本文介绍了Web应用防火墙服务支持的所有网站防护配置功能。

模块

功能

描述

开启方式

相关文档

Web安全

规则防护引擎

基于内置的专家经验规则集，自动为网站防御SQL注入、XSS跨站、WebShell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的Web攻击。

接入后自动开启。

防护规则组

支持自由组合Web应用防火墙的防护规则，形成有针对性的防护规则组，应用到具体的网站防护。

说明

目前仅支持自定义规则防护引擎的防护规则组。

接入后手动开启。

网站防篡改

帮助您锁定需要保护的网站页面（例如敏感页面），被锁定的页面在收到请求时，返回已设置的缓存页面，预防源站页面内容被恶意篡改。

接入后手动开启。

防敏感信息泄露

帮助网站过滤服务器返回内容（异常页面或关键字）中的敏感信息（例如身份证号、银行卡号、电话号码和敏感词汇），脱敏展示敏感信息或返回默认异常响应页面。

接入后手动开启。

主动防御

采用阿里云自研的机器学习算法自主学习域名的合法流量，并自动为域名生成定制化的安全防护策略，防御未知攻击。

接入后手动开启。

Bot管理

合法爬虫

提供合法搜索引擎白名单（例如Google、Bing、百度、搜狗、Yandex等），方便您为域名设置放行合法爬虫的访问请求。

接入后手动开启。

爬虫威胁情报

基于云平台强大的计算能力，提供拨号池IP、IDC机房IP、恶意扫描工具IP以及云端实时模型生成的恶意爬虫库等多种维度的爬虫威胁情报规则，方便您在全域名或指定路径下设置阻断恶意爬虫的访问请求。

接入后手动开启。

数据风控

帮助您防御网站关键业务（例如注册、登录、活动、论坛）中可能发生的机器爬虫欺诈行为。

接入后手动开启。

App防护

专门针对原生App端，提供可信通信、防机器脚本滥刷等安全防护，可以有效识别代理、模拟器、非法签名的请求。

接入后手动开启。

访问控制/限流

CC安全防护

基于CC流量特征，帮助您防御针对页面请求的CC攻击，并提供不同模式的防护策略。

接入后自动开启。

IP黑名单

支持一键阻断来自指定IP地址、IP地址段以及指定地理区域的IP地址的访问请求。

接入后手动开启。

扫描防护

帮助网站自动阻断包含指定特征的访问请求，例如请求源IP在短期内发起多次Web攻击或目标遍历攻击、请求源IP来自常见扫描工具或阿里云恶意扫描攻击IP库。

接入后手动开启。

自定义防护策略

支持自定义基于精确匹配条件的访问控制规则和访问频率限制规则。

接入后手动开启。

防护实验室

账户安全

帮助您识别与账户关联的业务接口（例如注册、登录等）上发生的账户安全风险事件，包括撞库、暴力破解、垃圾注册、弱口令嗅探和短信验证码接口滥刷。

接入后手动开启。

防护白名单

网站白名单

通过设置网站白名单，可以让满足条件的请求不经过任何Web应用防火墙防护模块的检测，直接访问源站服务器。

接入后手动开启

Web入侵防护白名单

通过设置Web入侵防护白名单，可以让满足条件的请求忽略指定模块（规则防护引擎）的检测。

接入后手动开启。

数据安全白名单

通过设置数据安全白名单，可以让满足条件的请求忽略指定模块（防敏感信息泄露、网站防篡改、账户安全）的检测。

接入后手动开启。

Bot管理白名单

通过设置Bot管理白名单，可以让满足条件的请求忽略指定模块（爬虫威胁情报、数据风控、智能算法、App防护）的检测。

接入后手动开启。

访问控制/限流白名单

通过设置访问控制/限流白名单，可以让满足条件的请求忽略指定模块（CC安全防护、IP黑名单、扫描防护、自定义防护策略）的检测。

接入后手动开启。

一键关闭WAF防护功能

当您需要临时关闭WAF防护时，您可以在WAF 2.0控制台的资产中心 > 网站接入中，关闭WAF防护开关。如下图示。

当开关关闭时，您接入网站的流量会临时绕行WAF防护引擎，并不再记录拦截和观察日志。在您完成应急测试等需要临时关闭WAF的操作后，推荐您尽快返回WAF 2.0控制台的防护对象页面，打开WAF防护开关，记录拦截和观察日志，减少您资产的暴露风险。若您关闭了WAF防护开关或功能，但配置了API安全防护，相关检测流程仍将继续执行。

重要

对于开通按量计费版本的用户，即使通过开关临时关闭WAF防护，仍会正常收取功能费、基础流量费及API安全流量费（若已启用API安全）。Bot管理流量费、风险识别服务及自定义规则的流量计费将暂停。