Web应用防火墙对网站或APP的业务流量进行恶意特征识别及防护，将清洗后的安全流量返回至服务器。避免服务器被恶意攻击及入侵，应用被挂马和篡改，保护核心数据安全，保障业务稳定运转。

产品功能

Web入侵防护

自动防护漏洞0day web应用漏洞小时级自动防御，无需人工打补丁

多重动态防御自研规则+AI深度学习+主动防御，搭配不断更新的全网威胁情报，扫除防御死角

防扫描及探测根据扫描及探测的特征和行为，配合全网威胁情报、深度学习算法进行自动拦截，避免黑客发现可利用的系统弱点

防护规则可自定义可根据业务实际需求，灵活自定义防护规则

流量管理和爬虫防控

灵活的流量管理功能支持对全量HTTP header和body特征进行自定义组合，从而实现满足业务个性化需求的访问控制和限速要求

CC攻击防护基于不同等级的默认防护策略及灵活的精准访问控制和限速策略，配合人机识别、封禁等处置手段有效缓解CC攻击（HTTP Flood）

精准识别爬虫基于指纹、行为、特征、情报等多维度数据，配合AI智能，精准识别爬虫并自动应对爬虫变异

全场景防控适用于网站、H5、APP、小程序等各类型Web业务的爬虫风险防控，帮助企业防控业务作弊、薅羊毛等业务风险

丰富的爬虫处置手段可根据实际业务场景需求，对流量进行包括拦截、人机识别、限流、欺骗等处置手段

场景化配置场景化配置引导，帮助0经验快速上手阿里最佳实践

数据安全防控

保护API安全主动发现存在老旧、缺乏鉴权、数据过度暴露、敏感信息泄露等风险的API接口

防敏感信息泄露检测并防护身份证、银行卡、手机号、敏感词等敏感信息泄露

防页面篡改通过锁定重点页面的内容，保证即使页面被篡改，也能通过返回缓存的方式保证用户看到的页面内容不变

检测账户风险自动识别撞库、暴力破解、弱口令等常见账号风险

安全运维与合规

安全接入一键实现HTTPS、全链路IPv6、智能负载均衡、云上云下高可用和快速容灾

全量访问日志记录和存储全量Web访问日志，支持实时SQL查询分析和自定义告警

自动化资产识别基于云上大数据，全面发现未接入防护的域名资产，收敛攻击面

混合云部署支持流量不上云的本地防护

满足等保合规满足各行业等保合规需求

应用场景

Web应用基础安全防护场景

Web应用上云必备安全能力

提供web应用0day漏洞自动防护，无需人工打补丁和修复，且能帮助你有效降低网站、H5、APP、小程序等web应用被黑客及病毒入侵，减少挂马、网页篡改、爬虫、数据泄露、CC攻击等风险。

能解决的问题

全面防护SQL注入、XSS、Webshell上传、目录遍历、后门隔离等各类常见Web攻击

防护黑客使用CC攻击软件，控制肉鸡对应用发起CC攻击

0Day漏洞通过虚拟补丁快速自动修复，解决代码改造难度大，周期长等问题

主动梳理和发现废弃/过时、缺乏权限和速率控制的数据接口和资产，降低数据泄露风险

自动拦截扫描及探测