百度智能云 Web 应用防火墙（Web Application Firewall，简称 WAF）是百度智能云面向用户提供的专业 Web 安全防护产品，能够有效防护各类 Web 攻击，协助用户灵活定制访问规则，全面提升网站及 Web 业务的安全性。百度智能云 WAF 深度集成云端安全大数据能力，助力用户更高效、更快捷地提升网站安全性与可用性。

Web 应用防火墙（WAF）是一种部署在 Web 应用前端的安全防护系统，工作于应用层（OSI 模型第七层），专门针对 HTTP/HTTPS 流量进行深度检测和过滤。与传统网络防火墙不同，WAF 能够深入理解 Web 应用的业务逻辑，对请求内容进行语义分析，精准识别并阻断各类针对 Web 应用的攻击行为。

百度智能云 WAF 对网站或 App 的业务流量进行恶意特征识别及防护，在对流量进行清洗和过滤后，将正常、安全的流量返回给服务器，有效抵御各类 Web 攻击，保障网站业务安全稳定运行。同时，WAF 还能从流量管理角度防御业务风险，如恶意爬虫、Bot 攻击、API 滥用等场景。

百度智能云 WAF 提供多层次、全方位的安全防护能力，从访问控制、安全防护、Bot 防护、API 防护到响应检测，形成完整的纵深防御体系。

访问控制是 WAF 的第一道防线，通过预设规则对访问流量进行初步筛选，快速放行可信流量或拦截明确的恶意请求。

• 白名单规则：支持配置受信任的 IP、URL 或请求特征，符合白名单规则的请求将直接放行，不再经过后续检测，有效降低误报并提升检测效率。
• IP 黑名单：支持将已知的恶意 IP 地址或 IP 段加入黑名单，命中黑名单的请求将被直接拦截，快速阻断来自恶意来源的访问。
• 区域限制：支持基于地理位置的访问控制，可针对特定国家、地区的访问请求进行封禁或放行，有效应对特定区域的恶意攻击。

安全防护是 WAF 的核心能力，通过多种检测引擎对 Web 攻击进行精准识别和拦截。

• OWASP Top 10 防护：有效防御 SQL 注入、XSS 跨站脚本、命令注入、文件包含、路径穿越、CSRF 跨站请求伪造等 OWASP 定义的常见 Web 安全威胁，安全团队 7×24 小时监测高危漏洞，及时更新防护规则。
• 语义检测：采用语义分析技术深度理解请求内容，突破传统规则匹配的局限，有效识别变形攻击和各类绕过手法，显著降低误报率和漏报率。
• 自定义规则：支持基于 IP、URL、请求头、请求参数等多种条件灵活组合，配置符合业务特点的个性化防护规则，满足不同场景的安全需求。
• CC 防护：内置智能 CC 攻击防护算法，基于访问频率、请求特征等多维度分析，结合人机识别、JS 挑战等手段，有效识别并拦截 CC 攻击流量，保障业务可用性。
• 流量防护：面向大流量下载、异常带宽消耗等场景，基于多维度统计和响应流量阈值识别异常请求，降低恶意流量对带宽和业务成本的影响。

Bot 防护专注于识别和管控各类自动化程序访问，保护业务免受恶意爬虫、薅羊毛、数据爬取等威胁。

• 业务安全策略：针对登录、注册、下单等关键业务场景，提供针对性的防护策略，有效防御撞库、暴力破解、恶意注册、抢购作弊等业务风险。
• AI 智能防护：运用机器学习技术建立正常访问行为模型，智能识别偏离正常模式的异常请求，有效应对未知 Bot 和高级自动化攻击。
• Bot 行为特征识别：基于请求频率、访问路径、行为序列等多维度特征，精准识别搜索引擎、广告程序等友好爬虫，以及恶意数据爬取、自动化攻击等恶意 Bot 行为。
• 高级 Bot 防护：针对高级爬虫和模拟器，提供设备指纹、环境检测、行为验证等深度防护手段，有效对抗专业的自动化攻击工具。
• 自定义 Bot 策略：支持 IP 地域情报、IP 动态情报、设备情报、Referer、Cookie、User-Agent、IP 等多条件组合，进行精准匹配判定。

API 防护针对日益增长的 API 安全需求，提供从资产发现到风险分析的全生命周期防护能力。

• API 资产收集：通过流量分析自动发现业务 API 接口，梳理 API 资产清单，识别未知 API、影子 API 等潜在风险点，帮助用户全面掌握 API 资产状况。
• API 资产分析：对 API 接口进行风险评估，识别未授权访问、敏感数据暴露、参数异常等安全风险，检测 API 滥用行为（如数据遍历、暴力破解），并提供安全加固建议。

响应检测对服务器返回内容进行安全检查，防止敏感信息泄露和网页内容被篡改。

• 信息泄漏防护：检测并过滤响应内容中的敏感信息（如身份证号、手机号、银行卡号、服务器错误信息等），通过数据脱敏或内容替换，防止敏感数据泄露。
• 网页防篡改：对核心网页内容进行缓存保护，当源站页面被篡改时，仍返回缓存的正常页面，防止网页被恶意篡改影响用户访问和企业形象。
• 自定义响应页面：支持自定义请求被拦截时返回给客户端的响应页面，包括响应状态码、响应头、响应内容等，满足个性化的业务展示需求。

WAF 检测引擎采用多阶段流水线处理架构，将流量接入、异步调度、多编码解码、多引擎并行检测、插件防护与策略决策六大阶段串联，实现高吞吐、低延迟的精准威胁识别。

流量经由负载均衡调度，支持万级并发连接管理，结合多协议深度解析能力，将原始请求转化为引擎可处理的标准化数据，具备高可用与弹性扩缩容能力。

流量经由负载均衡调度，支持万级并发连接管理，结合多协议深度解析能力，将原始请求转化为引擎可处理的标准化数据，具备高可用与弹性扩缩容能力。

完成流量特征提取后，请求进入高性能无锁队列，由弹性工作协程池异步消费，以零拷贝、无锁并发设计大幅提升处理吞吐。引擎支持两种工作模式灵活切换：实时拦截模式（在线检测并拦截）与旁路观察模式（旁路检测记录），适配不同部署场景。

为对抗编码混淆攻击，引擎内置多层迭代解码能力，依次还原 URL 多层编码、Base64、HTML 实体、Unicode 等各类编码形式，并完成大小写归一化与空白压缩，精准还原真实攻击载荷，有效抵御绕过检测的常见手法。

引擎采用多种高性能检测算法并行联动，覆盖各类攻击特征。

• 语义引擎：SQLi / XSS 深度语义识别，深度理解攻击意图，而非简单匹配。
• 高性能正则引擎：多模式并行正则匹配，高效处理复杂规则集。
• 多模字符串匹配：大规模特征串高速检索，百万级规则实时命中。
• 前缀后缀匹配引擎：路径级精准模式匹配，准确识别路径类攻击特征。
• IP 画像检索引擎：IP 范围快速定位匹配，高效实现区域管控与黑名单拦截。

此外，引擎还覆盖等值匹配、数值比较、长度检测、存在性检测等多维度字段检查，实现对请求的全面覆盖。

检测层之上构建了插件化防护体系，各模块独立运行、支持热更新与独立启停。Web 基础防护、CC 攻击防护、Bot 智能对抗、区域封禁、信息泄露防护、自定义规则等按需组合，灵活应对各类业务安全场景。

经多层检测命中后，引擎作出最终处置：

• 拦截（BLOCK）：返回自定义拦截页面，阻断恶意请求。
• 挑战（CHALLENGE）：触发 JS 挑战 / 滑块 / 验证码，甄别真实用户。
• 观察（WATCH）：记录日志但不阻断，用于灰度观测与规则调优。
• 放行（PASS）：透传至源站，完成正常请求转发。

基于百度多年安全攻防实战经验，持续积累海量攻击样本和防护规则，具备与百度核心业务同等级的安全防护能力。专业安全团队 7×24 小时监测，针对高危漏洞和 0day 漏洞，小时级响应并自动更新防护规则，无需用户手动打补丁。

融合规则引擎、语义分析、AI 智能检测等多种技术，构建多重检测机制。语义分析引擎深度理解请求内容，有效识别各类变形攻击和绕过手法；AI 引擎持续学习攻击特征，精准识别未知威胁，有效降低误报率和漏报率。

支持负载均衡透明接入和 CNAME 接入等多种方式，无需安装任何软硬件或调整网络架构，分钟级完成部署并启用防护。

采用分布式集群架构，支持弹性扩展，具备高可用性和高并发处理能力。集群化部署消除单点故障，单台服务器故障不影响整体服务可用性，自动故障转移保障业务连续性。

依托百度安全大数据平台，整合全网威胁情报，包括恶意 IP 库、僵尸网络、代理 IP、攻击特征库等。威胁情报实时更新，第一时间感知互联网空间的已知和未知威胁，提供主动防御能力。

提供丰富的安全报表和全量日志分析功能，多维度展示业务访问情况和攻击防护效果。支持攻击事件溯源分析，帮助用户全面了解业务安全状况，快速发现和处置安全威胁，提升安全运营效率。