立即咨询

电话咨询

微信咨询

立即试用
商务合作

通付盾动态WAF

通付盾动态WAF为新一代业务应用安全防护产品,搭载通付盾动态防护引擎、爬虫防护引擎和智能决策引擎,整合站点加固、动态验证、人机识别、风险过滤、自动化攻击拦截等技术对所有访问的流量进行安全检测、过滤和智能阻断。
立即咨询
数字化产品应用安全通付盾动态WAF
icon通付盾BotWAF的定位icon
产品定位:防护WEB应用安全。
国内情况:1、网络安全已经上升到国家高度,针对WEB站点的安全监管已经进入了强监管时代。2、数据安全法的正式出台,数据资产保护成为强需求。3、每年HW行动突显,针对新兴攻击,传统防护疲于应对。4、针对传统的的WEB应用安全防护市场早已进入红海时代。
市场痛点:1、传统安全防御力不足(如传统WAF),依赖规则库,无法及时有效防护住网站安全,存在木桶效应。2、市场急需新技术新产品来弥补传统安全产品防护能力的不足。3、针对每年HW行动,即使部署了各种安全产品包括传统WAF防火墙,客户网站依然被发现高危漏洞。市场规模:数据来源《中国Web应用防火墙市场份额,2021》,1、硬件WAF超过2.1亿美元,同比增长17.8%。2、软件WAF市场规模超过1.9亿美元,同比增长38.6%。后疫情时代 企业比任何时候都更为依赖数字化应用,数字化应用的安全防护是重中之重。
icon各行各业普遍存在应用防护的业务需求icon
icon网络安全问题越发被引起重视icon
形势越来越严峻

网络安全已经上升到国家高度,没有网络安全就没有国家安全。国际及国内网络安全事件频发。

涉及面广且危害大

黑客对政府网站进行恶意篡改身份证、社保、电话号码、信用卡、医疗、财务、保险等相关信息都是黑客窃取的目标。金融机构作为与金钱直接相关的机构成为主要攻击目标。

黑产组织化专业化

地下黑客利益链,专业的羊毛党团队。

恶意爬虫攻击

数据被爬取采集利用造成信息泄露,站点内容被未授权抓取、转载降低站点内容竞争力。黑客利用恶意Bot程序实现自动化撞库攻击、CC攻击等恶意行为。大量恶意的爬虫Bot程序流量占用站点资源,造成服务器的高负载。

攻击门槛越来越低

黑客工具随手可得,网站漏洞及0day漏洞随处可见,黑客培训基地层出不穷。

新型及0day漏洞频发

Struts2漏洞S2-013、 S2-029、 S2- 045,OpenSSL心脏出血漏洞,IBM_WebSphere_Java反序列化_ 远程代码,WEB容器(IIS、Apache、Nginx等)漏洞,HTTP_DedeCMS_通用型重装漏洞。

icon目前网络安全及业务防护所面对的现状和困难icon
icon网站安全带来的威胁与损失icon
典型安全事件
• 2020年1月,土耳其“图兰军”对我国网站发起攻击,据不完全统计,在1个月内攻击篡改了至少一百多个中国网站
• 2019年10月,格鲁吉亚遭受最严重网络攻击,15000个网站被破坏
• 2017年3月,Struts2 S2-045漏洞爆发,影响众多网站
• 2017年2月,高中生物教材遭“网页篡改”,打开是赌博网站
• 2016年4月,Apache Struts 2出现严重漏洞,国内很多银行受到影响
icon国家监管政策也在大力推动网络安全发展icon
icon产品介绍:通付盾动态WAFicon

通付盾动态WAF为新一代业务应用安全防护产品,搭载通付盾动态防护引擎、爬虫防护引擎和智能决策引擎,整合站点加固、动态验证、人机识别、风险过滤、自动化攻击拦截等技术对所有访问的流量进行安全检测、过滤和智能阻断。解决传统安全产品依赖于静态防御和被动防御下安全能力不足,缺少主动防御机制等问题。保障业务免受恶意攻击引发的数据泄露、业务欺诈、资源高负载等安全风险。提升综合防护能力,确保业务能够高效、安全、可靠的运营。

icon能为客户解决哪些问题icon
提升站点自身防护
无代码零开发
实现动态防护
保护数据资产安全
拦截恶意爬虫
保护网站信息
保护接口安全
支持http/https
防业务风险
防刷票
防薅羊毛
防短信接口滥刷
防自动化攻击
防撞库攻击
防漏洞嗅探
防CC攻击
防SQL注入
降低站点负载
拒绝恶意流量
保障服务高可用
满足合规要求
法律法规
行业标准
等保要求
icon依赖的技术手段:完全自主研发的多引擎智能防护体系icon
icon动态防护引擎icon
动态加密
利用动态加密技术对网站源码进行加密保护,保障网页代码安全,隐藏可能存在的攻击路径,从而保护网站数据和信息。
动态混淆
对网站源码进行强有力的混淆加固,将原本简单易懂的源码转化为复杂难懂的代码,从而防止网站被调试、破解和分析。
动态令牌
利用具有时效性的一次性页面动态令牌技术,确保合法的请求执行正确的业务逻辑,抵御非法攻击者发出的请求。如:对抗越权访问、重访攻击。
调式保护
防止攻击者利用debug模式查看网页源码,甚至调试代码,避免在弄清业务模式后,找出网站漏洞进行攻击。
icon动态防护效果-动态加密icon
icon动态防护效果-动态混淆icon
icon动态防护效果-Form保护icon
icon动态防护效果-变形元素icon
icon动态防护效果-风险按键icon
icon动态防护效果-动态令牌icon
icon爬虫防护引擎icon
风险特征识别
利用风险特征识别系统感知异常攻击流量,对恶意Bot流量精准拦截,防护业务流量攻击。
行为分析监测
监听访问流量的Cookie、UA、Referer及设备信息,多维度进行异常检测,对访问者的异常行为进行识别及告警。
智能策略拦截
利用智能的精准访问控制策略,搭建多层综合保护机制,轻松拦截恶意流量与攻击。
人机识别反爬
针对可疑机器流量请求,启动滑动验证,进行二次验证来识别人机。
icon智能决策引擎icon
icon选择通付盾动态WAF能达到何种防护效果icon
icon防护效果举例icon
icon怎样才能达到最理想的防护效果icon
icon根据客户的实际需求来灵活的部署icon

硬件:以软硬一体机的方式进行部署,只需插上网线并进行相应配置,即可防护站点。集群:支持集群部署,设备支持横向扩展,提供可靠的高性能冗余解决方案。软件云:以镜像方式提供给客户,一键安装部署。适用于专有云、私有云、混合云业务场景,实现对云内Web业务系统进行统一的安全防护。

iconVWAF保障云WEB业务安全icon
icon产品特点icon
多重引擎防护
集成功能丰富的动态加固防护引擎;动态混淆、动态加密等多种动态技术高效识别机器行为;智能、高效保护网站安全。
自动爬虫防护
避免网络资源消耗和隐私数据的泄露;可免去高度复杂的规则设置,操作简单,降低用户使用门槛;易于维护,减轻运维压力。
引擎智能切换
根据业务特征定时切换相应防护引擎,实现动态防护;自适应学习,智能分析当前业务特征,动态更新防护引擎。
多站点按需防护
支持多网站防护;个性化配置防护引擎满足不同网站不同防护要求;根据不同网站需求阻拦不同的各类攻击代码。
icon选择通付盾动态WAF能给客户带来的价值icon
提升安全
无代码、零开发提升站点业务自身安全能力
增强防护
智能识别站点状态,及时阻断攻击,提供持续的安全防御能力
降低风险
降低服务器的负载,优化用户的访问速度与体验
合法合规
有效满足国家法律法规以及企业行业标准的相关要求
icon产品特性icon
【项目背景】

网上电网业务受到大量流量攻击,占用较多服务资源,导致系统性能降低,影响系统服务效率。经分析,目前恶意流量在传统的技术基础之上,通过技术手段获取网上电网业务参数,伪造相似的请求进行业务攻击,通过模拟真人行为,可以顺利绕过传统WAF防护规则。

【解决手段】

传统WAF基于网络请求分析进行防控,无法对业务层面的机器拟人行为进行分析,通付盾BotWAF可深入业务层,通过对业务数据的统计和用户行为分析综合判断实现流量审计,解决当前大流量场景中的恶意访问行为,从根本上解决网上电网业务系统面临的流量攻击问题。

【项目范围】

从2019年至今,针对电网行业网上业务安全防护项目,通付盾的业务范围已覆盖北京市、江苏省、湖南省、山西省、安徽省、辽宁省6个省份。

icon案例分享icon

【建设效果】针对业务情况,对登录、签到、绑定户号三个遭受流量攻击比较严重的场景进行流量审计。使用流量审计设备对业务场景中的userid、手机号等信息维度,通过频次计算、黑名单匹配等审计方式进行管控。通过对目前网络链路的分析,在当前流程中嵌入流量审计可在不影响现有业务流程前提下有效减少到风控系统的恶意流量。BotWAF具备自启动有效保证服务的可用性,透明转发模式可在应急状态下保证业务流程正常。流量审计可高效识别和应对流量攻击,将大大减轻风控服务的压力。

icon动态WAF BotWAFicon
客户画像(适用场景)
企业具有对外提供服务的Web站点,因存在高危漏洞,被当地公安局网安大队通报,责令按照相关法律法规限期完成整改。正在使用传统WAF,但传统安全防御力不足,无法及时有效防护住网站安全。没有采用防护手段,站点可能遭受数据层攻击,恶意爬虫、SQL注入、非法下载/上传、个人隐私数据泄露、撞库攻击、数据遍历等;站点可能遭受业务面攻击:薅羊毛、刷单、刷评价、刷假量;防护技术手段不足导致网站运维不及时;相关法律法规政策出台加强网站安全事件惩治力度。
面向行业
小型企业、中型企业、大型企业,国企、政府、公检法、能源,金融、教育、医疗,工业制造、交通、电商、航旅、工商等,被地方公安网安大队通报批评的企业,可面向全行业客户。

产品推荐

网易易盾智能风控游戏外挂解决方案
易盾建议游戏厂商一方面寻求第三方安全厂商产品,使用专业、高效的游戏安全运营工具解决安全问题;另一方面,投入少量的运营人力,总结遇到的安全、调整外挂外加处置策略。
免费试用
查看详情
腾讯云数据库应用服务迁移DTS DBbridge
数据库应用服务迁移(DTS-DBbridge)是一款支持异构数据库之间、同构数据库之间进行数据同步的企业级产品。通过DTS-DBbridge可以帮助企业实现在线数据库同步,满足企业多样化数据传输、数据汇聚、数据灾备等业务场景,帮助企业建立数据之间的流动,打造数据间的互联互通。
免费试用
查看详情
独到科技AI智能体平台
独到科技AI智能体平台,整合AI销售智能体、AI反诈识别平台及AI助教系统。可实现销售流程智能化、诈骗行为精准识别、教学辅助高效化,适配多领域场景,提升业务效率与风险防控能力,助力各行业智能化升级。
免费试用
查看详情
云手指科技企客聊管理系统
企客聊管理系统是基于呼叫中心系统 Call center 的管理理念而研发的一套具有电话与企业微信管理于一体的系统,帮助企业实现平时日常的企业微信沟通。有效的对沟通内容进行数据挖掘和统计,从而实现对企业微信行为进行有效的管理和监控,提高沟通效率及服务质量,最大程度的挖掘商机为客户提供服务并保护公司的利益。
免费试用
查看详情