什么是 Web 安全防火墙?
Web 应用防火墙(Web Application Firewall,WAF)能够帮助腾讯云内及云外用户应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫等网站及 Web 业务安全防护问题。企业通过部署腾讯云 WAF 服务,将 Web 攻击威胁压力转移到腾讯云 WAF 防护集群节点,分钟级获取腾讯 Web 业务防护能力,为网站及 Web 业务安全运营保驾护航。
WAF 支持两种类型:SaaS 型和负载均衡型,这两种类型的 WAF 都支持接入防护,对比如下:
WAF 类型 | 负载均衡型 WAF(推荐) | SaaS 型 WAF |
是否需要网关控制台操作 | 需要。 | 不需要。 |
接入方式 | 支持域名防护和对象防护两种方式,也可同时使用。 | |
WAF 到网关的流量路径 | 旁路对接。流量先到网关,再到 WAF,旁路送审。 | 流量先到 WAF,再到网关。 |
WAF 到网关流量类型 | 内网。 | 公网。 |
如何选择 | 旁路对接,业务转发与安全防护分离,最大限度减少安全防护对业务的影响。 使用内网对接,更省流量。 | 只能绑定一个公网负载均衡的公网 IP。 如需使用网页防篡改和数据防泄漏功能,仅 SaaS 型 WAF 可支持。 |
云原生网关推荐使用负载均衡型 WAF,可将网关收到的 HTTP/HTTPS 流量镜像到 WAF 集群,WAF 进行旁路威胁检测和清洗,将用户请求的可信状态同步到 云原生 API 网关进行威胁拦截或放行,以保护您的业务安全。通过旁路对接的方式,具备如下优势:
无感知接入,域名接入 WAF 无需调整现有网络架构。
网站业务转发和安全防护分离,保障网站业务安全、稳定可靠。
负载均衡型 WAF 接入方式
负载均衡型 WAF 提供两种接入方式:
方式一:域名接入
通过添加域名的方式与网关资源进行绑定,实现对经过网关的 HTTP 或 HTTPS 流量进行检测和拦截,需要在网关侧进行:
1. 添加接入域名
2. 配置需要防护的资源
方式二:对象接入
通过 WAF 资产中心的实例管理模块,与网关实例进行关联,实现对象维度的接入,网关实例的所有流量都进行防护。
云原生对象接入支持基于云原生网关实例对象维度接入防护,将网关实例 ID 的 Web 业务流量镜像,通过协商协议转发到 WAF 集群接入防护。接入后,自动生成基于网关实例 ID 对象的防护集合,对未配置域名接入的 Web 流量启动防护,并允许客户自定义修改防护策略规则。
两种接入方式的对比如下:
对比项 | 域名接入 | 对象接入 |
是否需要配置域名 | 需要 | 不需要 |
防护粒度 | 资源级(支持路由级和服务级) | 实例级 |
接入复杂度 | 较复杂 | 简单 |
网关与 WAF 流量方式 | 旁路对接 | |
两种相关防护生效顺序如下:
对象接入以网关实例为维度进行安全防护接入,如您需要更精细的防护,可使用域名接入,通过配置防护域名,精准实现资源防护。您也可以同时配置两种防护策略,相关防护生效顺序如下:
精准域名接入防护:优先级最高,命中后安全防护策略优先生效。
对象接入防护:没有命中任何域名防护策略后的流量,继续执行对象默认防护策略。
使用场景
场景一:实例全防护
场景说明:需要访问该网关实例的所有请求都进行 WAF 防护,存量路由和后续新增路由不用单独配置。适用于安全性要求极高的生产场景。
使用方式:开启对象接入防护。
场景二:仅部分服务需要防护
场景说明:仅访问某些后端服务的请求需要接入防护,其他请求不需要接入防护,适用于测试场景或安全性要求较高的生产场景。
使用方式:对需要防护的服务开启域名防护。
场景三:仅部分路由需要防护
场景说明:仅访问某些路由需要接入防护,其他请求不需要接入防护,适用于测试场景或安全性要求较低的生产场景。
使用方式:对需要防护的路由开启域名防护。
场景四:开启了服务级防护,需要关闭服务下部分路由的防护
场景说明:已开启服务级防护,新增了测试路由需要取消防护进行测试。
使用方式:对需要测试的路由关闭防护,此时服务防护将由全部开启变为部分开启状态,待测试完成后,可选择性开启路由防护,此时服务防护会再次变为全部开启。
