腾讯云Web应用防火墙（WAF）产品概要

一、产品定位与核心亮点

技术定义：腾讯云Web应用防火墙（WAF）是一款面向Web应用及API的云原生安全防护产品，通过规则引擎与AI引擎双驱动，提供Web攻击防护、CC防御、BOT管理、API安全管控等一站式防护能力，定位为Web应用的“门神”。

核心技术属性：云原生接入（CLB-WAF、SaaS-WAF、混合云WAF）、规则+AI双引擎防御、集中式智能CC防御、循环递进式BOT管理、API全生命周期安全管控。

商业差异化卖点：国内首家云原生接入模式WAF，支持旁路检测（CLB-WAF）与DNS调度（SaaS-WAF）无缝融合；多引擎协同防御（规则引擎+AI引擎+Tiga引擎+门神引擎）；全场景BOT管理能力（覆盖Web/移动端/API）；小程序安全加速（与微信联合开发，同等级安全加速）。

二、产品应用场景

目标受众及业务场景痛点：

• 腾讯云七层负载均衡用户：需防护HTTP/HTTPS流量威胁，痛点为0-day攻击防御难、CC攻击误报率高、BOT流量占比超50%（如电商秒杀资源被抢占）。
• 本地化部署Web业务：需满足合规要求（如政府网站防篡改），痛点为传统IP频率CC防御失效、网页篡改导致声誉损失。
• API服务提供者（政务、电商、金融）：需防护敏感数据泄露（如身份证、手机号），痛点为API资产不清、涉敏参数暴露、业务调用异常。
• 小程序/APP开发者：需兼顾安全与性能，痛点为恶意爬虫薅羊毛、DDoS攻击影响体验。

三、应用框架和功能介绍

功能框架

• 架构：支持云原生接入（CLB-WAF通过负载均衡集群旁路检测清洗流量；SaaS-WAF通过DNS解析调度流量；混合云WAF实现多云统一防护）、本地化部署（软件部署于本地机房，管控节点集群联动）。
• 核心功能模块：规则+AI双引擎、集中式智能CC防御、在线实时更新规则库、自定义访问控制、攻击日志分析、网页防篡改、BOT流量管理（循环递进式）、API安全管控、小程序安全加速。

硬核指标

• 处理能力：每天处理Web请求量4000亿+次，峰值QPS突破1000万；国内首家云原生接入模式WAF检测攻击107亿+次，平均耗时3ms。
• BOT管理：内置1000+ BOT类型、20+协议特征、100+会话特征，覆盖十大BOT对抗场景，预置140+运营规则，累计接入域名50000+个。
• API安全：敏感数据识别支持19种参数（身份证、手机号等），资产自动发现新上线/涉敏API。
• 漏洞防护：收录安全漏洞11073个（同比增89.0%），其中0-day漏洞4582个（同比增80.7%）；防护13类攻击（SQL注入、XSS、XXE等）。
• CC防御：支持基于IP频率、SESSION（Cookie/post/get特征）策略，联动腾讯云高防构建完整DDoS防护方案。

产品优势

1. 云原生接入多样性：CLB-WAF（旁路检测）、SaaS-WAF（DNS调度，适合云上/IDC用户）、混合云WAF（多云统一防护），满足合规与性能需求。
2. 规则+AI双引擎防御：规则引擎在线实时更新（支持等级划分、单条/规则集开关、白名单），AI引擎补充0-day攻击防御（HMM/K-means聚类算法，精度可控）。
3. 集中式智能CC防御：基于AI行为分析+SESSION防护，综合源站异常响应与历史数据智能决策，可自定义session维度防护，实时查看封堵IP并调整策略，一键联动腾讯云高防。
4. 丰富自定义能力：访问控制策略支持HTTP报文多特征组合（路径、GET/POST参数、Referer、User-Agent）；BOT管理支持自定义BOT类型；API安全支持自定义防护规则（最多50条）。
5. 详细攻击日志：记录攻击时间、源IP、类型、详情，支持全文检索、模糊搜索、组合条件搜索，百万级日志下载。
6. 网页防篡改：缓存静态页面实现镜像保护，静态访问无需回源，动态访问安全回源；极端篡改不影响用户访问，资源更新手动审计可追溯。
7. 循环递进式BOT管理：全量会话统计分析（IP-域名），结合BOT情报与自定义策略，实现公开BOT/未知BOT/自定义BOT分类，通过80+BOT详情辅助决策，设置对抗策略。
8. API安全管控方案：零部署即开即用（已接入域名一键开启，未接入域名主动发现一键接入）；资产全自动发现（实时分析日志梳理API场景）；敏感数据防泄露（内置19种规则）；联动腾讯天御、威胁情报识别业务安全风险。
9. 小程序安全加速：与微信联合开发，享同等级安全加速能力，集成服务加速、Web攻击防护、DDoS防护、防薅防爬，一键集成微信SDK（支持加密协议、DDoS防护、加速链路）。
10. 性能与可靠性：性能弹性扩展；具备快速bypass逃生能力；安全团队十余年Web攻防经验，支持IPv6。

荣誉背书

• 技术领先性：国内首家云原生接入模式WAF、国内首家前端对抗+智能分析的BOT管理、领先的新一代WAF产品及流量安全解决方案。
• 行业认可：防护13类攻击，支持IPv6；获腾讯云安全团队（十余年Web攻防经验）背书。

数据来源：国家计算机网络应急技术处理协调中心《2020年上半年我国互联网网络安全监测数据分析报告》、头豹&沙利文《2020年中国云WAF市场报告》。

四、典型案例

金融领域

• 客户名称：香港交易所、微众银行、招商证券（China Merchants Securities）
• 背景：金融业务面临Web攻击（SQL注入、XSS）、CC攻击、BOT恶意爬取交易数据。
• 解决方案：使用旗舰版+域名包配置，启用规则+AI双引擎、集中式CC防御、BOT管理。
• 成效：实现Web攻击拦截率显著提升，CC攻击误报率降低，BOT恶意流量占比下降。

政府领域

• 客户名称：广东省文化厅、上海市公安局、成都市税务局
• 背景：政府网站需满足合规要求（防篡改、日志审计），面临网页篡改发布不良言论风险。
• 解决方案：使用高级版（防篡改、日志服务），启用网页防篡改（缓存静态页镜像保护）、详细攻击日志（百万级下载）。
• 成效：极端篡改不影响用户访问，攻击日志可追溯审计，满足监管要求。

电商、智慧零售领域

• 客户名称：叮咚买菜、国美、国美微拍堂、微博拍堂、开启哆买菜（重复案例按原文保留）
• 背景：电商秒杀/票务资源被BOT抢占（BOT请求占比超50%），价格信息被自动化工具探测。
• 解决方案：使用旗舰版+域名包+日志服务+BOT管理，启用循环递进式BOT管理（1000+类型识别）、自定义BOT策略。
• 成效：BOT恶意流量占比下降，资源抢占问题缓解，商品价格信息安全保障。

文创领域

• 客户名称：爱听卓乐、阅文集团、人人视频
• 背景：文创内容（音乐、文学、视频）遭BOT爬虫盗版，API接口被恶意调用。
• 解决方案：使用旗舰版+BOT管理，启用API安全管控（资产自动发现、敏感数据防泄露）、BOT分类对抗策略。
• 成效：内容盗版流量下降，API涉敏参数泄露风险降低。

总结

腾讯云Web应用防火墙（WAF）通过云原生架构、多引擎协同防御、全场景安全能力（Web/API/小程序/BOT），为企业Web业务提供从攻击防护到合规管理的闭环解决方案。其核心优势在于数据驱动的量化防护能力（如4000亿+日请求处理、3ms平均检测耗时）、场景化自定义策略（BOT/API/CC）及生态联动（微信小程序加速、腾讯云高防），已成为金融、政府、电商等行业Web安全的首选产品。

数据支撑：境内外约1.8万个IP对3.59万个网站植入后门（同比增36.9%）；我国境内遭篡改网站7.4万个（政府网站318个）；近80%信息安全问题源于Web应用层攻击（XSS、注入为主）；50%以上流量来自Bots（数据来源同上）。