Web系统承载着各企事业单位的门户、注册登录、业务执行等职责,很容易遭受各种类型的恶意流量攻击,影响应用可用性、损害安全性或消耗过多的资源,UCloud Web应用防火墙UWAF则可以有效保护用户的 Web 应用程序免受各种常见 Web漏洞的攻击。不同于传统应用防火墙,UWAF按使用量付费、随用随开、简单便捷,还可以将UWAF作为网络攻击解决方案的一部分与DDoS高防服务结合,从而获得更全面的防护。
UWAF自上线以来,已帮助众多用户有效识别恶意爬虫、CC攻击等恶意流量行为,成为Web端业务的防御利器。
近期,UWAF又迎来了一次重大升级,主要包括如下重点功能:
1)新增华南-IPv6 区域节点扩展包, 2)推出IPv6合规解决方案, 3)新增中国内地体验版。目前,UWAF已支持主流Web漏洞检测和拦截、最新高危漏洞防护、虚拟补丁、防SQL注入、防CC,网页防篡改,区域IP封禁,恶意IP封禁,日志查询,机器行为检测等功能,并可灵活自定义防护策略。此外,结合UCloud提供的SSL证书服务,Web业务可轻松实现HTTPS安全访问。
新增华南-IPv6区域节点扩展包
国务院办公厅在《推进IPv6规模部署行动计划》里,要求2020年底市地级以上政府外网网站、国内用户量前100网站、5G网络及业务完成IPv6支持。2020年底,金融业机构面向公众服务的互联网应用系统需支持IPv6连接访问,并具备与IPv6改造前同等的业务连续性保障能力。与此同时,国内三大运营商正在陆续向终端宽带用户下发IPv6地址,2020年末国内IPv6活跃网民将达到5亿,不支持IPv6的网站在获客能力上劣势明显。
在此背景下,各大政府、金融企业纷纷开始加大IPv6的改造力度,但业务系统支持IPv6后,黑客亦可通过IPv6网络随意发起网络攻击。若安全设备不支持IPv6防护,业务系统将完全暴露在恶意攻击者面前。UCloud在协助诸多用户通往IPv6之路上,发现了以下诉求和痛点:
业务需要快速通过IPv6改造,减少业务中断风险; IPv6单栈用户能够正常访问未及时改造的IPv4网站和应用; 随着IPv6阶段性逐步改造,硬件投入耗费大、耗时久; IPv6改造后应具备改造前同等的业务连续性保障能力。针对这些问题,新版UWAF上线了华南-IPv6区域节点扩展包,支持域名双栈接入UWAF防御,从而提供IPv6改造+安全防护的云端解决方案,助力政府金融客户IPv6改造合规前行、平滑演进。
UWAF IPv6合规解决方案
1、方案特点
快速拥有IPv6访问能力对原有IPv4网站和应用无任何改动,快速实现让现有IPv4业务系统具备IPv6终端访问能力,不用添加任何硬件设备。
域名双栈接入防护提供IPv4/IPv6双栈接入和安全防护,无论用户采用IPv4/IPv6哪种连接方式,均能正常访问,并具有改造前同等的业务连续性保障能力。
该方案适用于政府、教育、金融业内尚未支持IPv6的业务系统,帮助企业提升从互联网市场获客的能力,防御IPv6环境下发起的攻击,同时满足安全监管和合规要求。
2、方案设计
接入IPv6域名防护后,用户可以通过IPv4或IPv6的地址进行访问请求,由UWAF实现对IPv4和IPv6流量的威胁检测与防御,随后统一采用IPv4的方式将安全的访问流量回源到后端的源站服务器(RS)。同时如果上层链路为IPV6请求的,会将IPV6的客户端IP地址通过x-real-ip的方式透传给后端RS,如图所示:
3、落地支持
满足合规要求、需要域名双栈接入、对来自IPv6环境的网络攻击进行防御是金融客户常见的三点需求,使用UWAF IPv6合规方案后,通过v6转v4即可避免源站的升级改造,源站就能够获取客户端真实IPv6地址,此外,UWAF还支持对v6内容进行解析和检测、支持黑白名单的添加。后续将进一步支持IPv6回源、多区域部署等功能,助力政府金融企业快速、安全的实现IPv6改造。
UWAF中国内地体验版上线
担心网站被攻击?改选哪家WAF保障业务?资金预算紧张?相信全新的UWAF中国内地体验版可以帮你解决这些问题,售价仅1元,一次省下4679元!
虽说是体验版,但重要的功能特性一个都没少:常见Web攻击防护、Web 0day漏洞防护、CC攻击防护、IP黑白名单、日志服务、7*24小时专业安全团队技术支持,且支持升级至更多功能特性的版本。
体验版适用于源站部署在中国内地,需要进行网站防护或测试的客户业务(包括非UCloud云上客户)。更多具体支持请参考:https://docs.ucloud.cn/uewaf/1_product/11_choose
UWAF其他变化
此次UWAF升级,还有如下变化:
【节点新增】新增海外法兰克福,雅加达区域节点。 【功能新增】新增HTTPS网站支持HTTP回源功能,新增攻击详情日志根据客户端IP进行查询过滤功能。 【一些优化】客户真实IP获取功能优化,更准确的识别上层链路传递过来的IP信息;CC攻击检测功能优化,增加刷新CC黑名单功能,实时清除可能被误封堵的客户端IP;区域IP封堵功能优化,支持行业类型、运营商属性等条件进行检测。更多UWAF产品详情欢迎点击“阅读原文”进行查看。