AI 助理
备案控制台

Web应用防火墙 WAF

专业、稳定的WAAP一体化应用安全防护方案

立即购买免费试用

  • 多重防护

    支持Web攻击防护、Bot攻击防护、API安全检测以及LLM-WAF

  • 场景覆盖

    支持阿里云、第三方公共云、混合云、线下IDC机房全场景防护

  • 稳定可靠

    配置全球自动实时同步,全球多中心多集群自动化容灾调度

  • 安全合规

    满足包括漏洞攻击防护、敏感数据泄露检测、访问控制等合规要求
产品动态
全新发布

发布全新BOT2.0

2025-08-21

新功能2025-09-24

发布AI应用防护功能

新功能2025-04-08

全新安全报表及总览

产品简介
Web应用防火墙(Web Application Firewall,简称WAF)对网站或者App的业务流量进行恶意特征识别及防护,在对流量进行清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致性能异常等问题,从而保障网站的业务安全和数据安全。
Web应用防火墙 WAF
产品优势
业务场景兼容是基础、防护能力是根基、业务场景防护是上层建筑
img

一站式WEB应用安全防护

阿里云WAF在本身具备强大的WEB应用攻击防护能力的基础上拓展了面向爬虫防护的BOT能力,帮助客户对抗对于业务数据和敏感数据的爬取以及特殊发售活动的抢购等脚本替代人工的异常访问防护;也支持API安全,面向API接口资产进行细粒度管控,并识别未授权访问敏感数据等高风险漏洞;在全面覆盖 WAAP的同时结合业务场景进行了更深入的能力覆盖。

查看更多
img

业务场景兼容全面

支持公共云(含阿里系及异构云环境)、混合云、IDC及线下机房全场景覆盖,提供软件化部署模式实现流量本地化处理与云上同等级防护,兼容SLB/CDN/ECS一键接入与非云业务DNS快速接入,同步支持包年包月与按量付费两种计费方式。

查看更多
img

防护能力积累深厚

基于自研规则+AI深度学习+主动防御的多重防护机制,结合智能容灾与最优路径选择,实现小时级漏洞防御及百万QPS高并发处理,提供覆盖漏洞攻击、机器流量、数据账户安全的一站式防护,满足等保合规及PCI-DSS要求,并依托阿里海量威胁情报实现动态风险响应。

查看更多
img

市场规模及荣誉

在Gartner、Forrester、IDC、Frost&Sullivan获得Web应用防火墙领域权威认证并成为IDC2024 WAAP评测中国大陆唯一7项能力满分厂商,依托多年护航天猫双十一流量洪峰及阿里核心业务防护积累的海量攻防数据与实战经验,构建了具备高可用性的智能安全架构。

查看更多
应用场景

Web应用上云必备安全能力

Web应用上云必备安全能力

提供web应用0day漏洞自动防护,无需人工打补丁和修复,且能帮助你有效降低网站、H5、APP、小程序等web应用被黑客及病毒入侵,减少挂马、网页篡改、爬虫、数据泄露、CC攻击等风险。
架构图-参考实现

相关产品

DDoS防护

Web应用防火墙混合云/多云解决方案

Web应用防火墙混合云/多云解决方案

通过将云WAF防护集群部署客户的本地环境,支持公共云、专有云、线下IDC、机房等多种环境下Web业务防护,且通过阿里云WAF控制台支持云上、云外统一管控和运维。
架构图-参考实现

相关产品

DDoS防护

防业务作弊,防薅羊毛

防业务作弊,防薅羊毛

业务运营活动大流量带来的系统可用性,折扣优惠等带来的“薅羊毛”等问题屡见不鲜,会严重影响运营效果、甚至出现负面影响。阿里云基于集团多年的业务运营经验,为客户提供完整的业务运营风险防护方案。
架构图-参考实现

相关产品

DDoS防护风险识别云安全中心
安全合规

WAF作为标准的阿里云云产品,在云平台层面具备与阿里云同等水平的安全合规资质。丰富的安全产品功能可以为客户的多项合规认证提供能力支持。产品自身安全性、稳定性高,有效保障用户数据安全。

卡片头部图

合规认证

平台资质WAF已通过ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 27701、ISO 29151、BS 10012、CSA STAR、等保三级、SOC 1/2/3等多项合规认证。
认证支持WAF的攻击防护、访问控制等多项功能均是等级保护认证中的必备能力项,同时具备API接口的敏感数据识别能力,为数据安全合规、跨境数据合规等认证提供工具支持。
卡片头部图

数据安全

加密传输阿里云WAF的技术架构中涉及网络数据传输的部分:管控与防护通信、运维数据通信等场景均采用加密传输的方式,有效保障通信数据的安全性和完整性。
数据隔离阿里云 WAF 产品在存储架构上将运维数据与业务数据进行彻底隔离,并实施严格的访问权限控制;客户的业务数据仅存储于客户自有账号内的资源,确保数据专属与安全合规。
卡片头部图

容灾安全

多链路灾备阿里云WAF的技术架构在DNS解析、网络集群、网络路由、计算实例各个节点均存在灾备机制,辅以多维度自动化监控可以实现无感自动链路切换。
实践证明阿里云WAF产品参与多年重要节日、重要发布、重要赛事的安全防护工作,在数百万QPS的高流量高攻击对抗的场景下均平稳工作。
客户案例
bannerbanner
1
申通
随着申通业务规模的快速增长,其安全团队面临着复杂的API访问业务链路和隐蔽的异常行为等多重安全挑战。2024年,申通与阿里云安全团队展开了深度合作,部署了WAF(Web应用防火墙)的API安全防护能力,成功帮客户识别了一批非法爬取用户敏感信息的网点,为申通的数据安全建设奠定了稳固基础。
2
古茗
古茗是国内知名的新式茶饮品牌,其联名活动、节日大促等营销活动为黑灰产团伙的重点攻击目标。面对爬虫流量激增带来的稳定性风险及客户利益受损等问题,阿里云WAF凭借业界领先的恶意Bot流量防护能力,精准识别并有效拦截各类恶意Bot流量,为其大促活动的顺利开展提供了可靠的安全保障。