360企业安全云Web应用防火墙_CC安全防护_网站/H5/APP/小程序应用安全防护系统-云巴巴

申请试用

360企业安全云Web应用防火墙

对网站、H5、APP、小程序等Web应用，提供安全防护服务。支持识别恶意请求，防御未知威胁，实现防入侵、防扫描、防攻击、防数据泄露、防CC等攻击防护。将企业精力从信息安全防护建设的负担重释放出来，更加专注于自身业务的成长和发展。

立即咨询

首页 > 产品中心 > 网络安全 > 360企业安全云Web应用防火墙

Web应用防火墙

对网站、H5、APP、小程序等Web应用，提供安全防护服务。支持识别恶意请求，防御未知威胁，实现防入侵、防扫描、防攻击、防数据泄露、防CC等攻击防护。SaaS产品分钟级接入，等保合规必备。针对中小企业，物美价廉的网站安全防护产品与服务较少的资金投入，最大化的解决企业网站安全防护问题。将企业精力从信息安全防护建设的负担重释放出来，更加专注于自身业务的成长和发展。

网站云防护场景

Web安全
对网站、H5、APP、小程序等Web应用，提供安全防护服务。有效防御各类OWASP常见Web攻击并过滤海量恶意CC攻击，避免您的网站资产数据泄露，保障网站业务安全性与可用性。

等保合规
合规类安全体系建设（政策要求），帮助企业快速建立既合规又安全的网络防护体系，应对网络监管。

重保大型活动
重保期间不得出现安全问题，提高防御强度、增加资源储备、设立紧急预案。

IPv6建设（敬请期待）
根据国办《推进互联网协议第六版（IPv6）规模部署行动计划》的要求，帮助众多企业、政府，只需页面简单操作即可快速实现IPv6的升级改造。

核心场景-等保合规

背景

《中华人民共和国网络安全法》中规定的等级保护、日志留存、通信加密等要求。360Web应用防火墙满足网络安全等级保护制度2.0标准（《网络安全等级保护基本要求》（GB/T 22239-2019 ））

重要系统范围

①电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。②铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

价值

可以帮助企业快速建立既合规又安全的网络防护体系，保障企业安全，轻松应对各类网络安全监管，帮助企业快速完成安全体系建设。

法律依据

《中华人民共和国网络安全法》《信息 -安全等级保护管理办法》（公通字〔2007〕43 号）《网络安全等级保护定级指南》（GBT 22240-2020）《网络安全等级保护实施指南》（GBT 25058-2019）中华人民共和国计算机信息系统安全保护条例(国务院令第147号) 计算机信息网络国际联网安全保护管理办法 (公安部第33号令) 《公安机关互联网安全监督检查规定》(公安部第151号令)

核心场景-等保合规解读 icon

等保标准章节	等保标准序号	等保标准内容	对应功能描述
访问控制	8.1.3.3 e）	应对进出网络的数据流实现基于应用协议和应用内容的访问控制	配置应用层的访问控制策略，对进出网络的数据流实现基于应用协议和应用内容的访问控制
入侵防范	8.1.3.3 a）	应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为	边界区域部署Web应用防火墙，能对各种攻击和扫描行为进行检测和报警
入侵防范	8.1.3.3 c）	应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析	Web应用防火墙支持对 Web 流量进行实时检测和阻断，支持 AI+ 规则双引擎防护，可阻断 0day 攻击和其他新型未知攻击
入侵防范	8.1.3.3 d）	当检测到攻击行为时，记录攻击源IP，攻击类型、攻击目的、攻击事件，在发生严重入侵事件时应提供报警	Web应用防火墙支持 HTTP 和 HTTPS 流量攻击检测和防御，记录攻击类型、攻击 URL、攻击内容、攻击源 IP、命中规则名称和 ID、风险等级、攻击时间、目的 host、执行动作等信息
恶意代码防范	8.1.3.4 a）	应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新	Web应用防火墙基础安全和规则引擎模块可以实现该功能
安全审计	8.1.3.5 a）	应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计	Web应用防火墙对入侵事件进行审计，有详细的日志进行溯源分析和审计
安全审计	8.1.3.5 c）	应对审计纪录进行保护，定期备份，避免受到为未预期的删除、修改或覆盖等	日志存储至少6个月，租户不能删除、篡改

面向用户

企业网站
企业门户官网、公众号、小程序、APP、H5、API、业务系统、OA系统、电子交易等站点。金融等行业影响巨大，网站平台必须具备Web防护能力，满足等保合规要求

民生政务网站
政务、医疗、教育、社保、税务等不被黑篡改，民生数据不被入侵窃取。保障民生服务正常可用，民众访问满意畅通，维护政府公信力，规避敏感安全事件影响。

零售电商
在高并发抢购及各类营销活动场景下，防止恶意攻击、竞争对手爬取价格等核心信息，保障业务访问流畅。随业务增长弹性扩展，节省成本。

互联网+业务
业务数据不被入侵篡改窃取，过滤各类攻击及垃圾流量，支撑互联网 + 企业核心业务正常稳定运营。解决爬虫带来的内容版权侵权，数据爬取泄露，垃圾流量负面影响问题。

历经国家多次重保考验 icon

360已经成为国家网络安全保障的核心力量，在二十大、全国两会、十九大、“9.3”阅兵、“一带一路”峰会、G20峰会、金砖会议、上合青岛峰会、进博会、APEC、国庆七十周年庆典等重大安保活动，以及国家安全和国防安全相关工作中发挥了重要作用。

常见攻击类型举例

攻击类型	描述
SQL注入攻击	攻击者利用页面漏洞，将SQL语句插入到请求查询中，最终在服务端执行该语句。
跨站脚本攻击(XSS)	入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户浏览页面时，嵌入其中的脚本将被解释执行。
恶意爬虫/扫描工具	攻击者模拟普通访问者，大量获取用户有价值的信息，导致用户的核心数据外泄或者丢失。
CC攻击	攻击者模拟真实用户，短时间内高频率访问某个页面，由于页面内容需要动态去服务器高频获取数据，导致消耗大量服务器资源，使得正常用户无法访问业务。
DDoS(当前版本不宣传)	一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机。另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。