酷应用

UCloud献礼《网络安全法》施行 UEWAF免费月盛大开启

看点作者：Ucloud 2017-06-08 10:36:26

今年6月1日，我国首部专项网络安全法律《中华人民共和国网络安全法》开始施行，第四十二条规定“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失”，明确加强了对个人信息的保护。

UCloud始终把用户数据隐私作为云服务的生命线，为响应《网络安全法》实施，积极推出网络安全产品—UEWAF免费月活动，让用户体验如何借助云计算防止信息泄漏。

UEWAF（UCloud Enterprise Web Application Firewall）是UCloud自主研发的一款云端企业级Web 防护服务产品。针对网站应用程序进行安全检测及防御，通过对HTTP/HTTPS数据流量进行安全策略配置管理，避免数据泄露，保障Web应用的安全性、可靠性与可用性。

相比于传统防火墙，UEWAF作用在应用层，对各类请求进行内容检测和验证，通过对非法请求的实时阻断，确保Web应用的安全性。

揭开UEWAF神秘面纱

WAF即Web应用防火墙（Web Application Firewall）基本分为硬件WAF、软件WAF和云WAF三类。随着云计算快速发展，UEWAF相比传统WAF拥有明显的成本优势。没有硬件WAF的昂贵与笨重，也没有软件WAF的局限性（客户端指定安装、兼容性等），云WAF以部署方便快捷、成本低廉、零维护成本等优势，迅速吸引了广大企业用户的关注。

运行原理
部署架构
用户通过域名CNAME别名解析快速接入UEWAF进行防御，无需修改原站架构等。
基本功能
UEWAF可以防御常见的SQL注入、XSS跨站脚本、远程命令执行、目录遍历、网页防篡改、CC攻击等攻击行为。

案例示例效果对比显著

未配置UEWAF而遭受攻击：

可看出，在未配置UEWAF的条件下，外部能够直接使用Exploit攻击语句进行攻击，从而获取敏感和关键数据。

使用UEWAF之后：

能够有效对危险操作进行数据处理，从而将攻击扼杀在萌芽之中。

UEWAF七大优势直击行业痛点

行业痛点
➢ 大多数WAF只能够处理较为简单的Web攻击模型。
➢ 大多数WAF没有针对热点漏洞或者奇葩攻击的防御能力。
➢ 基本所有WAF都存在策略型的绕过方式。
➢ 由于不同客户业务的差异化，可能存在业务相冲突的安全策略。
UEWAF领先优势
通过对以上安全问题的思考与总结，为了更进一步实现准确高效的防护模式，降低误报率，提升客户体验，UEWAF对行业痛点从七个方面入手解决。

（一）机器智能自学习模型
通过记录正常用户一段时间的访问操作，UEWAF分析出常用的访问模型，如正常请求、业务参数、数据内容、合法数据长度等，从而算出一个合法且正常的安全使用模型，一旦有用户突破了这个模型，如出现“<>”等特殊字符或者超出请求长度的数据内容，UEWAF就会发出警报，从而进行异常处理。
（二）网站内容防护
通过自学习模型的学习，可以对以下安全行为事件进行有效防护。
1.反恶意抓取、垃圾信息注入、黄赌毒信息注入、防篡改等。
2.业务CC攻击，对API接口的海量调用，例如短信接口、验证码接口、登录接口、数据查询、短信防刷等。
3.轻量级防薅羊毛、暴力注册、刷红包、刷代金券等。
（三）定制化服务
传统WAF是以正则或漏洞关键字进行合法数据校验，从而实现拦截效果，但由于开发人员的水平参差不齐，可能会在程序开发过程中就产生一些安全隐患，例如敏感数据的GET型明文传输直接暴露在URL链接之中，被别有用心的人进行有害利用。
针对这一关键点，UEWAF实现了安全业务的定制化服务，针对不同业务需求，以及安全事件的风险敏感程度，用户可随意配置与自己业务不冲突的安全规则体系，进行有效防御。
（四）沙盒分离
传统WAF体系都是云端一套规则适用于所有的客户业务，但这样很容易造成不同业务模型之间的差异化冲突，从而增高误报率。针对此现象，UEWAF把所有客户都进行规则分离，每位客户都是一套独立的安全规则，使各个用户之间不会产生干扰效应，提升安全服务质量。
（五）日志审计
针对用户需要，UEWAF提供了审计取证功能，对所有HTTP会话，完整记录请求应答内容，包括请求和应答的数据包内容。支持基于常见HTTP字段的正则查询，支持触发规则查询，以及问题产生环境的二次复现。
（六）安全情报与大数据结合
UEWAF集成了安全情报信息，包括了IP地址库、HTTP代理库、运营商安全IP库、恶意地址库等。从而对大面积机器攻击行为直接封禁，比如CC/DDoS等。
（七）安全专家7＊24应急响应
UEWAF集成了安全情报信息，包括了IP地址库、HTTP代理库、运营商安全IP库、恶意地址库等。从而对大面积机器攻击行为直接封禁，比如CC/DDoS等。