- 动态与公告
- 产品动态
- 产品公告
- 安全公告
- Apache log4j2 远程代码执行漏洞风险公告(CVE-2021-44832)
- Apache Log4j 2 远程代码执行漏洞风险公告(CVE-2021-45046)
- Apache Log4j 2 远程代码执行漏洞风险公告(CVE-2021-44228)
- Weblogic Console HTTP 协议远程代码执行漏洞公告
- Exchange Server 命令执行漏洞的安全防护公告
- 用友 GRP-U8 行政事业内控管理软件存在 SQL 注入漏洞公告
- CVE-2020-11991 Apache Cocoon XML 外部实体注入漏洞公告
- WordPress File Manager 存在任意代码执行漏洞公告
- Jenkins 发布9月安全更新公告
- Apache Struts2 远程代码执行漏洞公告(CVE-2019-0230、CVE-2019-0233)
- Apache SkyWalking SQL 注入漏洞安全风险公告(CVE-2020-13921)
- 新手指引
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 实践教程
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Asset Management APIs
- Billing APIs
- Protection Settings APIs
- AddAntiFakeUrl
- AddAntiInfoLeakRules
- DeleteAntiFakeUrl
- DeleteSession
- DescribeAntiFakeRules
- DescribeAntiInfoLeakageRules
- DescribeCCRule
- DescribeCCRuleList
- DescribeCustomRuleList
- DescribeCustomWhiteRule
- DescribeDomainVerifyResult
- DescribeModuleStatus
- DescribeObjects
- DescribeRuleLimit
- DescribeSession
- DescribeSpartaProtectionInfo
- DescribeUserLevel
- ModifyAntiFakeUrl
- ModifyAntiInfoLeakRuleStatus
- ModifyAntiInfoLeakRules
- ModifyCustomRule
- ModifyCustomRuleStatus
- ModifyCustomWhiteRule
- ModifyCustomWhiteRuleStatus
- ModifyModuleStatus
- ModifyObject
- ModifyProtectionStatus
- ModifySpartaProtectionMode
- ModifyUserLevel
- ModifyUserSignatureRule
- SwitchElasticMode
- Other APIs
- AddCustomWhiteRule
- DeleteAntiInfoLeakRule
- DeleteCCRule
- DeleteCustomRule
- DeleteCustomWhiteRule
- DescribeDomainCountInfo
- DescribeFindDomainList
- DescribeHost
- DescribeHostLimit
- DescribeHosts
- DescribeInstances
- DescribeUserDomainInfo
- DescribeWebshellStatus
- FreshAntiFakeUrl
- ModifyAntiFakeUrlStatus
- ModifyBotStatus
- ModifyDomainsCLSStatus
- ModifyHostMode
- ModifyHostStatus
- ModifyInstanceElasticMode
- ModifyInstanceName
- ModifyInstanceQpsLimit
- ModifyInstanceRenewFlag
- ModifyWebshellStatus
- UpsertCCRule
- UpsertSession
- GetInstanceQpsLimit
- AddCustomRule
- IP Management APIs
- Integration APIs
- DescribeCertificateVerifyResult
- DeleteHost
- DescribeTlsVersion
- ModifyHost
- ModifyHostFlowMode
- ModifySpartaProtection
- AddSpartaProtection
- DescribePorts
- DescribeUserClbWafRegions
- RefreshAccessCheckResult
- DeleteSpartaProtection
- DescribeCiphersDetail
- DescribeDomainDetailsClb
- DescribeDomainDetailsSaas
- ModifyDomainIpv6Status
- CreateHost
- DescribeVipInfo
- Log Service APIs
- Bot Behavior Management APIs
- Security Overview APIs
- Data Types
- Error Codes
- 常见问题
- 服务等级协议
- WAF 策略
- 联系我们
- 词汇表
- 动态与公告
- 产品动态
- 产品公告
- 安全公告
- Apache log4j2 远程代码执行漏洞风险公告(CVE-2021-44832)
- Apache Log4j 2 远程代码执行漏洞风险公告(CVE-2021-45046)
- Apache Log4j 2 远程代码执行漏洞风险公告(CVE-2021-44228)
- Weblogic Console HTTP 协议远程代码执行漏洞公告
- Exchange Server 命令执行漏洞的安全防护公告
- 用友 GRP-U8 行政事业内控管理软件存在 SQL 注入漏洞公告
- CVE-2020-11991 Apache Cocoon XML 外部实体注入漏洞公告
- WordPress File Manager 存在任意代码执行漏洞公告
- Jenkins 发布9月安全更新公告
- Apache Struts2 远程代码执行漏洞公告(CVE-2019-0230、CVE-2019-0233)
- Apache SkyWalking SQL 注入漏洞安全风险公告(CVE-2020-13921)
- 新手指引
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 实践教程
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Asset Management APIs
- Billing APIs
- Protection Settings APIs
- AddAntiFakeUrl
- AddAntiInfoLeakRules
- DeleteAntiFakeUrl
- DeleteSession
- DescribeAntiFakeRules
- DescribeAntiInfoLeakageRules
- DescribeCCRule
- DescribeCCRuleList
- DescribeCustomRuleList
- DescribeCustomWhiteRule
- DescribeDomainVerifyResult
- DescribeModuleStatus
- DescribeObjects
- DescribeRuleLimit
- DescribeSession
- DescribeSpartaProtectionInfo
- DescribeUserLevel
- ModifyAntiFakeUrl
- ModifyAntiInfoLeakRuleStatus
- ModifyAntiInfoLeakRules
- ModifyCustomRule
- ModifyCustomRuleStatus
- ModifyCustomWhiteRule
- ModifyCustomWhiteRuleStatus
- ModifyModuleStatus
- ModifyObject
- ModifyProtectionStatus
- ModifySpartaProtectionMode
- ModifyUserLevel
- ModifyUserSignatureRule
- SwitchElasticMode
- Other APIs
- AddCustomWhiteRule
- DeleteAntiInfoLeakRule
- DeleteCCRule
- DeleteCustomRule
- DeleteCustomWhiteRule
- DescribeDomainCountInfo
- DescribeFindDomainList
- DescribeHost
- DescribeHostLimit
- DescribeHosts
- DescribeInstances
- DescribeUserDomainInfo
- DescribeWebshellStatus
- FreshAntiFakeUrl
- ModifyAntiFakeUrlStatus
- ModifyBotStatus
- ModifyDomainsCLSStatus
- ModifyHostMode
- ModifyHostStatus
- ModifyInstanceElasticMode
- ModifyInstanceName
- ModifyInstanceQpsLimit
- ModifyInstanceRenewFlag
- ModifyWebshellStatus
- UpsertCCRule
- UpsertSession
- GetInstanceQpsLimit
- AddCustomRule
- IP Management APIs
- Integration APIs
- DescribeCertificateVerifyResult
- DeleteHost
- DescribeTlsVersion
- ModifyHost
- ModifyHostFlowMode
- ModifySpartaProtection
- AddSpartaProtection
- DescribePorts
- DescribeUserClbWafRegions
- RefreshAccessCheckResult
- DeleteSpartaProtection
- DescribeCiphersDetail
- DescribeDomainDetailsClb
- DescribeDomainDetailsSaas
- ModifyDomainIpv6Status
- CreateHost
- DescribeVipInfo
- Log Service APIs
- Bot Behavior Management APIs
- Security Overview APIs
- Data Types
- Error Codes
- 常见问题
- 服务等级协议
- WAF 策略
- 联系我们
- 词汇表
WAF 是否支持跨账号使用、跨账号配置迁移、跨账号共享?
WAF 暂不支持跨账号使用,不支持跨账号配置迁移,也不支持跨账号共享。
非腾讯云内的服务器能否使用 WAF?
WAF 支持云外机房用户接入,可以保护任何公网的服务器,包括但不限于腾讯云,包括其他厂商的云,IDC 等。
注意:
在中国内地(大陆)地区接入的域名必须按照工信部要求进行 ICP 备案。
WAF 是否支持 HTTPS 防护?
WAF 全面支持 HTTPS 业务。用户只需根据提示将 SSL 证书及私钥上传,或者选择腾讯云托管证书,WAF 即可防护 HTTPS 业务流量。
WAF 的 QPS 限制规格是针对整个实例,还是配置的单个域名的 QPS 上限?
WAF 的 QPS 限制规格是针对整个实例。若配置防护三个域名,则这三个域名累加的 QPS 不能超过规定上限。如果超过已购买的实例的 QPS 限制,将触发限速,导致丢包。
WAF 可以直接使用 DDoS 高防包么?
上传 SSL 证书私钥是否有风险?
腾讯云对 SSL 证书的密钥托管体现出极高的安全性,主要从以下三个维度来看:
上传阶段
用户在上传阶段跳转到腾讯云托管证书平台配置证书,操作全程使用 HTTPS 加密通讯和企业型 SSL 证书,保证通讯数据的安全。
保存阶段
1. 上传后证书落库保存,对于证书私钥,使用 AES 的 CBC 模式进行加密,有效防范私钥被暴力破解。
2. 证书数据库做了容灾备份。保证证书数据的高可用性与高安全性,无对外暴露接口,由腾讯云内部 STGW 安全网关保证安全。
3. 证书后台部署有多台服务器,通过负载均衡接入,保证接口的稳定性。
证书的操作与读取
1. 客户进行证书操作,腾讯云 SSL 证书中心以“资源级”接入访问管理(Cloud Access Management,CAM),拥有完善的权限管理体系。客户可以对于不同的证书授予不同子账号不同的权限,防止恶意吊销、删除操作。
2. WAF 拉取证书,同样由腾讯云安全网关保证安全,业务按需拉取证书,同时对请求来源进行鉴别与鉴权,避免非法与不必要的访问。
SaaS 型和负载均衡型 WAF 是否都支持 SSL 双向认证?
SaaS 型 WAF 不支持 SSL 双向认证,负载均衡型 WAF 支持 SSL 双向认证。
Web 应用防火墙(WAF)与云防火墙区别是什么?
Web 应用防火墙(WAF)与云防火墙的区别如下:
类型 | 腾讯云 Web 应用防火墙(WAF) | 腾讯云防火墙(CFW) | |
| | SAAS 型 WAF | 负载均衡型 WAF(CLB WAF) |
防护对象 | 网站和 API 服务。 | 网站和 API 服务。 | 全部暴露到互联网的业务。 |
适用场景 | 有等保或重保需求的客户,关注 Web 和 API 安全防护,关注应用层防护和机器防刷。 | 有等保或重保需求的客户,关注 Web 和 API 安全防护,关注应用层防护和机器防刷,且腾讯云上已使用或计划使用七层负载均衡的客户。 | 有等保或重保需求客户,或关注 CVM 主机及网络安全的客户。 |
核心防护能力 | Web 漏洞和未知威胁防护,自助漏报和误报处理。 CC 攻击防护。 API 安全和业务安全防护。 防泄漏/防篡改。 | Web 漏洞和未知威胁防护,自助漏报和误报处理。 CC 攻击防护 。 API 安全和业务安全防护。 网站 IPv6 防护。 | IPS 的虚拟补丁能力,无需 CVM 安装实体补丁,无需重启。含 OWASP TOP 10 Web 基础漏洞防护。 自动发现失陷主机,对 CVM 的恶意外联行为进行自动阻断。 支持基于域名的主动外联控制。 |
核心优势 | 适用范围广阔,广泛覆盖腾讯云上和非腾讯云上用户。 | 云原生接入,接入无需要调整现有的网络架构。 网站业务转发和安全防护分离,一键 bypass,保障网站业务安全、稳定可靠,支持多地域接入,仅覆盖腾讯云上用户。 | 云原生防火墙,一键开启,对客户业务无任何影响。 集成了 IPS、威胁情报、漏扫等安全能力,等保及重保场景必备,仅覆盖腾讯云上用户。 |
如何选择 | 云上和本地 IDC 均有网站和 API 防护需求的客户,推荐使用 SAAS 型 WAF。 | 腾讯云上已使用或计划使用七层负载均衡的用户,推荐使用负载均衡型 WAF。 | 对于关注 CVM 的防护效果,关注 CVM 是否失陷,特别是业务对外除了 Web 服务,还暴露了其他公网服务,推荐选择云防火墙。 |
WAF 的策略生效优先级是怎么命中的?
WAF 命中规则优先级为:精准白名单 > IP 白名单 > IP 黑名单、地域封禁、访问控制、CC 规则 > BOT 防护 > Web 防护(规则引擎)、AI 引擎、防篡改、防敏感。
是
否
本页内容是否解决了您的问题?