报告发布 | 数世咨询:现代WAF选型指南

WAF
6天前

微信图片_20250325145910.jpg

前言

随着Web应用的数量和复杂性不断增加,导致Web应用安全防护面临前所未有的挑战。传统Web应用防火墙(WAF)在应对复杂多变的攻击手段时显得力不从心。数世咨询提出的“现代WAF”通过引入动态防御、语义分析、机器学习等新技术,提供了更为智能化和自动化的安全防护能力。

现代WAF技术不断演进,但仍面临诸多挑战。一方面,AI与大数据虽提升了攻击检测和行为分析的准确性,但在实际应用中,误报和漏报问题依然存在。另一方面,随着多云和混合云架构的普及,WAF需要具备跨云管理能力,但不同云平台的兼容性问题给部署带来困难。此外,云原生架构和容器化部署虽提高了资源利用效率,但对运维人员的技术要求也相应提高。

市场方面,政府和金融行业对WAF的合规要求严格,但如何在满足合规的同时,不增加过多的运维负担,是用户面临的难题。电商和在线服务行业在面对高并发流量时,对WAF的性能和稳定性有极高要求,但市场上不同WAF产品在性能表现上差异较大,用户难以选择。中小企业对云WAF的需求增长迅速,但云WAF和传统硬件WAF设备之间技术以及管理、成本等诸多因素影响,也让用户在选择时犹豫不决。

在攻防实战中,自动化响应和编排虽提高了响应速度,但攻击手段也在不断进化,如通过填充垃圾字符、高并发等方式绕过WAF。多维度安全防护体系虽能提供全方位保护,但用户需要不断更新防护策略以应对新型攻击。基于AI的WAF虽能识别未知威胁和0day漏洞,但攻击者也在利用AI技术进行攻击,使得攻防对抗更加复杂。

为了帮助企业用户选择更适合的现代WAF产品,本报告在数世咨询2023年12月发布的《现代WAF市场指南》[1]基础上,对现代WAF产品的功能实现和应用落地进行进一步深入调研,完成《现代WAF选型指南》(2025)。报告以第三方视角考察现代WAF产品的基本功能、智能化防御能力、实战攻防表现,并对优秀解决方案及能力企业进行推荐,为甲方用户的WAF产品选型提供参考。

本报告主要内容:现代WAF概念定义、应用场景与价值、关键能力及选型建议、趋势分析以及代表厂商推荐。

勘误或进一步沟通,请联系主笔分析师:陈发明 chenfaming@dwcon.cn

[1] 数世咨询《现代WAF市场指南》(2023

https://www.dwcon.cn/post/3254

1.现代WAF定义

当前,Web应用成为企业、政府和个人日常活动的核心载体,Web安全的重要性越来越高。传统网络防火墙仅能在OSI网络层与传输层提供防护,对应用层协议的识别能力不足,WAF类产品因此诞生,填补了应用层防护手段的不足。然而,随着网络攻击手段的不断升级,如拟人化/自动化攻击、API攻击和0day攻击等,传统WAF基于规则匹配和黑名单的防护方式逐渐无法满足需求。

数世咨询给“现代WAF”定义如下:

现代WAF是一种集成了多种安全检测引擎、具备智能化、自动化和一体化防护能力的Web应用安全解决方案。它不仅可以监控、过滤和阻止像SQL注入、跨站脚本攻击、应用漏洞攻击、拒绝服务攻击等传统Web应用攻击,还能应对诸如Bot攻击、应用层DDoS和高级持续威胁(APT)等新型攻击,同时支持对API、小程序等多种业务应用的安全防护。

传统WAF与现代WAF对比:

对比维度

传统WAF

现代WAF

1. 防护能力

防御SQL注入、XSS、应用漏洞攻击、拒绝服务攻击等

除能防御传统Web攻击外,还能应对Bot攻击、应用层DDoS、APT等新型威胁、提供API防护等

2. 检测与识别技术

主要依赖规则库,对自动化攻击以及高级威胁防御力不足

应用动态验证、语义分析、微模型等高级防御技术,能够以更高概率识别未知威胁

3. 应用场景

为Web网站提供防护,主要用于本地数据中心,以硬件或软件形式部署

支持Web网站、API、APP、小程序等多种业务场景的安全防护;支持虚拟化、云原生方式部署,实现弹性扩展

4. 功能定制化

功能相对固定;定制化能力有限

功能模块化;灵活选择功能模块,按需选择智能算法

5. 性能扩展

软、硬件难以根据业务流量动态调整

支持弹性扩展,动态调整防护性能,云端可以实现快速部署

表1.传统WAF与现代WAF对比

2. 现代WAF应用价值

WAF产品适用于所有需要保护Web应用和API安全的业务场景,核心目的是保护敏感数据、阻止恶意攻击、同时保障各类WEB服务及相关业务的稳定性。应用价值主要体现在:

2.1满足合规

同其他安全产品一样,WAF产品首先是要满足合规需求,当然满足合规不单单是规避法律风险,更重要的价值是帮助组织减少潜在的经济损失。

相关法律法规/标准

具体要求

WAF应用价值

1.《网络安全等级保护2.0》

网站必须具备身份认证、访问控制、安全审计、入侵防范、数据完整性保护等能力;企业需通过等保测评

提供Web漏洞扫描和虚拟补丁功能;防止网页篡改、敏感信息泄露、恶意爬虫攻击

2. 《中华人民共和国网络安全法》

网络运营者需采取技术措施,确保个人信息安全;防止信息泄露、毁损、丢失

防敏感信息泄露;防数据篡改;防数据滥用

3. 《中华人民共和国数据安全法》

数据处理者需采取措施保障数据安全;防范数据泄露、篡改、滥用等风险

防敏感信息泄露;防数据篡改;防数据滥用

4. 《中华人民共和国个人信息保护法》

强调保护个人信息的安全;确保个人信息不被非法访问或篡改

加密传输数据;限制访问权限;防止个人信息泄露

5. PCI DSS(支付卡行业数据安全标准)

要求企业定期检测和修复Web漏洞;确保支付卡数据安全

提供Web漏洞扫描和虚拟补丁功能;防止敏感信息泄露

6. GDPR(欧盟通用数据保护条例)

要求企业保护用户个人数据;确保数据安全和隐私保护

数据加密;访问控制;详细的访问日志记录

表2.现代WAF满足合规要求

2.2 WEB安全防护

具体来说,WAF产品可应用于:WEB服务安全加固,防御智能化、自动化攻击、API防护、APP/小程序类安全防护、攻防实战联防联控等几个方面。

防护方向

安全风险

WAF应用价值

A.WEB服务安全加固

常见Web攻击、OWASP TOP 10(如SQL注入、XSS、CSRF等)可能导致未经授权的访问和数据泄露,影响网站稳定运行。

提供基本防护能力,实时监控和过滤恶意流量,确保网站稳定运行和数据安全。

B.防御智能化、自动化攻击

自动化机器人攻击、爬虫攻击可绕过传统WAF防护规则,还有0Day攻击也是致命威胁。

通过动态防御、语义分析、机器学习、行为分析等智能技术实现自主防御,检测并应对智能化、自动化攻击。

C.API防护

API访问存在越权访问、参数篡改、重放攻击等风险,可能导致数据泄露和业务入侵。

监控API访问,过滤敏感数据,防止数据泄露和业务入侵。

D.APP、小程序类安全防护

包括敏感数据泄露、未授权访问、恶意代码攻击、植入木马、用户薅羊毛等。

过滤敏感数据、身份保护、识别恶意行为并进行拦截。

E.攻防实战联防联控

HW和重保活动的周期拉长和趋于常态化,亟需针对应用层的威胁情报和智能化分析能力。

现代WAF通过实时收集和分析攻击数据,并与IDS/IPS/防火墙等安全产品结合,实现构建多层次防护体系,提高应对复杂攻击的能力。

表3.现代WAF安全防护价值

2.3行业应用

WAF产品在各行业中的应用价值主要体现在保护敏感数据,防止数据泄露;保护WEB服务以及应用的稳定性、业务连续性,满足行业安全规范等方面。

但不同行业属性决定了其对现代WAF独特应用需求的差异。比如金融行业,需要重点保护用户账户与资金安全。政府及公共服务领域,重点防止网页篡改、挂马,保障信息准确和服务连续性。在线社交与内容平台,需要重点过滤恶意代码、钓鱼链接及垃圾评论,防止内容盗用,提升用户体验。互联网企业与电商,对峰值性能保障有严格要求,需要保障购物高峰期的系统稳定性。医疗与健康行业,需要全力保护患者隐私和医疗记录,满足医疗法规安全要求,等等。

3.现代WAF选型指南

同所有安全产品一样,WAF产品选型需要在防护能力、性能、成本和运维复杂度之间找到平衡。实际产品选型需结合业务需求制定评分表,同时进行POC测试,最后综合评估。

数世咨询认为,WAF产品选型应将WEB安全防护能力作为首要考虑因素,其次是性能、易用性、成本和扩展性。当然针对不同行业的业务特点也需要有所侧重,比如:对于高并发大流量业务的行业(如电商、金融),优先选择高性能硬件或云WAF。对于合规性要求更加严格的行业(如医疗、支付等),需确保WAF的日志审计和丰富日志报表功能等。

以下是WAF产品选型需要考虑的关键要素。

3.1 WEB安全防护能力

WAF产品的安全防护能力是选型的首要考察要素,建议用户详细考察并做POC测试。防护能力可从:基本安全防护能力、高级危胁检测能力、API安全防护能力和可选能力等几个方面来考察。

(一)基本安全防护能力:

确保WAF产品能够覆盖OWASP Top 10中定义的主流攻击类型。笔者总结了OWASP TOP10(2021)列举的攻击类型以及WAF应对策略如下,以供参考:

漏洞类型

漏洞描述

防护手段

1. 失效的访问控制(Broken Access  Control)

攻击者可绕过身份验证和授权机制,访问未授权的数据或执行未授权的操作。例如,通过修改URL、内部应用程序状态或HTML页面,或使用自定义API攻击工具来绕过访问控制检查。

-使用WAF的访问控制功能,限制对敏感资源的访问。
 -配置细粒度的访问控制策略,确保只有授权用户可以访问特定资源。

2.加密机制失效(Cryptographic Failures)

敏感数据未加密或加密算法不安全,导致数据泄露或被轻易破解。这种漏洞通常与加密算法的选择、密钥管理、协议使用等方面的问题相关。

-确保WAF支持并强制使用强加密算法(如TLS 1.2及以上版本)。
 -定期更新和维护WAF的加密配置,确保使用最新的加密标准。

3.注入(Injection)

攻击者通过输入恶意代码,利用应用程序的输入验证漏洞,执行任意命令或查询数据。

-启用WAF的SQL注入和命令注入防护规则。
 -使用参数化查询和预编译语句,避免将用户输入直接用于构造SQL查询或其他命令。

4.不安全的设计(Insecure Design)

应用程序设计存在缺陷,如跨站脚本攻击(XSS)和跨站请求伪造(CSRF),攻击者利用应用程序对用户输入未进行适当验证和过滤,执行恶意脚本或发起伪造请求。

-配置WAF的XSS和CSRF防护规则。
 -对用户输入进行严格的验证和编码,使用内容安全策略(CSP)防止XSS攻击。

5.安全配置错误(Security Misconfiguration)

未启用HTTPS、使用弱密码策略、缺少防火墙规则等配置错误,导致应用程序存在安全风险。

-定期进行安全配置审查和审计,使用WAF的配置检查功能。

6.易受攻击和过时的组件(Vulnerable and Outdated Components)

应用程序使用的组件存在已知的安全漏洞,攻击者可利用这些漏洞进行攻击。

-使用WAF的漏洞扫描功能,检测和管理组件的安全性。

-启用WAF的虚拟补丁功能。

7.识别和认证失败(Identification and Authentication Failures)

凭据泄露和会话管理不当,攻击者可获取用户凭据或劫持用户会话。

-实施多因素认证
 -启用WAF的会话管理功能以应对凭据泄露攻击。

8.软件和数据完整性故障(Software and Data Integrity Failures)

文件上传漏洞和路径遍历漏洞,攻击者可上传恶意文件或访问敏感文件。

-使用WAF的文件上传防护功能,限制文件类型和大小。
 -集成防病毒引擎,对上传文件进行病毒和恶意软件扫描。

9.安全日志记录和监控失败(Security Logging and Monitoring Failures)

无法记录和监控安全事件,导致攻击者可以长时间潜伏而不被发现。

-启用WAF的日志记录和监控功能,定期分析日志。
 -使用安全信息和事件管理(SIEM)系统进行实时监控和警报。

10.服务器端请求伪造(SSRF)

攻击者利用服务器端请求伪造漏洞,发起恶意请求来攻击内部网络或外部服务。

-限制服务器端发起的请求,特别是对内部网络的访问。
 -使用WAF的流量分析功能,检测和阻止异常的服务器端请求。

表4.现代WAF基本安全防护能力

能力厂商推荐:目前本报告调研的国内所有安全厂商的WAF产品都具备以上提及的基本安全能力。

(二)高级威胁防护能力:

传统WAF主要依赖规则匹配和基于黑名单的攻击检测方法,而现代WAF可以通过动态防bot、语义分析、微模型、人工智能技术来识别自动化攻击和高级威胁。

  • 动态Bot防御

动态Bot防御通过在交互报文中随机插入脚本识别是否为真正的客户端环境,验证请求的合法性,从而判断并防御自动化攻击。

项目

内容

A.技术原理

通过在页面中随机自动插入动态验证脚本,实现对访问客户端的人机识别,从而识别脚本、程序等自动化攻击行为。动态验证技术对客户端环境进行采集,验证请求客户端的合法性,有效识别各种脚本、程序等;同时,对当前页面内的合法请求地址授予一定时间内有效的动态令牌,阻拦没有令牌的非法请求。

B.应用场景

检测准确性较高,可防御各类自动化攻击、智能化脚本工具、薅羊毛、恶意爬虫等。

C.技术优势

客户端环境进行检测,发起JS挑战,提升攻击检测效率和准确度。

D.技术难点

技术复杂性高,需要不断更新以应对新的Bot攻击;动态验证脚本可能增加页面加载时间,影响用户体验。

表5.现代WAF动态Bot防护

能力厂商:瑞数信息,瑞数信息是国内动态安全技术的创新者和Bots自动化攻击防护领域的专业厂商。

  • 语义分析

语义分析通过采用递归解码、词法分析、构建语法树及语法分析等技术,深入解析WEB访问数据,实现智能化安全防护。

项目

内容

A.技术原理

通过递归解码、词法分析、建立语法树和语法分析等步骤,对WEB访问数据是否存在安全风险进行深度理解和判断。

B.防护场景

防御SQL注入、XSS等攻击,可防范70%以上的变种类型,有效防止攻击绕过。与传统的基于正则表达式的检测方法相比,语义分析基于上下文匹配和语法树判断,能够更准确地识别和处理复杂的攻击模式。简单来讲,是检测"1=1"在SQL语句中的逻辑意义,而非仅匹配字符串。

C.技术优势

减少误报率,提升对变形攻击(如编码绕过)的检测能力。

D.技术难点

需要兼容不同的语言语法,对SQL、PHP注入、反序列化、文件上传、SSL仿冒等相关协议语法的深入理解与技术积累,有一定技术门槛。

表6.现代WAF语义分析

能力厂商:长亭科技,其业内领先的智能语义分析算法,能够实现基于上下文逻辑的攻击检测,降低误报率。

  • 基于微模型的威胁检测

基于微模型的威胁检测通过对访问流量和行为的深度学习并建模,创建正常流量模型, 防御异常访问行为。

项目

内容

A. 技术原理

通过对访问流量和行为的深度学习并建模,创建正常流量模型,防御异常访问行为,可通过流量学习自我迭代更新。

B.应用场景

基于对真实业务流量的持续探测与分析,可以更加具有针对性地制订相应的防护策略,可以增加对未知BOT攻击和恶意爬虫行为、0Day攻击的识别概率。

C.技术优势

资源占用低,检测效率高于传统规则库。

D.技术难点

构建微模型,需要一定时间的学习成本。对于未知的但正常的业务流量,可能产生误拦截。

表7.现代WAF基于微模型的威胁检测

能力厂商:聚信得仁,通过对服务器流量和行为深度学习并建模,对不同的业务构造不同的防御体系。

(三)API安全防护

现代WAF的API安全以“资产可见性”为基础,结合协议分析和攻击检测技术,实现对API访问的安全管控。

项目

内容

A.技术原理

通过分析API请求的流量特征、参数、调用频率等,结合威胁情报和行为分析技术,识别并阻断恶意API调用。

B.应用场景

适用于保护基于API的应用程序,包括Web服务、小程序、微服务等的API访问。它可以有效防御针对API的恶意扫描、数据泄露、身份盗用、注入等攻击,保障API接口的安全性和稳定性。

C.技术优势

依托现代WAF对应用层协议的深层理解和全面的流量检查,能够深入到业务层面进行过滤和分析。

D.技术难点

需要对API的业务逻辑和数据结构有深入的理解,才能准确配置防护规则。

表8.现代WAF的API安全防护

能力厂商:瑞数信息,瑞数信息通过智能威胁与行为分析技术,实现API自动发现、API资产管理、API访问行为管控。

(四)其它可选能力项

现代WAF的可选能力项包括:针对APP/小程序的安全防护、WEB访问优化、网页防篡改、表单加密与信息混淆、敏感数据防泄露、信创替代大背景下支持国密算法,适配国产软硬件系统及与其他安全工具联动等方面。

可选能力

简要解释

1. 针对APP/小程序等多业务安全防护

对APP、小程序等多业务场景的API调用、数据传输、用户认证等环节,防范越权访问、参数篡改、重放攻击等风险。

2. WEB访问优化

优化Web应用的访问性能,通过缓存策略、智能调度和负载均衡技术,减少响应时间,提高页面加载速度。

3.网页防篡改

采用实时监控和内容校验技术,防止网页被非法篡改或挂马。一旦检测到篡改行为,系统将自动恢复原始内容。

4.表单加密与信息混淆

对Web表单中的敏感数据进行加密处理,防止数据在传输过程中被窃取或篡改。通过信息混淆技术,增加数据的复杂性。

5.敏感数据防泄露

通过监控敏感数据的访问和传输,防止数据泄露。

6.国密算法支持和信创适配

支持国家商用密码算法(国密算法),满足国内安全标准和合规要求。适配信创相关业务系统。

7.与其它安全工具联动

提供API接口,与现有的安全工具(如SIEM、SOAR)集成,实现安全事件的实时告警和协同响应。

表9.现代WAF其它可选能力

3.2 性能与扩展性

WAF的性能直接影响业务的运行效率。吞吐量必须能够满足业务峰值流量的需求,例如在电商大促期间,启用WAF后的延迟不应过大,以免影响产品销售;在运营商应用场景中,WAF需要支持高并发连接数,以应对海量用户的连接需求。此外,性能扩展能力也是重要的考量因素,支持云内SaaS化部署的云WAF产品无疑能够更好地应对未来业务的弹性扩展。

在功能扩展方面,选择可以通过模块化交付的产品,不同应用场景或需求的用户不需要二次开发即可灵活选用,也可以说是降低了用户的使用成本同时又快速适配了用户业务。

当然,不同的产品实现其模块耦合的类型也有不同,如果是简单的功能叠加,启用更多的业务模块后不仅协同性差还增加多余的处理流程,严重拖慢整体性能;只有那些真正实现了多业务模块既可以分离又可以一体化处理的系统,才能保证良好的性能和稳定性。

3.3 部署模式与兼容性

WAF的部署方式应根据企业实际环境选择。硬件设备适合本地数据中心,性能稳定但可能成本较高;软件或虚拟化WAF适合云环境或混合架构,灵活性高;云WAF(SaaS化部署)则适合快速部署,无需硬件投入,但依赖云服务商的能力。

在兼容性方面,需要考虑支持现有的架构,如反向代理、负载均衡、CDN集成,并适配当前的业务系统,包括Web服务器类型、开发框架和数据库等。

3.4 策略灵活性与易用性

规则自定义功能是WAF灵活性的重要体现,除了能够提供预定义规则库以外,还需要考虑是否支持正则表达式、IP黑名单、URL白名单等自定义规则。

同时提供误报率和漏报率的控制也非常重要,通过“学习模式”自动优化规则,减少误拦截,并支持手动调整敏感度。

管理界面应直观易用,支持策略配置、日志查看和报表生成,同时提供API接口,便于与现有运维工具集成。

3.5 其它

现代WAF需要满足行业标准并提供合规报告,日志审计和报表等是否能完整记录攻击详情。产品是否支持多种备份模式,当故障发生时能够自动切换流量,以及备份恢复等也是需要考虑的。

供应商的支持与维护服务是产品长期稳定运行的保障,企业应选择那些能提供及时技术支持和定期更新的供应商,以应对不断演进的安全挑战。

4.发展趋势

当前,人工智能技术正在突飞猛进的发展,在大模型加持下,安全产品的能力发展也在加速进化中。未来的WAF可能不再是独立的安全产品,而是演变为智能安全网格(Intelligent Security Mesh)的核心节点。数世咨询认为,现代WAF会在:全栈融合、智能进化、云原生化和增强实战力等方面继续迭代进化。

全栈融合

融合以大模型为代表的人工智能技术,实现威胁的快速检测和内容识别,实现自动化、精细化的策略管理。同时与其它安全工具如IPS、防火墙、大数据分析工具等深度联动,实现全栈融合。

智能进化

通过强化学习实现策略自动优化,提高攻击识别的准确性和效率,减少误报。

云原生化

云原生架构与容器化部署推动WAF向云原生架构演进,容器化部署和微服务架构的应用使WAF能够快速弹性伸缩,按需分配资源。

增强实战力

现代WAF将在关键应用场景如HW、重保、攻防演练等应用场景中,展现出更加强大的实战力,协助防守团队快速识别高级威胁,甚至是未知威胁。

5.供应商推荐

瑞数信息

瑞数信息 ( River Security ) 成立于2012年,是中国动态安全技术的创新者和Bots自动化攻击防护领域的专业厂商。公司聚焦新一代应用安全与数据安全建设,提供全面覆盖Web、APP、API的全渠道应用安全、业务安全、数据安全及云安全等领域的产品及服务,持续为用户创造安全的价值,高效应对各种未知威胁和挑战。

公司总部位于上海,在北京、广州、成都、深圳、南京等20多个城市设有分公司、办事处和服务团队, 并在成都、上海和北京分别设有研发中心和研发团队。目前业务覆盖三大运营商、金融、政府、制造、能源、交通、医疗、教育、电商互联网等众多行业上千家头部客户。

官网:www.riversecurity.com

公司电话:400-611-8558

瑞数WAAP安全平台简介:

瑞数WAAP安全平台以独特的“动态安全”为核心技术,以Bot防护为核心功能,以“动态安全引擎”+“智能威胁检测引擎”+“规则引擎”三大引擎协同工作,在提供传统Web安全防御能力的同时,更能将威胁提前止于攻击的漏洞探测和踩点阶段,轻松应对新兴和快速变化的Bots攻击、0day攻击和应用DDoS攻击,助力用户打造覆盖Web、APP、云和API资产等应用的主动防护体系。突破了传统WAF难以应对复杂、隐蔽的自动化攻击的瓶颈,直指现阶段攻防对战的痛点。

产品能力:

1、 WEB安全防护

借助“动态安全引擎”,瑞数信息不依赖基于签名和特征的传统规则,即可实现对工具化应用漏洞探测和攻击的识别,以及0day的自动化攻击和探测。同时,与“智能威胁检测引擎”“规则引擎”形成三大引擎协同工作,对手动攻击、自动化攻击提供更为高效全面的Web应用防护能力,实现纵深防御。

2、API安全防护

瑞数信息采用智能威胁检测技术、行为分析技术,通过API感知、发现、监控分析和保护四大模块,实现对API接口的自动发现,建立API清单,能够有效实现API资产管理和API访问行为管控。同时,建立API安全基线,对API滥用、API异常访问、恶意扫描、注入攻击等进行监控分析,能够实现API安全防护和敏感数据管控。

3、恶意机器人保护

针对Bot自动化工具的识别与防御是瑞数信息产品中所反映出的最突出的能力之一。瑞数信息以“动态安全”技术为核心的“动态安全引擎”,通过对服务器网页底层代码的持续动态变换,以动态封装、动态验证、动态混淆、动态令牌等创新技术,增加服务器行为的“不可预测性”,让攻击者无从下手,大幅提升攻击难度,从而实现了从用户端到服务器端的全方位“主动防护”。

4、DDoS保护

多源低频、慢速攻击、精准打击等技术的应用,让针对业务/应用层的CC攻击难以防护。区别基于限频的防护技术,瑞数信息“动态安全引擎”中的“动态令牌”技术,可从根源上对Bots发起的CC攻击进行识别拦截,降低资源消耗,保障业务的正常稳定性运行。

产品特点及优势:

1、全业务渠道接入

WAAP解决方案覆盖几乎所有的业务接入渠道,包括Web、APP、API、微信小程序等,可实现全业务渠道防护;通过用户账号、设备指纹等唯一标识和全量访问记录,将各业务接入渠道的数据进行融合,实现用户访问数据追踪和透视。

2、 全功能融合

以“AI智能”技术为核心,结合规则匹配、流量学习、客户端验证、行为分析和威胁情报技术,打造多检测引擎协同工作机制,主要分为以下两点:一是在提供传统 Web安全防御能力的同时,轻松应对新兴和快速变化的Bot攻击、API攻击和DDoS攻击。二是结合人机识别和业务威胁建模功能,提供对企业Web、APP、小程序、API业务的威胁感知和高强度对抗能力,实现应用安全全方位防护。

3、动态安全引擎

创新动态安全技术,可在无规则升级的情况下对Web已知漏洞的探测攻击、0day探测进行有效阻断,防范于攻击之前。同时,对无明显恶意特征的模拟操作行为的Bot自动化威胁能有效甄别,实时拦截,无惧Bot工具手法的变化。

4、AI智能引擎

采用机器学习技术对攻击样本进行训练和学习,结合第三方漏洞库、威胁情报等信息,进行广泛训练和测试,从而发现高度隐蔽的攻击,有效提高检测率,降低误漏报。与此同时,内置多种业务威胁建模,通过AI分析技术实现对业务威胁的透视。

5、规则引擎

丰富的特征规则库,全面覆盖OWASP TOP10 攻击场景,包括注入攻击防护、跨站脚本攻击防护、Webshell防护、文件上传下载攻击防护、跨站请求伪造防护、敏感信息过滤等。