多維策略規則的編輯和下發能力，并監控執行節點運行狀態。

• 日志平臺：存放訪問日志及防護日志，并提供自動告警能力。

防護原理

Web應用防火墻（原生版）提供WAF云SaaS模式 - 域名接入、WAF云SaaS模式 - ELB接入、WAF獨享模式接入三種接入方式，防護原理及部署架構如下所示，關于接入方式的詳細說明，請參見產品規格-接入方式說明。

類型	WAF云SaaS模式 - 域名接入	WAF云SaaS模式 - ELB接入	WAF獨享模式接入
防護原理	網站接入WAF防護后，網站所有請求先發送到WAF，WAF檢測并攔截惡意流量，將正常流量轉發至源站，在客戶端看來，源站不可見，從而確保源站的安全。	WAF僅對進入監聽器的應用層流量進行檢測，不參與流量轉發。通過添加引流端口到WAF的方式，使ELB所有的Web業務流量被指定網關牽引到WAF進行檢測，WAF過濾Web應用攻擊后，將正常的業務流量轉發回ELB，再回源到正常業務網站。	網站接入WAF防護后，網站所有請求先發送到WAF，WAF檢測并攔截惡意流量，將正常流量轉發至源站，在客戶端看來，源站不可見，從而確保源站的安全。
部署架構	WAF集群分布式部署于多個天翼云資源池上，異地容災安全可靠，充分滿足用戶高可用需求。	WAF旁路部署，對業務零影響。當WAF發生故障時，流量將直接通過ELB發送給后端，不影響客戶正常業務。	WAF通過反向代理的形態部署在租戶VPC內，資源獨享，網絡鏈路時延低。

合規資質

WAF已通過CIMMI5、可信認證等各項國際權威認證，參與制定《信息安全技術 網絡彈性評價準則》國家標準，并作為試點產品通過測評要求最高等級AAA級測評驗證。

如何使用WAF

WAF使用流程如下，更多詳細信息及操作步驟，請參見開啟WAF防護。

典型用戶及產品價值

政府及企業用戶

背景

政務門戶網站作為政府、企業提供給互聯網用戶獲取信息服務的重要渠道，會面臨網頁被篡改、網頁掛馬、SQL注入攻擊等多種安全問題，同時也面臨上級單位和測評機構的安全檢測的壓力。一旦發生安全事件，將嚴重影響其形象和公信力。因此門戶網站的安全性對于政府部門運營人員來說非常重要。

產品價值

• 一鍵接入Web應用防火墻防御，輕松配置，隱藏并保護源站。

• 保證網站不會被黑客入侵，數據不被竊取，保證政府服務正常可用，民眾訪問滿意暢通。

金融用戶

背景

金融行業面臨注入、跨站等多種安全問題，導致用戶賬號密碼泄露，危及用戶資金財產安全，進而嚴重影響企業的形象并承受經濟損失。

產品價值

• 提供應用層業務防護，避免業務入侵、篡改、竊取等。

• 過濾各類BOT垃圾流量，抵御CC攻擊，避免網站癱瘓，保證業務穩定運營。

• 高可用，隨業務增長彈性擴展，節省成本。

電商O2O

背景

電商網站是黑客攻擊的重點對象，面臨非法篡改交易數據、盜取用戶個人賬號信息進行網絡詐騙等威脅；另外當開展高并發搶購等各類營銷活動時，在保證業務訪問流暢同時，還需提防“薅羊毛”、“惡意競爭”等業務風險。

產品價值

• 提供超高并發防護能力，智能過濾惡意攻擊及爬蟲垃圾訪問，保障業務訪問流暢。

• 解決惡意BOT爬蟲競爭比價，庫存查詢，刷單搶票，業務數據抓取分析等負面影響問題，確保營銷策略有效開展。