【云安全最佳实践】给你的 Web 应用建上一条护城河

在介绍 Web 应用防火墙之前，我们先来了解一下 Web 应用防火墙的概念。

WEB应用防火墙 (WAF)是集WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护设备的一款产品。它集成全新的安全理念与先进的创新架构，保障用户核心应用与业务持续稳定的运行。

WEB应用防火墙还具有多面性的特点。比如从网络入侵检测的角度来看可以把WAF看成运行在HTTP层上的IDS设备;从防火墙角度来看，WAF 是一种防火墙的功能模块;还有人把 WAF 看作“深度检测防火墙”的增强。

为什么需要 WAF

Web应用防火墙通常具备一些常见特点。例如异常检测、输入验证、及时补丁修复漏洞以及检测用户操作行为、异常事件。而在日常的 Web 应用维护过程中，常常就会碰见上述问题。为了避免应用数据的泄漏、应用被恶意访问、被脚本注入以及大流量的攻击等行为， Web 应用防火墙可谓是当之无愧的冲在了阵线的前面。

为了我们应用更加的稳固，我们很有必要为应用建设一条护城河，让管理员放心，也让用户安心。

有什么好的防火墙推荐

这些年维护 Web 应用，用过不少、换过不少 Web 应用防火墙的产品。但目前用的最久的还是腾讯云推出的这块 WAF。其中，它的 AI 识别功能是个很灵活又很便捷的特点。在防御 SQL 注入、XSS 跨站脚本、木马上传、非授权访问等 OWASP 攻击方面表现亮眼。

我大体上总结了它的一些功能：

1. 网页防篡改：可设置将核心网页内容缓存云端，并对外发布缓存中的网页内容，实现网页替身效果，防止网页篡改给组织带来负面影响
2. 数据防泄漏：防止后台数据库被黑客窃取
3. 防止爬虫：防止用户数据泄露、内容侵权、竞争比价、库存查取、黑产 SEO、商业策略外泄等业务风险问题
4. 节点智能调度： 有效解决访问延迟问题，保障 1 ~ 18 线城市用户的站点访问速度
5. 虚拟补丁：主动发现并响应，24 小时内下发高危 Web 漏洞，0day 漏洞防护虚拟补丁，受护用户无需任何操作即可获取紧急漏洞、0day 漏洞攻击防护能力，大大缩短漏洞响应周期
6. AI 智能防御：防绕过、低漏报、低误报、精准有效防御常见 Web 攻击

接入类型

Sass 型

用户在 Web 应用防火墙上添加防护域名并设置回源信息后，Web 应用防火墙将为防护域名分配唯一的 CNAME 地址。用户可以通过修改 DNS 解析，将原来的 A 记录修改为 CNAME 记录，并将防护域名流量调度到 Web 应用防火墙集群。

负载均衡型

Web 应用防火墙通过配置域名和腾讯云七层负载均衡（监听器）集群进行联动，对经过负载均衡的 HTTP/HTTPS 流量进行旁路威胁检测和清洗，实现业务转发和安全防护分离，最大限度减少安全防护对网站业务的影响，保护网站稳定运行。

image.png

开始使用

首先进入 Web 应用防火墙首页：https://console.cloud.tencent.com/guanjia/tea-welcome，点击开始试用：

鼠标滑动到下方，选择你要试用的模式：

这里我们点击选择 SAAS WAF （注意：你需要具备企业认证，方可试用），会跳出一个配置选择的弹窗：

image.png

点击立即购买按钮，会进入一个订单核对并支付的页面：

点击“立即支付”按钮，支付成功会提示购买成功：

image.png

现在我们点击 进入控制台 按钮，进入控制台：

默认，应用会帮我们导航到 “域名列表” 菜单，方便我们添加“域名”。点击“添加域名” 按钮，即可配置：

添加域名

除此之外，你还可以看到一个总览：

实例概览

当你完成域名的配置之后，左侧导航栏的菜单项就可以使用啦：

左侧导航栏