Pare-feu applicatif Web dans le cloud

444,528,000

Règles WAF déclenchées le dernier jour

Le pare-feu applicatif Web (WAF) de niveau professionnel de Cloudflare protège vos ressources Internet contre les attaques par injection SQL, le cross-site scripting, la falsification de requêtes intersites et d'autres vulnérabilités fréquentes, sans modifier votre infrastructure existante.

Carte de déclencheurs WAF

Cloudflare traite environ 7,4 millions de requêtes à chaque seconde, et notre WAF identifie et bloque continuellement les nouvelles menaces potentielles.

WAF map

    Type de WAF

Mises à jour automatiques WAF

Nos techniciens spécialisés dans la sécurité surveillent constamment Internet pour détecter de nouvelles vulnérabilités. Lorsque nous trouvons des menaces qui s'appliquent à une grande partie de nos utilisateurs, nous appliquons automatiquement des règles WAF pour protéger leurs ressources Internet. Laissez Cloudflare s'occuper du suivi des techniques de piratage de pointe et concentrez-vous sur la création de fonctionnalités utiles au lieu de les protéger contre d'éventuels attaquants.

Automatic WAF updates

Les pare-feu sur site deviennent rapidement obsolètes et nécessitent des mises à jour régulières et chronophages pour rester efficaces face aux nouvelles menaces. Le WAF de Cloudflare vous aide à devancer les menaces en se mettant automatiquement à jour lorsque de nouvelles failles de sécurité sont découvertes. Les règles créées par Cloudflare en réponse aux nouvelles menaces atténuent la grande majorité des menaces sur notre réseau. Bien que les règles OWASP traditionnelles et les règles spécifiques au client soient importantes, elles ne sont pas suffisantes sans les mises à jour automatiques WAF de Cloudflare.

Intelligence collective

Cloudflare traite environ 7,4 millions de requêtes à chaque seconde, et notre WAF identifie et bloque continuellement les nouvelles menaces potentielles. Si vous utilisez un pare-feu applicatif Web qui ne repose pas sur l'intelligence collective d'autres ressources Web, vous devez créer vos propres règles WAF à partir de rien, ce qui revient à surveiller l'ensemble des menaces Internet par vous-même.

Intelligent WAF

Lorsqu'un client demande une nouvelle règle WAF personnalisée, nous analysons si elle s'applique aux 10 domaines de notre réseau. Si c'est le cas, nous appliquons automatiquement cette règle de manière globale. Plus les ressources Web de notre réseau sont nombreuses, plus le WAF est puissant et plus la communauté Cloudflare est sécurisée.

Cadre de sécurité holistique multi-cloud

Cloudflare centralise la gestion de la sécurité des sites Web, des applications et des API hébergés dans plusieurs environnements de cloud. La sécurité multi-cloud offre une visibilité sur les événements de sécurité, tout en renforçant la cohérence des contrôles de sécurité, et ce à travers toutes les plates-formes cloud où sont déployées les ressources Internet. Le trafic hostile détecté par Cloudflare est enregistré et analysé. Le réseau Cloudflare protège ensuite toutes les ressources Internet hébergées par des fournisseurs de cloud.

Muti-Cloud diagram

Conçu pour la performance

< 1 ms

Latence pour les visiteurs Web

30 s

Propagation de règles à l'échelle mondiale

Chez Cloudflare, nous nous inquiétons autant des performances que de la sécurité. Tout comme notre CDN mondial, HTTP/2 et nos fonctionnalités d'optimisation web, le pare-feu applicatif web de Cloudflare repose sur le réseau Anycast. Nos ensembles de règles WAF engendrent une latence inférieure à 1 milliseconde.

Conformité PCI

Le WAF de Cloudflare vous aide à répondre à moindres frais aux exigences des normes PCI. Si vous traitez des données de carte de crédit, pour être conforme aux normes PCI DSS 2.0 et 3.0, la condition 6.6 nécessite l'une des mesures suivantes :

  • Le déploiement d'un WAF sur votre site Web
  • L'évaluation du niveau de sécurité et de vulnérabilité de toutes vos applications Web

Règles OWASP, spécifiques aux applications et personnalisées

Par défaut, le WAF de Cloudflare protège vos ressources Web contre les 10 principales vulnérabilités OWASP. Ces règles OWASP sont complétées par 148 règles WAF intégrées que vous pouvez appliquer en un clic. Les clients Business et Enterprise peuvent également demander des règles WAF personnalisées pour filtrer le trafic d'attaque spécifique.

Dix vulnérabilités principales identifiées par l'OWASP

  • Injection
  • Violation de l'authentification et de la gestion de session
  • Exposition des données sensibles
  • Entités externes XML (XXE)
  • Violation des contrôles d'accès
  • Configuration de sécurité inadéquate
  • Cross-Site Scripting (XSS)
  • Désérialisation non sécurisée
  • Utilisation des composants avec des vulnérabilités connues
  • Journalisation et suivi insuffisants

Protection contre les vulnérabilités zero-day

Les techniciens de Cloudflare ont géré de nombreuses vulnérabilités zero-day au fil des ans. Lisez notre blog pour découvrir comment chaque site Web de notre réseau bénéficie de leurs correctifs.

La nouvelle attaque d'amplification par force brute contre WP expliquée

Une vulnérabilité dans le protocole de procédure XML à distance permet d'effectuer des milliers de tentatives de connexion par force brute en une seule requête HTTP.

Lire la suite

La faille de désérialisation Joomla

La faille de désérialisation Joomla permet l'exécution de code à distance via un agent utilisateur mal expurgé et des en-têtes X-Forwarded-For.

Lire la suite

Protection contre une vulnérabilité critique de Windows (CVE-2015-1635)

Cloudflare WAF a protégé ses utilisateurs contre un bug critique qui permettait aux utilisateurs sans accès de bloquer un serveur Web Windows.

Lire la suite

Blocage des menaces et confidentialité

Déploiement de l’intelligence collective pour identifier les nouvelles menaces

Protection contre les menaces basée sur la réputation

Protection contre le spam dans les commentaires

Blocage ou vérification des visiteurs par adresse IP

Blocage ou vérification des visiteurs par numéro AS

Blocage ou vérification des visiteurs par code pays

Configuration du niveau de sécurité

La configuration de Cloudflare est simple

Configurez un domaine en moins de 5 minutes. Gardez votre fournisseur d'hébergement. Aucun changement de code n'est requis.

Tarification Cloudflare

Toutes les applications Internet ont quelque chose à gagner de Cloudflare.
Sélectionnez une offre qui répond à vos besoins.

Gratuite $ 0 /mois, par site Web
Développer pour voir plus Cacher
Pour les sites Web personnels, les blogs et toutes les personnes qui souhaitent découvrir Cloudflare.

En savoir plus

L’offre gratuite comprend toutes les fonctionnalités suivantes :
  • Atténuation illimitée des attaques DDoS
  • CDN mondial
  • Certificat SSL partagé
  • Accès aux journaux d'audit du compte
  • 3 Page Rules
Comparer toutes les fonctionnalités
Pro $ 20 /mois par site Web
Développer pour voir plus Cacher
Pour les sites Web, les blogs et les portfolios professionnels nécessitant une sécurité et des performances de base.

En savoir plus

L'offre Pro comprend toutes les fonctionnalités de l'offre gratuite, plus :
  • Pare-feu applicatif Web (WAF) avec ensembles de règles Cloudflare
  • Optimisations d’images avec Polish™
  • Optimisations mobiles avec Mirage™
  • Mode I’m Under Attack™
  • Accès aux journaux d'audit du compte
  • 20 Page Rules
Comparer toutes les fonctionnalités
Business $ 200 /mois par site Web
Développer pour voir plus Cacher
Pour les sites de commerce électronique et les entreprises de petite taille exigeant une sécurité et des performances avancées, la conformité à la norme PCI et une assistance prioritaire par e-mail.

En savoir plus

L'offre Business comprend toutes les fonctionnalités de l'offre Pro, plus :
  • Pare-feu applicatif Web (WAF) avec 25 ensembles de règles personnalisés
  • Téléchargement de certificat SSL personnalisé
  • Conformité à la norme PCI grâce au mode Modern TLS Only et au WAF
  • Ignorer le cache en cas de cookie
  • Livraison accélérée du contenu dynamique avec Railgun™
  • Assistance prioritaire par e-mail
  • Accès aux journaux d'audit du compte
  • 50 Page Rules
Comparer toutes les fonctionnalités
Enterprise Contactez-nous
Développer pour voir plus Cacher
Pour les entreprises qui ont besoin d’une sécurité et de performances de niveau professionnel, d’une disponibilité garantie et d’une assistance prioritaire par téléphone, par e-mail ou par chat 24 h/24, 7 j/7, 365 jours par an.

En savoir plus

L'offre Enterprise comprend toutes les fonctionnalités de l'offre Business, plus :
  • Assistance par téléphone, par chat et par e-mail de niveau professionnel
  • SLA de 100 % de temps d'activité avec remboursement 25x
  • Protection DDoS de niveau professionnel et réseau prioritaire
  • Pare-feu applicatif Web (WAF) avancé avec ensembles de règles personnalisés illimités
  • Accès multi-utilisateurs aux comptes basé sur des rôles
  • Téléchargements de plusieurs certificats SSL personnalisés
  • Accès aux journaux bruts
  • Accès aux journaux d'audit du compte
  • Solutions et techniciens dédiés au succès des clients
  • Accès aux datacenters du CDN chinois (frais supplémentaires)
  • 100 Page Rules
Comparer toutes les fonctionnalités

Gratuite

$ 0 / mois
 
Pour les sites Web personnels, les blogs et toutes les personnes qui souhaitent découvrir Cloudflare.

Pro

$ 20 / mois
par domaine
Cette offre est destinée aux sites Web, aux blogs et aux portfolios professionnels nécessitant une sécurité et des performances de base.

Business

$ 200 / mois
par domaine
Pour les sites de commerce électronique et les entreprises de petite taille exigeant une sécurité et des performances avancées, la conformité à la norme PCI et une assistance prioritaire par e-mail.

Enterprise

Contactez-nous
 
Pour les entreprises qui ont besoin d’une sécurité et de performances de niveau professionnel, d’une assistance prioritaire par téléphone, par e-mail ou par chat 24 h/24, 7 j/7, 365 jours par an et d’une disponibilité garantie.

Approuvé par

Plus de 10,000,000 applications Internet et d'API

Détails techniques

Par défaut, le WAF de Cloudflare prend en charge l'ensemble de règles OWASP ModSecurity Core Rule Set ainsi que les ensembles de règles spécifiques aux applications suivantes :

  • Drupal
  • WordPress
  • Joomla
  • Flash
  • Magento
  • PHP
  • Plone
  • WHMCS
  • Atlassian Products

Vous pouvez activer des ensembles de règles entiers ou sélectionner des règles individuelles que vous souhaitez appliquer à votre site Web. Pour les systèmes de gestion de contenu avec une interface administrateur, il est possible de créer une Page Rule Cloudflare pour appliquer des règles WAF plus strictes à la section administrateur.

Les clients Business et Enterprise peuvent demander des règles WAF personnalisées en fournissant des journaux de trafic hostile et en suggérant une syntaxe mod_security compatible.

Le WAF de Cloudflare comprend également un pare-feu IP qui vous permet d'autoriser ou de bloquer le trafic sur la base de l'adresse IP, des plages d'adresses IP, du numéro de système autonome (ASN) ou du pays (y compris Tor).