百度智能云 Web 应用防火墙（Web Application Firewall，简称 WAF）是百度智能云面向用户提供的专业 Web 安全防护产品，能够有效防护各类 Web 攻击，协助用户灵活定制访问规则，全面提升网站及 Web 业务的安全性。百度智能云 WAF 深度集成云端安全大数据能力，助力用户更高效、更快捷地提升网站安全性与可用性。

Web 应用防火墙（WAF）是一种部署在 Web 应用前端的安全防护系统，工作于应用层（OSI 模型第七层），专门针对 HTTP/HTTPS 流量进行深度检测和过滤。与传统网络防火墙不同，WAF 能够深入理解 Web 应用的业务逻辑，对请求内容进行语义分析，精准识别并阻断各类针对 Web 应用的攻击行为。

百度智能云 WAF 对网站或 App 的业务流量进行恶意特征识别及防护，在对流量进行清洗和过滤后，将正常、安全的流量返回给服务器，有效抵御各类 Web 攻击，保障网站业务安全稳定运行。同时，WAF 还能从流量管理角度防御业务风险，如恶意爬虫、Bot 攻击、API 滥用等场景。

百度智能云 WAF 提供多层次、全方位的安全防护能力，从访问控制、安全防护、Bot 防护、API 防护到响应检测，形成完整的纵深防御体系。

访问控制是 WAF 的第一道防线，通过预设规则对访问流量进行初步筛选，快速放行可信流量或拦截明确的恶意请求。

• 白名单规则：支持配置受信任的 IP、URL 或请求特征，符合白名单规则的请求将直接放行，不再经过后续检测，有效降低误报并提升检测效率。
• IP 黑名单：支持将已知的恶意 IP 地址或 IP 段加入黑名单，命中黑名单的请求将被直接拦截，快速阻断来自恶意来源的访问。
• 区域限制：支持基于地理位置的访问控制，可针对特定国家、地区的访问请求进行封禁或放行，有效应对特定区域的恶意攻击。

安全防护是 WAF 的核心能力，通过多种检测引擎对 Web 攻击进行精准识别和拦截。

• OWASP Top 10 防护：有效防御 SQL 注入、XSS 跨站脚本、命令注入、文件包含、路径穿越、CSRF 跨站请求伪造等 OWASP 定义的常见 Web 安全威胁，安全团队 7×24 小时监测高危漏洞，及时更新防护规则。
• 语义检测：采用语义分析技术深度理解请求内容，突破传统规则匹配的局限，有效识别变形攻击和各类绕过手法，显著降低误报率和漏报率。
• 自定义规则：支持基于 IP、URL、请求头、请求参数等多种条件灵活组合，配置符合业务特点的个性化防护规则，满足不同场景的安全需求。
• CC 防护：内置智能 CC 攻击防护算法，基于访问频率、请求特征等多维度分析，结合人机识别、JS 挑战等手段，有效识别并拦截 CC 攻击流量，保障业务可用性。

Bot 防护专注于识别和管控各类自动化程序访问，保护业务免受恶意爬虫、薅羊毛、数据爬取等威胁。

• 业务安全策略：针对登录、注册、下单等关键业务场景，提供针对性的防护策略，有效防御撞库、暴力破解、恶意注册、抢购作弊等业务风险。
• Bot 行为特征识别：基于请求频率、访问路径、行为序列等多维度特征，精准识别搜索引擎、广告程序等友好爬虫，以及恶意数据爬取、自动化攻击等恶意 Bot 行为。
• AI 智能防护：运用机器学习技术建立正常访问行为模型，智能识别偏离正常模式的异常请求，有效应对未知 Bot 和高级自动化攻击。
• 高级 Bot 防护：针对高级爬虫和模拟器，提供设备指纹、环境检测、行为验证等深度防护手段，有效对抗专业的自动化攻击工具。

API 防护针对日益增长的 API 安全需求，提供从资产发现到风险分析的全生命周期防护能力。

• API 资产收集：通过流量分析自动发现业务 API 接口，梳理 API 资产清单，识别未知 API、影子 API 等潜在风险点，帮助用户全面掌握 API 资产状况。
• API 资产分析：对 API 接口进行风险评估，识别未授权访问、敏感数据暴露、参数异常等安全风险，检测 API 滥用行为（如数据遍历、暴力破解），并提供安全加固建议。

响应检测对服务器返回内容进行安全检查，防止敏感信息泄露和网页内容被篡改。

• 信息泄漏防护：检测并过滤响应内容中的敏感信息（如身份证号、手机号、银行卡号、服务器错误信息等），通过数据脱敏或内容替换，防止敏感数据泄露。
• 网页防篡改：对核心网页内容进行缓存保护，当源站页面被篡改时，仍返回缓存的正常页面，防止网页被恶意篡改影响用户访问和企业形象。
• 自定义拦截响应：支持自定义请求被拦截时返回给客户端的响应页面，包括响应状态码、响应头、响应内容等，满足个性化的业务展示需求。

基于百度多年安全攻防实战经验，持续积累海量攻击样本和防护规则，具备与百度核心业务同等级的安全防护能力。专业安全团队 7×24 小时监测，针对高危漏洞和 0day 漏洞，小时级响应并自动更新防护规则，无需用户手动打补丁。

融合规则引擎、语义分析、AI 智能检测等多种技术，构建多重检测机制。语义分析引擎深度理解请求内容，有效识别各类变形攻击和绕过手法；AI 引擎持续学习攻击特征，精准识别未知威胁，有效降低误报率和漏报率。

支持负载均衡透明接入和 CNAME 接入等多种方式，无需安装任何软硬件或调整网络架构，分钟级完成部署并启用防护。

采用分布式集群架构，支持弹性扩展，具备高可用性和高并发处理能力。集群化部署消除单点故障，单台服务器故障不影响整体服务可用性，自动故障转移保障业务连续性。

依托百度安全大数据平台，整合全网威胁情报，包括恶意 IP 库、僵尸网络、代理 IP、攻击特征库等。威胁情报实时更新，第一时间感知互联网空间的已知和未知威胁，提供主动防御能力。

提供丰富的安全报表和全量日志分析功能，多维度展示业务访问情况和攻击防护效果。支持攻击事件溯源分析，帮助用户全面了解业务安全状况，快速发现和处置安全威胁，提升安全运营效率。