Oracle Cloud Infrastructure Web Application Firewall (WAF) 是一项基于云技术、符合 PCI 标准的全球安全服务,旨在保护应用免受恶意和非授权互联网流量攻击。Oracle Cloud Infrastructure WAF 可以为任何面向互联网的端点提供保护,从而对客户的各种应用实施一致的规则。
Oracle Cloud Infrastructure WAF 让客户能够通过创建和管理安全规则来规避各种互联网威胁,包括跨站点脚本 (XSS)、SQL 注入和其他 OWASP 定义的漏洞。借助这些规则,客户可以将恶意自动程序(僵尸程序)拦截在防火墙以外,而允许需要的自动程序进入,还可以基于地理位置或传入请求的签名实施访问限制。
Oracle 全球安全运营中心 (SOC) 全天候持续监视互联网威胁态势,将成为您的 IT 安全团队的坚强后盾。
Oracle Cloud Infrastructure WAF 可以用于保护面向互联网的 Web 应用或基于 HTTP 的 API。
责任 | Oracle | 客户 |
---|---|---|
为 Web 应用安装/配置 WAF 策略 | 否 | 是 |
配置 WAF 实施依赖项(DNS、传入规则、网络) | 否 | 是 |
为 WAF 提供高可用性 (HA) | 是 | 否 |
监视分布式拒绝服务 (DDoS) 攻击 | 是 | 否 |
及时修补和更新 WAF 基础设施 | 是 | 否 |
监视数据平面日志中的异常、意外行为 | 是 | 是 |
根据新的漏洞和防护措施构建新规则 | 是 | 否 |
审核和接受新的建议规则 | 否 | 是 |
根据流量调优 WAF 访问规则和自动程序管理策略 | 否 | 是 |
Oracle Cloud Infrastructure WAF 能够帮助您拦截对 Web 应用或 API 的恶意请求,深入洞察流量来源,并防护第 7 层 DDoS 攻击,从而实现更高可用性。
WAF 提供自动程序管理解决方案,可通过 IP 速率限制、CAPTCHA、设备指纹以及人机交互验证等检测技术来识别和阻止恶意和/或可疑的自动程序从您的网站获取竞争数据。与此同时,WAF 允许来自 Google、Facebook 和其它公司的合法机器人正常访问您的 Web 应用。
Oracle Cloud Infrastructure WAF 采用智能的 DNS 数据驱动算法实时确定为特定用户提供服务的最佳全球接入点 (PoP)。换言之,它可以在确保正常运行时间和服务水平的同时,让用户绕过全球网络问题和潜在延迟。
Oracle Cloud Infrastructure WAF 采用通用储值付费模式,计费标准如下:
可以。Oracle Cloud Infrastructure WAF 服务可供通用储值用户使用。客户可以选择仅使用 Oracle Cloud Infrastructure WAF 服务来保护非 OCI 工作负载。使用 Oracle Cloud Infrastructure 控制台需要占用少量对象存储,这将显示在您的账单中。
可以。Oracle Cloud Infrastructure WAF 采用了 API 优先设计,因此可以在控制台中执行的任何操作均可通过 API 执行。
不可以,截至 2021 年 3 月,有些管理功能只能通过 API 来执行。仅可通过 API 执行的功能包括:
我们会逐步将这些功能项添加到控制台中,并发布有关如何管理这些功能的 API、SDK 和 Terraform 示例。
建议您通过 API 将 WAF 日志导入 SIEM 中。我们暂时还没有发布可供 SIEM 程序使用的预构建插件。
Oracle Cloud Infrastructure WAF 是一项全球服务,可以从任何商业区域进行配置,并且支持跨区域处理数据。所有 Oracle Cloud Infrastructure WAF 配置都将添加到全球“边缘”。
Oracle 目前在全球以下位置提供总计 11 个边缘节点*:
*请注意,某些位置提供多个接入点。
是的,Oracle Cloud Infrastructure 为 Web 应用和服务提供无限的 DDoS 防护。
DDoS 防护由 Oracle Cloud Infrastructure 边缘网络提供,该边缘网络由分布于全球的高容量接入点 (PoP) 组成,可支持广泛的边缘应用。Oracle 边缘接入点广泛分布于 Oracle Cloud Infrastructure 区域以及全球范围内的独立位置。具体来说,L7 DDoS 攻击由 Oracle Web Application Firewall (WAF) 管理,该服务具备全面的访问控制和自动程序管理特性,可有效应对 L7 DDoS 威胁。Oracle WAF 可在各个 PoP 上防范绝大多数 DDoS 攻击。当发生大规模 L7 DDoS 攻击时,Oracle 将通过广泛分布于全球的 DDoS 清洗中心来确保快速响应。
可通过 Oracle Cloud Infrastructure 控制台配置该服务。客户可以从控制台的 WAF 自动程序管理菜单中选择 L7 DDoS 防护。有两种方式可供选择:
1. 按需 (On-demand):客户可以自行决定是否启用 L7 DDoS 防护。
2. 始终开启 (Always-on):L7 DDoS 防护始终开启,并提供自动保护。
L7 DDoS 防护是 Oracle Cloud Infrastructure WAF 的一部分,用户可以选择一系列旨在应对复杂 L7 DDoS 攻击的策略选项来激活这项服务。这些策略选项包括但不限于 JavaScript 质询、IP 速率限制、设备指纹和人机交互验证。当选择 'always-on' 选项后,这些应对策略将进入全自动模式。用户还可以选择 'on-demand' 选项以自行决定是否要手动启用 L7 DDoS 防护。
L7 DDoS 防护是 Oracle Cloud Infrastructure WAF 的一部分。它采用基于流量和请求量的计量订阅模式。有关更多信息,请参阅 Oracle 定价页面。
流量通过反向代理架构自动路由至 Oracle Cloud Infrastructure 边缘网络。边缘网络包括遍布全球的 PoP,这些 PoP 将在所有 HTTP 和 HTTPS 流量到达 Web 应用之前对其进行检查。PoP 使用已激活的 DDoS 应对策略,自动消除被识别为来自恶意僵尸网络的流量。
Oracle Cloud Infrastructure 门户在控制台中提供关于警报、阻止的请求、僵尸防护和日志的近实时报告。
您可以将源传入规则配置为仅接受来自特定 CIDR 范围的连接。请参阅快速入门指南中的保护 WAF 一节来获取 CIDR 范围最新列表。
不可以,我们目前不支持此功能。
Oracle Cloud Infrastructure WAF 支持 CRS 3.0。
可以通过 API、CLI、SDK 或 Terraform 编写脚本来完成此任务,但不建议同时启用所有规则。
有关详细信息,请参阅 Web Application Firewall 主页。
WAF for Oracle Fusion Cloud Applications Suite 可帮助 Oracle SaaS Cloud Security 团队更深入地了解针对应用数据的应用级攻击,改善客户的安全状况。WAF for Fusion Applications 对客户完全透明,由 Oracle 主题内容专家进行端到端管理。借助这一开箱即用的产品,客户可以获得一个全天候安全运营中心,在不影响应用弹性或可用性的情况下更新、监视、管理、响应和保护 Fusion Applications。
托管在 Oracle Cloud Infrastructure 上的所有 Fusion 客户均可免费使用 WAF for Fusion Applications。
WAF for Fusion Applications 与 Oracle 负载均衡器一同部署,支持数百条规则,可全面检查针对 Fusion Applications 和 API 的所有 Web 请求并尽可降低传入流量延迟。
WAF for Fusion Applications 是 Oracle Cloud Infrastructure WAF 针对 SaaS 产品的优化版本。它可以基于 SaaS 安全团队为提供始终在线的第 7 层保护而设计的现成规则来筛选流量,保护 SaaS 应用免受针对性攻击。
注:为免疑义,本网页所用以下术语专指以下含义: