云 Web 应用程序防火墙

444,528,000

前一天触发的 WAF 规则数量

Cloudflare 的企业级 Web 应用程序防火墙( WAF)可保护您的 Internet 资产免受 SQL 注入攻击,跨站点脚本和跨站点伪造请求等常见漏洞的影响,而无需更改现有基础架构。

WAF 触发器地图

Cloudflare 每秒大约查看 290 万个请求,并且我们的 WAF 将持续识别和阻止新的潜在威胁。

WAF map

    WAF 类型

自动 WAF 更新

Cloudflare 安全工程师不断监控互联网上的新漏洞。当我们发现适用于大部分用户的威胁时,我们会自动应用 WAF 规则来保护其 Internet 资产。让我们来跟踪最先进的黑客攻击技术,这样您就可以专注于创造有用的功能,而不是保护它们免受潜在攻击。

Automatic WAF updates

内部部署的防火墙很快会过时,需要专业的工时维护,以定期更新规则来防御新威胁。Cloudflare 的 WAF 可助您走在威胁之前,每当出现新的安全性漏洞就立刻自动更新。Cloudflare 为应对新威胁而创建的规则将负责减轻我们网络上的绝大多数威胁。虽然传统的 OWASP 规则和客户特定规则很重要,但如果没有 Cloudflare 的自动 WAF 更新,它们的防护能力不足。

waf rule events

集体智慧

Cloudflare 每秒钟大约查看 290 万个请求,我们的 WAF 不断识别并阻止新的潜在威胁。如果您使用的 Web 应用程序防火墙不利用其他 Web 资产的集体智慧,则需要从头开始提供所有自己的 WAF 规则,这意味着您需要自己监视整个 Internet 安全环境。

Intelligent WAF

当一个客户请求新的自定义 WAF 规则时,我们会分析它是否适用于我们网络上的 20(以 百万计)个网域。如果适用,我们会自动将该规则应用于我们网络上的每个人。我们网络上的网络资产越多,我们的 WAF 就越强,Cloudflare 社区就越安全。

多云整体安全框架

Cloudflare 为跨多个云环境托管的网站、应用程序和 API 的安全性提供单一控制源。多云安全性提供了对安全事件的可视性,同时允许在部署了互联网资产的所有云中实现一致的安全控制。将记录并分析 Cloudflare 看到的任何攻击流量。然后,Cloudflare 的网络保护所有云提供商的互联网资产。

Muti-Cloud diagram

专为性能而构建

<1ms

网络访问者的延迟

30s

全球规则传播

在 Cloudflare,我们关注性能的程度不下于安全性。我们的 Web 应用程序防火墙位于任播网络上,该网络也支持我们的全局 CDN、HTTP/2 和 Web 优化功能。我们的 WAF 规则集导致延迟小于 1 毫秒。

PCI 合规性

利用 Cloudflare 的 WAF 可以帮助您经济高效地实现 PCI 合规性。如果您是处理消费者信用卡信息的商家,PCI DSS 2.0 和 3.0 要求 6.6 允许通过两种方法来满足此要求:

  • 在您的网站前方部署 WAF
  • 或者,对范围内的所有 Web 应用程序进行应用程序漏洞安全审核

OWASP、应用程序特定和自定义规则

默认情况下, Cloudflare 的 WAF 保护您的网站资产免受 OWASP 十大漏洞的攻击。这些 OWASP 规则由 148 个内置 WAF 规则加以补充,您只需单击按钮即可应用这些规则。Business 和 Enterprise 客户还可以请求自定义 WAF 规则以过滤掉特定的攻击流量。

OWASP 十大漏洞

  • 隐码攻击
  • 身份验证和会话管理中断
  • 敏感数据暴露
  • XML 外部实体(XXE)
  • 访问控制中断
  • 安全配置错误
  • 跨站点脚本( XSS)
  • 不安全的反序列化
  • 使用具有已知漏洞的组件
  • 记录和监控不足

防范零日漏洞

多年来, Cloudflare 安全工程师处理了大量零日漏洞。阅读我们的开发者博客,了解我们网络上的每个网站如何从其虚拟补丁中受益。

看看新的 WP 暴力放大攻击

XML 远程过程协议中的漏洞允许在单个 HTTP 请求中进行数千次暴力密码尝试。

阅读更多信息

Joomla 反序列化漏洞

Joomla 反序列化漏洞允许通过消毒不良的 User-Agent 和 X-Forwarded-For 标头执行远程代码。

阅读更多信息

防御关键 Windows 漏洞(CVE-2015-1635)

Cloudflare WAF 保护用户免受严重错误的影响,该错误允许未授权用户中止 Windows Web 服务器。

阅读更多信息

威胁阻止和隐私功能

circle check

通过集体智慧识别新威胁

circle check

信誉相关威胁防护

circle check

垃圾评论防护

circle check

根据 IP 地址阻挡或质疑访客

circle check

根据 AS 编号阻挡或质疑访客

circle check

根据国家代码阻挡或质疑访客

circle check

安全级别配置

设置 Cloudflare 很容易

在不到 5 分钟的时间内建立一个域名。保持您的托管服务提供商。无需更改代码。

Cloudflare 定价

每个人的 Internet 应用程序都可以从使用 Cloudflare 中受益。
挑选适合您需求的计划。

Free $ 0 /月, /网站
展开以了解更多内容 隐藏
适用于个人网站、博客以及想要探索 Cloudflare 的任何人。

了解更多信息

Free 计划包括下列所有功能:
  • DDoS 攻击的未计量缓解
  • 全球 CDN
  • 共享 SSL 证书
  • 访问帐户审核日志
  • 3 页规则
比较所有功能
Pro $ 20 /月 /网站
展开以了解更多内容 隐藏
适用于需要基本安全性和性能的专业网站、博客和投资组合。

了解更多信息

Pro 计划包括 Free 计划中的一切,以及:
  • 具有 Cloudflare 规则集的 Web 应用程序防火墙( WAF)
  • 使用 Polish™ 优化图像
  • 使用 Mirage™ 优化移动
  • I'm Under Attack™ 模式
  • 访问帐户审核日志
  • 20 页规则
比较所有功能
Business $ 200 /月 /网站
展开以了解更多内容 隐藏
适用于需要高级安全性和性能、PCI 合规性和优先电子邮件支持的小型电子商务网站和企业。

了解更多信息

Business 计划包括 Pro 计划中的一切,以及:
  • 具有 25 个自定义规则集的 Web 应用程序防火墙( WAF)
  • 自定义 SSL 证书上传
  • 通过 Modern TLS Only 模式和 WAF 实现 PCI 合规性
  • 绕过 cookie 上的缓存
  • 使用 Railgun™ 加快动态内容的传递
  • 优先电子邮件支持
  • 访问帐户审核日志
  • 50 页规则
比较所有功能
Enterprise 联系我们
展开以了解更多内容 隐藏
适用于需要企业级安全性与效能、全年无休每天 24 小时的优先电话、电子邮件或聊天支持以及有保证的正常运行时间的公司。

了解更多信息

Enterprise 计划包含 Business 计划的一切,以及:
  • 全年无休、每天 24 小时的企业级电话、电子邮件和聊天支持
  • 保证 100% 正常运作时间 SLA(未能符合此承诺将赔偿 25 倍金额)
  • 企业级 DDoS 防护与网络优先权
  • 具有无限自定义规则集的高级 Web 应用程序防火墙(WAF)
  • 基于多用户角色的帐户访问
  • 多个自定义 SSL 证书上传
  • 访问原始日志
  • 访问帐户审核日志
  • 专业解决方案和客户成功工程师
  • 访问中国 CDN 数据中心(需支付额外费用)
  • 100 个页面规则
比较所有功能

Free

$ 0 /
 
适用于个人网站、博客以及想要探索 Cloudflare 的任何人。

Pro

$ 20 /
每个域
适用于需要基本安全性和性能的专业网站、博客和投资组合。

Business

$ 200 /
每个域
适用于需要高级安全性和性能、PCI 合规性和优先电子邮件支持的小型电子商务网站和企业。

Enterprise

联系我们
 
适用于需要企业级安全性与效能、全年无休每天 24 小时的优先电话、电子邮件或聊天支持以及有保证的正常运行时间的公司。

信任者

超过 20,000,000 个互联网应用程序和 API 信任我们

crunchbase
ao com
zendesk
mapbox
log me in
digital ocean
okcupid
montecito
discord
library of congress
udacity
marketo

技术细节

默认情况下,Cloudflare WAF 支持 OWASP ModSecurity 核心规则集,以及特定于以下应用程序的规则集:

您可以启用整个规则集,也可以选择要应用于网站的单个规则。对于使用管理界面的内容管理系统,可以创建 Cloudflare 页面规则以将更强的 WAF 规则应用于您的管理部分。

Business 方案与Enterprise 方案的客户可藉由提供攻击流量记录和提出适当的mod_security规则语法来请求自订的WAF 规则。

Cloudflare WAF 还包括一个 IP 防火墙,可让您根据 IP 地址、IP 范围、自发系统编号(ASN)或国家/地区(包括 Tor)将流量列入白名单或黑名单。