云WAF可以防护云上和云下的资产,云上的资产直接防护,云下的资产可以先过WAF再引过来到线下。
访问控制:限定仅中国的IP可以访问;针对特定URL,可以拦截域名+URL,限制外部访问,仅限办公出口IP可以访问。
CC防护:针对登录、注册、忘记密码、短信等接口发起的撞库攻击或者短信轰炸,可以进行限频限次。撞库攻击的UA,ip,refer都可以成为封禁的特征。
漏洞防护:owasp top10可以防护,特定应用的通用漏洞也可以防护。
防敏感信息泄露的规则可能引发误拦行为,这个规则开启需要谨慎一点。
bot管理:针对url,UA,敏感url后缀都可以进行一个防护。
API防护是waf可以发现潜在的薅羊毛、作弊等恶意活动,可以提前设置好限频限次,拉黑IP一定时间。需要重点关注的API,可以给一个排行榜,从而判断出来潜在的异常。
此外http服务的端口常见的是80,443,8080,8443,但是也有其他的,高级版本可以覆盖更大范围的端口。
基础版的WAF:一个主域名,可以配置5个子域名,每个月费用是1100,一年就是13200块,适合中小企业。
因为杀毒软件,例如火绒安全软件,50个windows终端和服务器的点也是12000块。
WAF规则是需要进行个性化的,有的公司的网站是需要搜索引擎的爬虫进行索引的,那就没必要进行搜索类爬虫的bot拦截了。
火山引擎的WAF主要还是用于自己的客户,网站上云,然后购买云WAF,网站少,其实还是比较划算的,但是网站多,云WAF就没有那么划算了。
现在国内做的商业WAF可是太多了,基本上每个大的安全厂商都有waf产品。
