华为云为网站安全搭建一道智能高效屏障

“乃使蒙恬北筑长城而守藩篱，却匈奴七百余里。”古有秦始皇派大将蒙恬利用地形优势，设置要塞，搭建起万里长城，有效遏制匈奴南进威胁。

设想一下，如今面向互联网提供访问的网站业务，没有任何要塞、屏障，就宛若置身于一片空旷浩瀚的平原之上，必然成为黑客攻击的目标。

华为云 Web 应用防火墙（Web Application Firewall，WAF）是作为保护网站等 Web 安全的一道屏障，在日常业务防护、重保、攻防等各场景均发挥着重要作用。华为云 WAF 如何高效助力企业搭建网站安全的一道屏障？接下来从日常业务防护、重保、攻防等场景为大家详细道来：

场景一：日常多账号、企业项目的策略统一管理，全局 搭配 零冗余

除了 IP 地址组功能，WAF 还支持策略共享，即之前创建完成的策略可以一键共享给适用此策略的其他企业项目或其他账号，策略一旦修改，接收共享此策略的其他企业项目、其他账号都会同步生效，极大提升日常防护与攻防特殊时期的运营、运维效率。

场景二：重保场景之“1 0 万级”IP 黑名单拦截

国内某大型车企客户，深度使用云 WAF 专业版，接入域名数量逾 300 个。客户的乘用车系统要进行等保三级测评，此外还要参加各种等级的攻防对抗，在针对 Web 安全的七层防护领域，华为云 WAF 的几大功能如安全策略搭配 Web 基础防护、IP 黑白名单、地理位置访问控制，以及基于特征库的网站反爬虫发挥了不可替代的作用。

在 Web 防护领域，IP 黑名单拦截在攻防期间使用得非常普遍。WAF 具备 IP 黑白名单功能，在实战演练中能对攻击来源进行高效的封堵。同时，WAF 支持搭配 IP 地址组，IP 地址组集中高效管理 IP 地址或网段，且面向同一账号下的所有防护规则开放，支持多账号间共享引用，从而实现“以一敌百”的防御效果。

IP 黑白名单功能总结如下：

· 单用户支持 10 万等级 IP 地址搭配

· 支持搭配 IP 地址组

场景 三：精细化运营、运维场景之“精准化抗 CC 攻击”

针对不同的业务场景、业务属性，WAF 支持精准访问防护搭配，支持对 HTTP 首部、Cookie、Referer、请求参数或客户端 IP 等字段进行条件组合，定制化防护策略，可有效应对不同场景下的防护要求，为网站带来更精准的防护。

在今年的攻防对抗过程中，华为云 WAF、MDR 团队联合某电商客户业务团队通过特定工具梳理网站前后登录的 URL，通过 WAF 制定精准化的 CC 限速防护策略，结合 LTS 云日志服务，对前后台登录行为进行实时监测和审批，发现可疑登录行为，利用人机校验进行登录验证，并拉黑发现的恶意 IP 地址。

场景四：0 Day 高危漏洞防护 ，2 小时生效

0Day 漏洞是对 Web 服务器的一大威胁，黑客能够利用 0Day 漏洞入侵 Web 服务器，获取有用的信息，破坏重要的数据，导致业务系统瘫痪。华为云 WAF 有内部攻防实验室和外部“双管齐下”获取爆发的 0Day 漏洞和其他威胁情报。针对 0Day 高危漏洞，华为云 WAF 可以实现 2 小时更新预置防护规则，及时下发虚拟补丁保障业务安全稳定。

以去年应对 Apache log4j2 远程代码漏洞为例，华东区域检测到一条 log4j2 漏洞的攻击请求后，华为云漏洞监控中心于数分钟后立即告知该漏洞，WAF 开发团队收到通知后即刻开启规则自动提取、专家二次确认及现网自动验证流程，2 小时内完成漏洞防护规则上线。华为云 WAF 具备了检测拦截该漏洞攻击的功能，并抵御了大量变形攻击，累计为存量客户拦截的 log4j2 攻击达数百万次。

当大多数人的潜意识认为对抗攻击威胁需要“蛮荒之力”时，殊不知高等的防守已经进化为“四两拨千斤”。Web 安全防护中，善用 IP 地址组管理，策略共享等模板化、智能化的搭配手段，才能将客户从繁杂的重复搭配、误报处理等“碎片化”工作中解放出来，着重应对、处理更为关键、复杂的安全问题，实现高效管理。

华为云 WAF 通过高效智能化的策略手段，结合深度机器学习智能识别恶意请求特征、防御未知威胁，有效避免网站被黑客恶意攻击和入侵，为客户的网站安全搭建稳固的一道屏障。