开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

网络安全系列之九 WAF的基本配置

WAF (Web Application Firewall) 基本配置

WAF 概念

Web Application Firewall，简称WAF，是一种用于保护Web应用的网络安全技术。它主要通过监测、限制、修改或者阻止恶意的网络流量以保护Web应用或服务器。简单来说，WAF是一种用来防止黑客入侵的网站保护装置。

WAF 分类

WAF有不同的分类方式，常见的有以下几种：

基于规则的防火墙 (Rules-based Firewall)：根据预定义的规则对每个HTTP请求进行判断和执行相应的操作，例如只允许指定域名或IP访问。
透明代理 (Transparent Proxy)：隐藏应用服务器、客户端、客户端与服务器之间的直接连接，提供一个代理服务，让客户端访问HTTP服务。
入侵防御系统 (IPS)：通过对网络流量进行分类和处理，实时监控网络攻击并实施保护措施。
下一代防火墙 (Next-Generation Firewall, NGFW)：结合了IPS以及其他安全功能的高级防火墙，支持深度检测功能如应用识别、上下文感知、行为分析等。

WAF 的优势

保护Web应用安全：通过限制访问和监控网络流量，可以有效地避免黑客攻击、数据泄露等问题。
提升业务安全：通过应用WAF提供的高级安全功能，企业可以有效地保护自己的核心资源和数据。
简单易用：大部分WAF都是基于Web接口操作的，用户可以方便地配置和管理自己的防火墙规则。
兼容性好：WAF可以兼容大多数Web应用，只需要对API或配置进行一些修改即可使用。

WAF 应用场景

WAF适用于各种不同的应用场景，例如：

电子商务平台：保护交易平台免受恶意请求和攻击。
内部网络：保护企业私有网络中的敏感服务器和服务。
新闻门户和论坛：防止DDoS攻击、SQL注入等网络攻击。

腾讯云相关产品和服务

Web应用防火墙 (WAF)：如【腾讯云-安全中心-WAF】https://console.cloud.tencent.com/waf
DNSTranslation（DDoS防护）: 如【腾讯云-安全中心-DDoS防护】https://console.cloud.tencent.com/dcdn/list

总之，部署并配置WAF是一种有效保护Web应用和服务的方法。腾讯云提供了一系列安全产品和服务，帮助用户构建安全可靠的云环境。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

DNSPod十问董文辉：我们为什么要拥抱云原生安全？

董文辉，腾讯安全副总经理，2011年加入腾讯，经历了从0到1的云原生安全体系构建，专注于打造IaaS/PaaS层的多重安全防线，曾获腾讯业务突破奖、卓越运营奖；积极推动前沿安全理念落地，产品累计获得Frost&sullivan、赛可达实验室等国内外权威机构认证。赵九州，腾讯云中小企业产品中心总监，中小企业数字化转型专家，牵头制订了《中国中小企业数字化标准等级认证》，曾创办企业移动化SaaS公司—火速移动，先后获得创新工场、DCM等知名VC的千万美元投资。 1 赵九州：在十多年前的网络安全领域，各路高手

05

安全设备篇——WAF

Web应用防火墙（WAF）是网络安全的关键防线，专注于保护Web应用程序免受攻击。它具备应用层防护能力，能智能分析并防御恶意请求，支持灵活部署，并具备事前预防、事中响应和事后审计功能，是确保Web应用安全的重要工具。

00

物理架构&网络规划

完全基于腾讯云基础服务构建一套安全可靠的系统，前文技术选型-语言、框架、中间价已经介绍了选择的存储、中间等，现在我们需要为云服务器，、云数据库等中间件构建逻辑隔离的网络空间，提供云上资源的安全性，我们通过规划私有网络（Virtual Private Cloud，VPC）和子网（Subnetwork）来解决。

05

境外黑客叫嚣攻击我国视频系统，莫慌，绿盟威胁情报中心助您一臂之力

近日，绿盟威胁情报中心监控到，境外黑客组织宣称将于2月13日对我国视频监控系统实施网络攻击。黑客同时声称已掌握我国境内大量摄像头控制权限，并在pastebin网站上公开了部分受控目标，经核实发现这些受控目标均为广州市九安智能技术股份有限公司（以下简称为“九安”）生产的视频监控设备。经绿盟威胁情报中心的测绘，近一个月内，全国暴露在互联网上的“九安”视频设备共有2126个。

01

Web安全学习路线 | 附干货

① 我们用这段时间了解基本的概念：（SQL注入、XSS、上传、CSRF、一句话木马、常见的后台等：可以通过Google搜索获取资料）为之后的WEB渗透测试打下基础。 ② 查看一些论坛的一些Web渗透资料，学一学案例的思路，每一个站点都不一样，所以思路是主要的。 ③ 学会提问的艺术，如果遇到不懂得要善于提问。

05

互联网公司WAF系统设计

0×01 WAF简介 WAF 全称是Web Application Firewall, 简单讲就是web防火墙，是对web业务进行防护的一种安全防护手段。其实，现在很多的移动app，也是使用的http协议进行数据交换，也可以理解成web业务，可以对app server进行防护。主要的web危害，一般指的是OWASP Top 10，比如SQL注入、XSS、CSRF等常见的web危害方法。当然可能不止这些方法，比如社工。轻则用你的服务器打个ddos，重则数据全部被盗，损失公司的信誉和money。互联

境外黑客攻击我国视频监控系统的威胁通告

近日，有境外黑客组织发布推文宣布将于2月13日对我国实施网络攻击，本次攻击主要目的是对视频监控系统实施破坏活动，攻击目标还包括科大讯飞、中集集团、网智天元、浩瀚深度等国内公司以及政府网站。

01

中国网络安全细分领域矩阵图(Matrix 2019.11)发布

自 2018 年 11 月安全牛首次发布中国网络安全细分领域矩阵图 (Matrix 2018.11) 以来，矩阵图受到来自业内各方面的关注和认可。在以往成果的基础上，安全牛分析师继续深入细分领域和行业用户，历经五个月的调研和访谈工作，于今日推出《中国网络安全细分领域矩阵图》(Matrix 2019.11)。

03

国有资本入股兴汉改写市场竞争格局

7月28日，北京兴汉与大豪科技（603025.SH）在北京昆泰酒店联合举行新闻发布会，正式宣布北京一轻控股旗下上市公司大豪科技入股兴汉，现金收购新汉国际持有的60%的兴汉股权，双方举行了签约仪式。本次交易完成后，北京兴汉将变更为国企控股的全内资股份有限公司。 △ 签约仪式 △ 领导合影本次发布会邀请了多位国资领导，行业专家，合作伙伴，共同回顾兴汉网际的成长历程，见证公司股权重组的历史时刻。一轻控股领导，大豪科技茹总经理及其他嘉宾领导分别做了主题发言，兴汉网际总经理李平先生做了关于公司未来发展规划的主旨

00

“中国会员电商第一股”云集的反爬虫攻防战 | 产业安全专家谈

云集成立于2015年，是一家由社交驱动的精品会员电商，被誉为“中国会员电商第一股”，数据资源积累量十分庞大。在数据的维护管理方面，过去云集主要采用自建IDC方式部署，迁移到公有云后，服务器和人工维护的成本大幅降低，最“疯狂”的时候，一个运维人员可以直接管理一两千台的云主机，这在过去是难以想象的画面。

01

WAF 已死

作者：Check Point公司的云安全产品负责人TJ Gonen 过去的几十年已将Web应用程序防火墙（WAF）变成了一种无处不在的安全设备。任何拥有Web应用程序的组织（包括大多数大企业）都已安装了WAF，以保护数据和资产避免被非法闯入。保护Web应用程序的最佳实践已变成了只需在您的应用程序前面部署WAF。然而事实是，今天，鉴于现代应用程序生命周期助力开发运维（DevOps）以快得多的节奏发布更新，传统的WAF已跟不上步伐，维护WAF变得既费力又复杂。面对这个挑战，安全专业人员该如何是好？什么可以

02

安全设备篇——EDR

端点检测和响应（EDR）是一种技术形式，可对针对企业网络和系统的高级网络安全威胁提供持续监控和响应。

01

三分钟了解Web应用程序防火墙是如何保护网站的?

Web应用程序防火墙(有时也简称为WAF )可以通过监视和过滤Internet与网站之间的HTTP通信来保护网站。

01

餐饮巨头被攻击的“致命”48小时

腾讯安全近期将复盘2022年典型的攻击事件，帮助企业深入了解攻击手法和应对措施，完善自身安全防御体系。

04

EdgeOne 安全配置基础教程

在数字化时代，网络安全成为了企业不可忽视的重要部分。腾讯云EdgeOne作为一款综合性的云安全产品，提供了包括DDoS防护、Web应用防火墙(WAF)、内容分发网络(CDN)等在内的多种安全服务。本文将从基础到进阶，详细讲解EdgeOne的安全配置操作，帮助初学者和进阶用户更好地理解和应用EdgeOne。

02

HTTP劫持是什么？如何防止网站被劫持呢？

HTTP劫持（HTTP hijacking）是一种网络攻击技术，攻击者通过各种手段截取用户的HTTP请求或响应，篡改其内容或重定向到恶意服务器，从而实施恶意活动。这种攻击可能导致用户信息泄露、身份盗窃、篡改网页内容或植入恶意代码等安全问题。

02

网络安全大笔融资背后，是互联网对未知风险防御的极度渴望

在此背景下，全球资本和科技企业对网络安全领域正表现出前所未有的热情，一系列重磅投资持续落地。

03

IPS vs IDS vs Firewall vs WAF，它们之间有什么区别与联系？

为了快速了解如何在网络设计中使用这些解决方案/设备，让我们看一下下面的拓扑，其中包括网络中的所有安全解决方案（防火墙、IPS、IDS、WAF）。

01

【安全公告】Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)风险通告

Apache Shiro身份认证绕过漏洞(CVE-2022-32532)技术细节及PoC在互联网上公开，当Apache Shiro中使用RegexRequestMatcher进行权限配置，且正则表达式中携带"."时，未经授权的远程攻击者可通过构造恶意数据包绕过身份认证，导致配置的权限验证失效。

03

Web应用防火墙的使用效率问题与替代性技术的深入讨论

对于安全社区来说，Web应用防火墙（WAF）似乎一直以来都是一个大家默认都要使用的东西，而且几乎也没有人会反对使用Web应用防火墙。在这篇文章中，我们将给大家提供一个新的视角去看待WAF，并会对Web应用防火墙的使用效率问题与替代性技术进行深入探讨。

01

有一只狗名叫WAF,不会跳也不会叫......

本号提供的工具、教程、学习路线、精品文章均为原创或互联网收集，旨在提高网络安全技术水平为目的，只做技术研究，谨遵守国家相关法律法规，请勿用于违法用途，如有侵权请联系小编处理。

02

你所不知道的Webshell--基础篇

企业对外提供服务的应用通常以Web形式呈现，因此Web站点经常成为攻击者的攻击目标。

04

RSA 创新沙盒盘点| Sqreen—WAF和RASP综合解决方案

2020年2月24日-28日，网络安全行业盛会RSA Conference将在旧金山拉开帷幕。前不久，RSAC官方宣布了最终入选今年的创新沙盒十强初创公司：AppOmni、BluBracket、Elevate Security、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、Tala Security、Vulcan。

01

短信发送接口被恶意访问的网络攻击事件(四)完结篇--搭建WAF清理战场

作者：13 GitHub：https://github.com/ZHENFENG13 版权声明：本文为原创文章，未经允许不得转载。前言短信发送接口被恶意访问的网络攻击事件(一)紧张的遭遇战险胜短信发送接口被恶意访问的网络攻击事件(二)肉搏战-阻止恶意请求短信发送接口被恶意访问的网络攻击事件(三)定位恶意IP的日志分析脚本以上三篇文章详细的介绍了事件的起因和经过，回顾了一下整个过程，其实就是技术人员不上心没有做好安全验证导致接口被无聊的黑客攻击，然后一系列菜鸡互啄的过程，要说战，肯定

06

产业安全专家谈丨Web 攻击越发复杂，如何保证云上业务高可用性的同时系统不被入侵？

如今，电子政务、电子商务、网上银行、网上营业厅等依托Web应用，为广大用户提供灵活多样的服务。在这之中，流量攻击堪称是Web应用的最大敌人，黑客通过流量攻击获取利益、竞争对手雇佣黑客发起恶意攻击、不法分子通过流量攻击瘫痪目标后勒索高额保护费，往往会对业务造成严重损害。

03

【玩转 EdgeOne】实战场景分析及产品使用教程开发实践

EdgeOne是一款集成了CDN和安全防护的智能CDN产品，为企业提供了全面的加速和安全防护服务，有助于提高用户体验和保障网络安全。

02

互联网安全防御之WAF (Web应用防火墙) 实现方案分享

WAF，即Web Application Firewall（Web应用防火墙），是一种针对Web应用层恶意请求的访问控制措施，是立体防御体系的组成部分和一种辅助性防御手段。

01

BUF大事件丨黑客1亿美元叫卖AMD源码；Pwn2Own 2020春季赛落下帷幕

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻，淘宝出现“内测版本将到期” 弹窗Bug，官方回应：关闭提醒即可；黑客1亿美元叫卖AMD源码；Pwn2Own 2020春季赛落下帷幕，Fluoroacetate团队成最大赢家；FreeBuf企业安全系列之《2020国内抗DDoS产品研究报告》即将发布。想要了解详情，来看本周的BUF大事件吧！

02

分析web应用防火墙与防火墙的功能与用途

随着互联网的普及和信息技术的发展，网络安全问题日益受到关注。防火墙和Web应用防火墙作为网络安全的重要组成部分，起着至关重要的作用。小编将对防火墙和Web应用防火墙的功能和用途进行比较分析，以帮助读者了解两者的区别和联系。

00

肝了7天，让你从小白变黑客！

上一次的《C/C++后端开发路线图》的末尾，预告了网络安全方向的学习路线，让大家久等了，今天终于来了。

03

解码2022中国网安强星丨注重攻防实战化验证，长亭以原子能力打造体系化安全

由中国网络安全产业联盟（CCIA）、科技云报道共同主办的“解码2022中国网安强星”活动正式拉开帷幕。本次活动以“网安力量照见未来”为主题，邀请荣获“2022年中国网安产业竞争力50强、成长之星、潜力之星”的企业高层做客直播间，从行业、技术、市场等多角度探讨网安相关话题，探究企业背后的创新力量和安全实力。

01

腾讯安全月报丨国内首个新基建安全大赛启动、民航信息安全联合实验室成立……

8月3日，由中国产业互联网发展联盟指导，腾讯安全、知道创宇等多家安全企业联合发起，国际领先的安全团队KEEN主办的国内首个新基建安全大赛在京启动。大赛通过极客视角揭示新基建技术在各个行业应用中的安全风险场景，拉响安全预警和攻防演练，助力储备安全技术和人才。

04

SecZone每日安全资讯（2023.10.11）

一月份，安全研究人员Daniel Milisic发现一款名为T95的廉价安卓机顶盒一开箱就感染了恶意软件，其他多名安全研究人员也证实了这一发现。最近又有消息称超八成国产安卓机顶盒预装恶意软件，引发了广泛关注。

04

2021年十大开源web应用防火墙

开源web应用防火墙是网络安全的重要部分，Cloudflare认为：十年后数字经济的网络安全基础设施会像水过滤系统一样普及，而这个过滤系统的核心就是waf。对于服务器来说，部署WEB应用防火墙十分重要，笔者经过大量搜索，并结合市场热度，整理出2021年十大开源web应用防火墙。 1、OpenResty OpenResty 是由中国人章亦春发起，把nginx和各种三方模块的一个打包而成的软件平台，核心就是nginx+lua脚本语言。主要是因为nginx是C语言编写，修改很复杂，而lua语言则简单得多，国内很多大公司如360、京东、gitee等都在用来作为web应用防火墙。项目地址：https://github.com/openresty/ 2、AIHTTPS aihttps是hihttps的升级版，也是由中国人编写。特点是兼容ModSecurity规则，并且已经向人工智能方向进化：使用机器学习自主生成对抗规则，来防御包括：漏洞扫描、CC 、DDOS、SQL注入、XSS等。其商业版也开源，是目前商业化开源程度最高的WAF。项目地址：https://github.com/qq4108863/ 官网：http://www.hihttps.com

05

每周云安全资讯-2022年第50周

1 Cloud Security Guides ：一个收集优秀云安全资源的项目 Cloud Security Guides 是一个用来收集云计算安全相关领域优质资源的项目，可为业界提供云计算安全建设资料参考。 https://github.com/GRQForCloud/cloud-security-guides 2 红队攻防 | 云上横向移动：利用脆弱容器实施攻击在这篇文章中，我们将介绍一个阶段性的但真实的场景，以展示攻击者如何可能获得对云账户的完全访问。我们还将介绍如何通过使用Sysdig Cloud

02

从CTF到网络安全，网络安全攻防最不能缺少的是它！

上周四，2021第二届“天翼杯”网络安全攻防大赛初赛顺利举办。700余支战队、2000多名网络安全技术领域精英们在线上展开了8个小时的激烈角逐，最终，25支精英战队脱颖而出，晋级决赛。

02

首都网络安全日参展安全厂商巡礼

在北京市委、市政府的领导下，市委网信办、市公安局主办的第五届首都网络安全日于4月27日在北京展览馆盛大开幕。本届活动以“新时代网络安全”主论坛为引领，融合北京国际互联网科技博览会、新时代网络安全系列高峰论坛、网络安全技术大赛、“净网2018”主题宣传等系列特色活动，全程自26日至28日共计3天。

03

腾讯云网站管家WAF 一指禅

腾讯云网站管家优势陈述腾讯云网站管家：共享腾讯Web 安全防护能力，让受护用户Web 业务轻松部署腾讯业务安全级别防护能力

08

Bypass ngx_lua_waf SQL注入防御（多姿势）

ngx_lua_waf是一款基于ngx_lua的web应用防火墙，使用简单，高性能、轻量级。默认防御规则在wafconf目录中，摘录几条核心的SQL注入防御规则：

03

解码2022中国网安强星丨聚焦高效办公与应用安全，网宿安全引领新风向

由中国网络安全产业联盟（CCIA）、科技云报道共同主办的“解码2022中国网安强星”活动正式拉开帷幕。本次活动以“网安力量照见未来”为主题，邀请荣获“2022年中国网安产业竞争力50强、成长之星、潜力之星”的企业高层做客直播间，从行业、技术、市场等多角度探讨网安相关话题，探究企业背后的创新力量和安全实力。

01

Web应用安全：腾讯云网站管家WAF

腾讯云网站管家WAF（Web Application Firewall，Web应用防火墙），是一款专业为用户网站及Web应用打造的基于AI的一站式Web业务运营风险防护方案，帮助用户解决网站入侵，漏洞利用，挂马，篡改，后门，爬虫，域名劫持等问题。

00

【云安全最佳实践】云防火墙和Web应用防火墙的区别

随着互联网的进一步发展，Web应用防火墙和云防火墙步入大家的视野。防火墙针对web应用拥有很好的保护作用，由硬件和软件组合，在内部网和外部网、专用网和公共网之间形成一道强有力的保护屏障，使用者可配置不同保护级别的防火墙，高级别的保护会阻止运营一些服务。众所周知，防火墙是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术、隔离技术，用来加固网络保障网络安全的。那么，我们如何理解这两种防火墙，他们有什么区别？

03

【共读】企业信息安全建设与运维指南（二）

IDC(Internet Data Center)即互联网数据中心，为企业用户或客户提供服务，如网站应用服务、App应用后台服务等等，IDC中存储着各类敏感信息和数据资产，所以IDC安全是企业信息安全的重中之重，需重点投入进行建设和运营。

03

网络安全知识入门：Web应用防火墙是什么？

在互联网时代，网络安全问题逐渐受到重视，防火墙的配置也是非常必要的。它是位于内部网和外部网之间的屏障，更是系统的第一道防线。Web应用防火墙是什么，如何才能更好地保护Web应用，这篇文章会从应用安全为出发点，把各个技术点逐一讲透。

01

甲方安全开源项目收集

前阵子，我发布了一份甲方安全开源清单，不少朋友帮忙反馈，得到了大大的补充，重新整理了一份项目清单。

05

雷池防火墙安装及配置

安装后：服务器物理内存剩余600M，虚拟内存占用520M，雷池WAF占用约500M。

02

3分钟了解主机安全问题

《碟中谍4》中，位于迪拜塔137层的数据中心，网络防火墙是军用级别口令和硬件网关，破解防护困难。于是阿汤哥只身从130楼爬到137楼，进入数据中心，绕过防护设备，最终黑掉了迪拜塔的数据中心。这里，我们看下入侵数据中心中心的思路：

02

第31篇：一系列操作使sqlmap识别一个奇葩的延时注入点并绕waf的艰难过程

在最近的一次渗透测试项目中，遇到了一个奇葩的SQL延时注入漏洞，sqlmap无法识别出来。但是客户非让在测试环境跑出数据进行验证，否则不认可这个漏洞的危害性。编写一个多线程的延时注入脚本是很麻烦的，于是ABC_123经过了一系列操作，最终成功让sqlmap识别这个注入点并成功枚举出数据，相信也能给大家很多的启示。

04

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭