UEWAF全称UCloud Enterprise Web Application Firewall,是UCloud近期上线的云端企业级Web 防护做事。基于云真个安全做事,用户可通过修正域名解析的办法将网站接入,利用UCloud强大的打算资源和安全专家数十年积累的攻防能力,通过防御SQL注入、XSS攻击 、做事器插件漏洞、木立时传等OWASP常见攻击,避免网站数据透露,保障网站的安全性和可用性。
▌您的网站安全么?
2017年3月,58同城被曝存在多个安全技能漏洞,恶意爬虫+移动端漏洞终极导致大范围简历数据透露:700元可采集全国简历信息。
同月,瑞星安全研究院对外发布紧急安全警报,Apache Struts 2被曝存在高危远程命令实行漏洞,该漏洞可直接实行系统命令,一旦被黑客实行恶意毁坏命令,可能对做事器造成永久性毁坏。
2017年2月, Node.js的node-serialize库中存在一个漏洞,该漏洞通过传输JavaScript IIFE,利用恶意代码(未信赖数据)可以达到反序列化远程任意代码实行的效果,危害严重。
PHPMailer、SwiftMailer、ZendMail接连曝RCE高危漏洞,影响数百万Web做事器。实际上,早在2015年,WordPress就曝出XSS高危漏洞,影响上百万网站,攻击者可以利用该漏洞在web运用程序中嵌入恶意HTML、javascript、Flash等程序,绕过wordpress的kses防护,然后在其系统上实行恶意脚本。
▌WAF——Web网站的必备安全产品
利用WAF守护网站能够防御SQL注入、XSS攻击 、木立时传以及做事器插件漏洞等OWASP常见攻击,避免网站数据透露,保障网站的安全性与可用性。一样平常优点有以下三种:
一:隐蔽源站IP。通过DNS做事器反向代理的办法,隐蔽源站或者做事真个真实地址,从而在一定程度上防止了黑客对源站的直接攻击。
二:业务透明。对付企业用户来说,UEWAF的支配不须要修正前端、后真个业务接口,不须要对业务逻辑进行调度,只须要修正DNS记录。
三:实时防护。常日漏洞无法实时创造,如果放任不管则随意马虎导致数据透露等高危风险。采取运用防火墙后,可以缓解黑客利用漏洞进行的攻击,为彻底修复漏洞争取韶光。
▌UEWAF的七大特性
UEWAF除了具备上文提到的隐蔽源站IP、业务透明和实时防护等一样平常WAF的优点以外,还独具七大特性。
724小时专家做事
只要购买了UEWAF任意版本,均能够享受到724小时免费的专家做事。对付一些繁芜的攻击,当机器或者算法无法进行精准的判断和阻挡时,UCloud的安全专家能够根据黑客的攻击手腕进行有针对性的防御。
低延迟相应
市场上有多款运用防火墙,功能相差无几,但是带宽质量上会存在较大差别。UEWAF基于BGP线路接入,质量稳定,毫秒级相应延迟。
智能行为检测模型
恶意网络机器人泛滥是目前运用层网络安全面临的主要问题之一。例如常见的CC攻击、恶意爬虫、恶意刷评或接口、敲诈等诸多场景。UEWAF行为剖析引擎基于机器学习和大数据剖析技能,可以精确的识别出CC攻击、恶意爬虫、机器扫描、恶意刷接口数据等恶意机器人行为。
规则自完善系统
目前主流的WAF还是基于特色匹配,但面对日益繁芜多样的攻击,基于特色匹配的规则系统每每无法很好的防御。而UEWAF基于机器学习,其智能检测引擎具有精良的泛化能力以及自动学习能力,能够同规则系统进行有机结合,为客户网站的安全供应更坚实的保障。
自动化弹性扩展能力
面对业务的不愿定性,UEWAF具备自动化弹性扩展能力,利用UCloud强大的公有云资源池作为支撑,在遭遇CC攻击或者业务突发时,能够进行自身做事的快速扩展,以是不会存在性能瓶颈问题。
强大的协同防御能力
UCloud利用强大的云端情报网络能力,同时结合其他情报厂商的情报,在UEWAF上利用情报库可以过滤海量的恶意访问。
独家KEY-LESS方案
在传统的WAF方案中,如果进行https解密,须要客户供应证书和私钥,但是很多客户由于一些内部限定成分无法供应私钥。比较之下,UEWAF的KEY-LESS方案让客户保留私钥掌握权,并由UEWAF来做防护。
点击“阅读原文”,理解更多UEWAF产品内容。
