WAF 是否支持跨账号使用、跨账号配置迁移、跨账号共享?
WAF 暂不支持跨账号使用,不支持跨账号配置迁移,也不支持跨账号共享。
非腾讯云内的服务器能否使用 WAF?
SAAS-WAF 支持云外机房用户接入,可以保护任何公网的服务器,包括但不限于腾讯云,包括其他厂商的云,IDC 等。
CLB-WAF 仅支持腾讯云上业务负载均衡用户接入使用。
注意:
在中国内地(大陆)地区接入的域名必须按照工信部要求进行 ICP 备案。
WAF 是否支持 HTTPS 防护?
SAAS-WAF 及 CLB-WAF 全面支持 HTTPS 业务。用户只需根据提示将 SSL 证书及私钥上传,或者选择腾讯云托管证书,WAF 即可防护 HTTPS 业务流量。
WAF 的 QPS 限制规格是针对整个实例,还是配置的单个域名的 QPS 上限?
SAAS-WAF 及 CLB-WAF 的 QPS 限制规格是针对整个实例。若配置防护三个域名,则这三个域名累加的 QPS 不能超过规定上限。如果超过已购买的实例的 QPS 限制,将触发限速,导致丢包。
WAF 可以直接使用 DDoS 高防包么?
上传 SSL 证书私钥是否有风险?
腾讯云对 SSL 证书的密钥托管体现出极高的安全性,主要从以下三个维度来看:
上传阶段
用户在上传阶段跳转到腾讯云托管证书平台配置证书,操作全程使用 HTTPS 加密通讯和企业型 SSL 证书,保证通讯数据的安全。
保存阶段
1. 上传后证书落库保存,对于证书私钥,使用 AES 的 CBC 模式进行加密,有效防范私钥被暴力破解。
2. 证书数据库做了容灾备份。保证证书数据的高可用性与高安全性,无对外暴露接口,由腾讯云内部 STGW 安全网关保证安全。
3. 证书后台部署有多台服务器,通过负载均衡接入,保证接口的稳定性。
证书的操作与读取
1. 客户进行证书操作,腾讯云 SSL 证书中心以“资源级”接入访问管理(Cloud Access Management,CAM),拥有完善的权限管理体系。客户可以对于不同的证书授予不同子账号不同的权限,防止恶意吊销、删除操作。
2. WAF 拉取证书,同样由腾讯云安全网关保证安全,业务按需拉取证书,同时对请求来源进行鉴别与鉴权,避免非法与不必要的访问。
SaaS 型和负载均衡型 WAF 是否都支持 SSL 双向认证?
SaaS 型 WAF 不支持 SSL 双向认证,负载均衡型 WAF 支持 SSL 双向认证。
Web 应用防火墙(WAF)与云防火墙区别是什么?
Web 应用防火墙(WAF)与云防火墙的区别如下:
类型 | 腾讯云 Web 应用防火墙(WAF) | 腾讯云防火墙(CFW) | |
| | SAAS 型 WAF | 负载均衡型 WAF(CLB WAF) |
防护对象 | 网站和 API 服务。 | 网站和 API 服务。 | 全部暴露到互联网的业务。 |
适用场景 | 有等保或重保需求的客户,关注 Web 和 API 安全防护,关注应用层防护和机器防刷。 | 有等保或重保需求的客户,关注 Web 和 API 安全防护,关注应用层防护和机器防刷,且腾讯云上已使用或计划使用七层负载均衡的客户。 | 有等保或重保需求客户,或关注 CVM 主机及网络安全的客户。 |
核心防护能力 | Web 漏洞和未知威胁防护,自助漏报和误报处理。 CC 攻击防护。 API 安全和业务安全防护。 防泄漏/防篡改。 | Web 漏洞和未知威胁防护,自助漏报和误报处理。 CC 攻击防护 。 API 安全和业务安全防护。 网站 IPv6 防护。 | IPS 的虚拟补丁能力,无需 CVM 安装实体补丁,无需重启。含 OWASP TOP 10 Web 基础漏洞防护。 自动发现失陷主机,对 CVM 的恶意外联行为进行自动阻断。 支持基于域名的主动外联控制。 |
核心优势 | 适用范围广阔,广泛覆盖腾讯云上和非腾讯云上用户。 | 云原生接入,接入无需要调整现有的网络架构。 网站业务转发和安全防护分离,一键 bypass,保障网站业务安全、稳定可靠,支持多地域接入,仅覆盖腾讯云上用户。 | 云原生防火墙,一键开启,对客户业务无任何影响。 集成了 IPS、威胁情报、漏扫等安全能力,等保及重保场景必备,仅覆盖腾讯云上用户。 |
如何选择 | 云上和本地 IDC 均有网站和 API 防护需求的客户,推荐使用 SAAS 型 WAF。 | 腾讯云上已使用或计划使用七层负载均衡的用户,推荐使用负载均衡型 WAF。 | 对于关注 CVM 的防护效果,关注 CVM 是否失陷,特别是业务对外除了 Web 服务,还暴露了其他公网服务,推荐选择云防火墙。 |
WAF 的策略生效优先级是怎么命中的?
WAF 命中规则优先级为:精准白名单 > IP 白名单 > API 限流 > IP 黑名单 > 地域封禁、小程序防护、访问控制、CC 规则、BOT 防护、Web 防护(规则引擎)、AI 引擎 > 防篡改、防敏感。