功能特性
本文介绍百度智能云 Web 应用防火墙(WAF)的核心功能特性,帮助您全面了解产品能力。
域名接入
| 功能 |
说明 |
| SaaS WAF(CNAME 接入) |
通过修改 DNS 解析将流量引至 WAF 集群进行防护,无需更改现有网络架构,适用于任意公网业务(包括非百度云服务器)。 |
| 云原生 WAF(BLB 接入) |
与百度负载均衡(BLB)深度集成,百度云上业务无需额外配置即可获得 Web 防护能力,流量不出云,延迟更低。 |
Web 防护
| 功能 |
说明 |
| Web 基础防护 |
内置覆盖 OWASP Top 10 的防护规则库,结合语义分析技术深度识别 SQL 注入、XSS、命令注入、文件包含、路径穿越等常见 Web 攻击及高级绕过手法,百度安全团队 7×24 小时持续更新规则。 |
| 0day 虚拟补丁 |
百度安全工程师实时监控互联网各种安全讯息,对于高危0day漏洞防,会第一时间更新防御策略,为客户打上虚拟补丁,大大降低客户被攻击的影响,为企业争取漏洞修复时间。 |
| 白名单 |
支持配置受信任的 IP/URL/请求特征等,命中后可跳过全部或指定检测模块,避免正常业务被误拦截。 |
| IP 黑名单 |
支持将已知恶意 IP/IP 段加入黑名单直接拦截。 |
| 区域封禁 |
基于 IP 地理位置对请求进行访问控制,支持中国境内省份和境外国家/地区维度封禁,有效阻断非业务覆盖区域的恶意流量。 |
| 自定义规则 |
支持 IP、URL、Referer、User-Agent、Cookie、Header、Body、JA3/JA4 指纹等 20+ 匹配字段的多条件组合,提供拦截、JS 挑战、滑块验证、人机识别、动态令牌等丰富处置动作。 |
| CC 防护 |
智能 CC 防护基于流量自学习建立访问基线模型,自动识别拦截 CC 攻击;精准自定义 CC 支持按 IP、JA3/JA4、URI Path 等多维度统计访问频率,超阈值自动触发处置。 |
| 流量防护 |
基于多维度统计和响应流量阈值识别异常请求,有效识别大文件下载、资源盗刷等带宽消耗型攻击,超出阈值自动触发防护动作。 |
| 信息泄露防护 |
智能检测响应报文中的身份证号、手机号、银行卡号等敏感信息并自动脱敏;支持对异常 HTTP 状态码进行拦截,防止错误页面暴露敏感技术信息。 |
| 网页防篡改 |
对指定 URL 的页面内容进行云端缓存保护,即使源站页面被攻击者篡改,WAF 仍返回缓存的正常页面内容,保障网站页面完整性。 |
| 自定义响应页面 |
支持自定义拦截和挑战场景的响应页面(响应码、Header、HTML 内容),支持规则级和站点级绑定,提升用户体验和品牌一致性。 |
| 支持旁路观察模式 |
设置旁路观察模式,对于攻击只记录不阻断,客户方便评估规则在实际业务中的工作情况。 |
Bot 管理
| 功能 |
说明 |
| 业务安全 |
支持提取请求中的账号标识,结合百度安全大数据实时识别诈骗风险、机器注册、营销作弊等业务欺诈行为。 |
| Bot 行为识别 |
基于机器学习自动建立正常访问行为模型,实时识别偏离基线的自动化脚本流量;支持按 IP 和自定义会话维度配置访问频率阈值。 |
| Bot 特征识别 |
通过 JavaScript 校验过滤非浏览器自动化工具,采用动态加密令牌验证技术检测高级自动化工具特征。 |
| 自定义 Bot 策略 |
支持按 IP 地域情报、动态情报、设备情报、Referer、Cookie、UA 等多条件灵活组合,配合多种处置动作精准应对复杂 Bot 场景。 |
| Web SDK 集成 |
提供 JavaScript 挑战组件和异步接口响应组件,支持自动注入和手动集成两种部署方式,方便前端业务深度集成。 |
API 安全
| 功能 |
说明 |
| API 资产收集 |
通过流量分析自动发现业务 API 接口,梳理 API 资产清单,识别未知 API、影子 API 等潜在风险点,帮助用户全面掌握 API 资产状况。 |
| API 资产分析 |
对 API 接口进行风险评估,识别未授权访问、敏感数据暴露、参数异常等安全风险,检测 API 滥用行为(如数据遍历、暴力破解),并提供安全加固建议。 |
安全运营
| 功能 |
说明 |
| 安全总览 |
展示防护态势全局概览,包括已守护天数、域名总数、流量预警、攻击趋势统计、攻击事件分布、TOP 排行等,帮助用户一目了然掌握整体安全状况。 |
| 攻击详情 |
支持按时间、域名、攻击 IP、路径、事件类型等条件灵活检索攻击日志,每条日志展示完整攻击信息便于事件溯源。 |
| 日志投递 |
支持将攻击日志和访问日志实时投递到 BLS(百度日志服务),满足等保合规、长期存储和深度分析需求。 |
| 告警设置 |
支持安全事件告警和业务监控告警,接入百度云监控(BCM)通知体系,支持短信、邮件、电话、Webhook 等多种通知方式。 |
实例管理
| 功能 |
说明 |
| 实例生命周期 |
支持包年包月(预付费)和按量付费(后付费)两种计费模式,支持创建、续费、释放等完整生命周期管理。 |
| 弹性扩展 |
支持按需扩展子域名数量、自定义规则条数、QPS/流量额度,开启弹性计费后超量自动计费不中断防护。 |
