本文介绍了Web应用防火墙服务支持的所有网站防护配置功能。

模块 功能 描述 开启方式 相关文档
Web安全 正则防护引擎 基于内置的专家经验规则集,自动为网站防御SQL注入、XSS跨站、Webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的Web攻击。 接入后自动开启。 设置正则防护引擎

正则防护引擎最佳实践

防护规则组 支持自由组合Web应用防火墙的防护规则,形成有针对性的防护规则组,应用到具体的网站防护。
说明 目前仅支持自定义正则防护引擎的防护规则组。
接入后手动开启。 自定义防护规则组

使用自定义规则组提升Web攻击防护效果

大数据深度学习引擎 依托于阿里云深度神经网络系统,对云上全部Web攻击数据和正常业务数据进行分类训练,从而实时防护潜在的异常攻击行为。 接入后手动开启。 设置大数据深度学习引擎
网站防篡改 帮助您锁定需要保护的网站页面(例如敏感页面),被锁定的页面在收到请求时,返回已设置的缓存页面,预防源站页面内容被恶意篡改。 接入后手动开启。 设置网站防篡改
防敏感信息泄露 帮助网站过滤服务器返回内容(异常页面或关键字)中的敏感信息(例如身份证号、银行卡号、电话号码和敏感词汇),脱敏展示敏感信息或返回默认异常响应页面。 接入后手动开启。 设置防敏感信息泄露
主动防御 采用阿里云自研的机器学习算法自主学习域名的合法流量,并自动为域名生成定制化的安全防护策略,防御未知攻击。 接入后手动开启。 设置主动防御
Bot管理 合法爬虫 提供合法搜索引擎白名单(例如Google、Bing、百度、搜狗、360、Yandex等),方便您为域名设置放行合法爬虫的访问请求。 接入后手动开启。 设置合法爬虫规则
爬虫威胁情报 基于云平台强大的计算能力,提供拨号池IP、IDC机房IP、恶意扫描工具IP以及云端实时模型生成的恶意爬虫库等多种维度的爬虫威胁情报规则,方便您在全域名或指定路径下设置阻断恶意爬虫的访问请求。 接入后手动开启。 设置爬虫威胁情报规则
数据风控 帮助您防御网站关键业务(例如注册、登录、活动、论坛)中可能发生的机器爬虫欺诈行为。 接入后手动开启。 设置数据风控
App防护 专门针对原生App端,提供可信通信、防机器脚本滥刷等安全防护,可以有效识别代理、模拟器、非法签名的请求。 接入后手动开启。 设置App防护
访问控制/限流 CC安全防护 基于CC流量特征,帮助您防御针对页面请求的CC攻击,并提供不同模式的防护策略。 接入后自动开启。 设置CC安全防护

CC攻击防护最佳实践

IP黑名单 支持一键阻断来自指定IP地址、IP地址段以及指定地理区域的IP地址的访问请求。 接入后手动开启。 设置IP黑名单
扫描防护 帮助网站自动阻断包含指定特征的访问请求,例如请求源IP在短期内发起多次Web攻击或目标遍历攻击、请求源IP来自常见扫描工具或阿里云恶意扫描攻击IP库。 接入后手动开启。 设置扫描防护
自定义防护策略 支持自定义基于精确匹配条件的访问控制规则和访问频率限制规则。 接入后手动开启。 设置自定义防护策略
防护实验室 账户安全 帮助您识别与账户关联的业务接口(例如注册、登录等)上发生的账户安全风险事件,包括撞库、暴力破解、垃圾注册、弱口令嗅探和短信验证码接口滥刷。 接入后手动开启。 设置账户安全

账户安全最佳实践

API安全 支持上传自定义的API规则文件,确保只有符合规则的API请求才会被执行,避免您的网站资产受到数据篡改、重放攻击等安全威胁。 接入后手动开启 开启API安全
防护白名单 网站白名单 通过设置网站白名单,可以让满足条件的请求不经过任何Web应用防火墙防护模块的检测,直接访问源站服务器。 接入后手动开启 设置网站白名单
Web入侵防护白名单 通过设置Web入侵防护白名单,可以让满足条件的请求忽略指定模块(正则防护引擎、大数据深度学习引擎)的检测。 接入后手动开启。 设置Web入侵防护白名单
数据安全白名单 通过设置数据安全白名单,可以让满足条件的请求忽略指定模块(防敏感信息泄露、网站防篡改、账户安全)的检测。 接入后手动开启。 设置数据安全白名单
Bot管理白名单 通过设置Bot管理白名单,可以让满足条件的请求忽略指定模块(爬虫威胁情报、数据风控、智能算法、App防护)的检测。 接入后手动开启。 设置Bot管理白名单
访问控制/限流白名单 通过设置访问控制/限流白名单,可以让满足条件的请求忽略指定模块(CC安全防护、IP黑名单、扫描防护、自定义防护策略)的检测。 接入后手动开启。 设置访问控制/限流白名单