开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

使用ASM网关对接WAF

使用ASM网关对接WAF是一种常见的网络安全解决方案。ASM网关（Application Security Manager）是一种Web应用防火墙，用于保护Web应用程序免受各种网络攻击。WAF（Web Application Firewall）是一种安全设备，用于检测和阻止对Web应用程序的恶意攻击。

优势：

提供全面的Web应用程序安全防护，包括SQL注入、跨站脚本攻击、跨站请求伪造等常见攻击类型。
通过自定义规则和策略，可以根据实际需求对Web应用程序进行精细化的安全配置。
支持实时监控和日志记录，可以及时发现和应对潜在的安全威胁。
高可用性和可扩展性，能够应对高流量和大规模的Web应用程序。

类型：

ASM网关对接WAF可以分为两种类型：主动模式和被动模式。

主动模式：ASM网关主动将请求发送给WAF进行检测和过滤，然后再将合法的请求转发给后端服务器。
被动模式：ASM网关将请求转发给后端服务器，同时将请求的副本发送给WAF进行检测和分析，WAF根据检测结果返回相应的处理建议。

应用场景：

ASM网关对接WAF适用于任何需要保护Web应用程序安全的场景，特别是对于面临互联网攻击风险的企业和组织来说尤为重要。常见的应用场景包括电子商务网站、在线银行系统、政府门户网站等。

问题解决：

如果在使用ASM网关对接WAF过程中遇到问题，可以考虑以下解决方法：

确保ASM网关和WAF之间的网络连接正常，检查网络配置和防火墙设置。
检查ASM网关和WAF的版本兼容性，确保使用的是兼容的版本。
查看ASM网关和WAF的日志，了解具体的错误信息和异常情况，根据日志进行排查和调试。
参考腾讯云官网提供的文档和指南，查找相关故障排除和解决方案。

示例代码：

由于涉及到具体的产品和服务，无法提供示例代码。建议参考腾讯云官网的相关文档和示例代码，以获取更详细的信息和实际操作指导。

参考链接：

腾讯云官网 - ASM网关：https://cloud.tencent.com/product/asm
腾讯云官网 - WAF：https://cloud.tencent.com/product/waf

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

腾讯云微服务11月产品月报 | TSE 云原生 API 网关支持 WAF 对象接入

服务来源支持私有 DNS 解析器，用户可以添加自己的 DNS 解析器地址进行私有域名解析，适用于服务配置了私有域名的用户。

01

使用腾讯云 API 网关保护 API 安全

随着企业数字化进程的发展，企业正在大量使用 API 来连接服务和传输数据，API 在带来巨大便利的同时也带来了新的安全问题，被攻击的 API 可能导致重要数据泄漏并对企业业务造成毁灭性影响。因此，API 安全正受到业界和学术界的广泛关注，开放 Web 应用程序安全项目（OWASP）在 2019 年将 API 列为最受关注的十大安全问题。 OWASP API 安全计划是这样描述的：“API 是现代移动、SaaS 和 Web 应用程序的重要组成部分，其可以在面向客户、面向合作伙伴和内部应用程序中找到。因性质使

02

网关V.S反向代理

WEB1.0/2.0时代，使用前置反向代理，由运维负责 nginx，进行反向代理和负载均衡、安全认证、限流缓存等功能。网站升级频率较低，反向代理大多采用静态配置方式。

01

「网络安全」WEB 应用防火墙是什么，部那里，如何用和为什么？

在一个每天都会出现新的网络攻击并出现的世界中，我们必须不断寻找和建立新的安全控制和保护机制。目前发现的最常见的网络安全威胁通常涉及数据泄露并且发生在应用程序级别，这就是许多NGFW和IPS / IDS系统无法抵御此类攻击的原因。此外，大多数通信 - 尤其是那些集成在Web应用程序中的通信 - 最近都被加密，这给这些设备带来了额外的问题。Web应用程序防火墙，即WAF产品专为Web应用程序设计 - 它们在应用程序级别分析每个HTTP请求，并提供SSL / TLS流量的完全解密。

03

您要的免V**远程运维工具到了

安全运维是日常安全工作的一个重要组成部分，但“工欲善其事，必先利其器”，那么什么样的远程运维工具或平台才是比较好的呢？

01

【漏洞通告】F5 BIG-IP/BIG-IQ 多个严重漏洞

3月11日，绿盟科技监测到F5官方发布安全通告，修复了影响F5的BIG-IP和BIG-IQ的多个高危漏洞（CVE-2021-22986，CVE-2021-22987，CVE-2021-22988，CVE-2021-22989，CVE-2021-22990，CVE-2021-22991，CVE-2021-22992），建议相关用户采取措施进行防护。

01

模拟数据在实际场景中的应用

我们在做数据统计类的测试时，往往需要准备各种源数据，如果是本系统的内部产生的数据，还好处理，但如果是一些对接第三方的数据报表测试，该如何展开呢？本文通过两种常见的场景来做一些分享。

02

渗透测试 | 绕过CDN查找网站真实ip

在渗透测试过程中，经常会碰到网站有CDN的情况。CDN即内容分发网络，主要解决因传输距离和不同运营商节点造成的网络速度性能低下的问题。说的简单点，就是一组在不同运营商之间的对接点上的高速缓存服务器，把用户经常访问的静态数据资源直接缓存到节点服务器上，当用户再次请求时，会直接分发到离用户近的节点服务器上响应给用户，当用户有实际数据交互时才会从远程Web服务器上响应，这样可以大大提高网站的响应速度及用户体验。

01

WAF和RASP技术，RASP与WAF的“相爱相杀”

WAF全称叫Web Application Firewall，也就是web应用防火墙，和传统防火墙的区别是，它是工作在应用层的防火墙，主要针对web请求和响应进行检测和防护。

00

技术选型-语言、框架和中间件

我们公司内部后端团队主要语言是golang，web框架选项比较纠结，一个是开源社区的web框架 gin，在上云前用的框架, 另外就是一个选择就是公司内部的远程调用开发框架trpc。gin 框架的功能和有点毋需赘述，可自行上github了解。我们最终选择了trpc-go为trpc框架的golang版本。

03

Skywalking SQL注入漏洞

Apache Skywalking最近暴露了一个SQL注入漏洞：CVE-2020-9483。

02

web安全防御之RASP技术

1.一个Web应用开发到上线的过程大致须要经过如下步骤:需求分析、架构设计、系统设计、功能设计、编码实现、测试评估、上线部署、业务运营等关键步骤，其中功能设计、编码测试、发布部署、系统运营这几个环节中都会存在安全风险，但是针对各环节出现的安全风险目前还没有一个比较全面的防御产品。目前主流的Web应用安全防护产品方案较多的是 WAF(Web Application Firewall)和RASP(Runtime Application Self-Protection)，WAF是门卫模型，通常部署在Web应用系统的外部边界，所有正常或恶意流量都需要通过特征规则和模式识别，通过特定的规则和模式识别出恶意请求，并且把它们拒之门外，拒绝向高风险的Web请求提供服务。

03

MSE-Higress 云原生网关测评

在今天的技术环境中，网关的角色变得越来越关键。MSE-Higress 是一款遵循开源 Ingress/Gateway API 标准的下一代网关产品，具有许多引人注目的特点。在此，我将根据以下三个主要主题对其进行全面评估。

03

物理架构&网络规划

完全基于腾讯云基础服务构建一套安全可靠的系统，前文技术选型-语言、框架、中间价已经介绍了选择的存储、中间等，现在我们需要为云服务器，、云数据库等中间件构建逻辑隔离的网络空间，提供云上资源的安全性，我们通过规划私有网络（Virtual Private Cloud，VPC）和子网（Subnetwork）来解决。

05

应急响应篇——安全加固

经过前几篇的应急响应篇章，相信各位师傅们按着做的话也该来到了加固，加固是一个后处理工作，主要是为了防止攻击者二次入侵、同样的问题发生两次。安全加固其实是一个稍微泛一些的词，做基线检查整改、等保整改也可以叫加固，加个杀软也可以叫安全加固，本篇主要讨论与应急响应相关的安全加固方向。

01

JANUSEC应用网关1.0发布，提供一站式安全交付能力

好久没有更新公众号文章了，也极少发圈，经常被朋友问起在忙啥？其实，笔者业余时间大多用来完善JANUSEC应用网关这款开源产品了，这不，历经多年打造和实战磨合，我也不藏着掖着了，端出1.0版本，供各位客官品鉴。你可能会疑惑，JANUSEC应用网关到底是个什么产品？解决什么痛点问题？到底有哪些特色？让我们逐一揭晓。

01

研究 WAF 系统从这个开源项目开始

今天来为大家推荐一个新的开源项目，这个项目收集整理了非常全面的 WAF 相关技术，其中包括 WAF 的简介、如何识别 WAF、常见 WAF 的指纹识别方法、绕 WAF 的测试技术、已知 WAF 的绕过方式、如何用工具绕 WAF 以及一些参考链接等。

02

为什么在书中介绍Orange网关？

国内基于OpenResty Lua的开源网关，从规模和影响力方面，Orange是一个历史标杆，当初在国产OR网关不多的时候， Orange就已经出现被使用于生产中。区别于其他网关产品，还有一些基于OpenResty Lua的实现WAF的Web防火墙项目，Orange本身使用了自己的轻量级Lua Web框架Lor，并不是直接用Lua裸写功能。所以无论从代码规模，还是系统的设计架构思路，Orange和Lor框架，都很有其特点，值得参考学习。Orange是属于开山劈地之作之一。

02

社区精华文章目录

文章架构如下：（待补充）1. 压测理论关于压力测试不得不说的二三事并发线程数、QPS与平均耗时的关系2. 压测服务部署2.1 Coding平台Jmeter-Suite压测工具部署文档Coding平台项目构建指南2.2 TCPS压测平台TCPS压测平台接入私有集群教程2.3 Jmeter分布式部署Jmeter分布式压测环境搭建(windows & linux)3. 压测脚本编写3.1 安装篇（待补充）3.2 使用篇3.2.1 基础入门篇Jmeter压测工具入门篇Mac OS下Jmeter的入门操作3.2.2

06

压力测试之常见容量故障案例与避坑指南

云组件检查项案例全球加速ECDN限频：压测时需绕过ECDN20200506，项目压测经过ecdn，导致触发了ecdn单个ip的限频安全产品WAF限频：确保WAF套餐配置达到容量要求20200602，某项目中使用的WAF的QPS套餐最大10w，导致压测QPS达到10w后出现限频限频：确保压测机IP被添加到安全打击白名单20200605，某项目压测时未将压测机IP未加入白名单，导致触发WAF限频，接口QPS曲线不平稳连接方式：确保回源连接方式为长连接，短连接需解释20220510，系统中WAF的回源方式设

绕过WAF防火墙？

现实中的Web服务，可能潜伏各种Bug漏洞，即便积极的定期进行Web扫描，也不保证万无一失，基于这种原因，应运而生了Web防火墙WAF，最常见的是在基于代理模式的Web网关系统，加入威胁检测功能。

03

绕 waf 实战之 xss 漏洞利用

在一次测试中，遇到一个可以利用 XSS 的点，但是存在 BIG-IP ASM 防火墙，导致无法直接利用，在大神的帮助下完成了利用。随后经过自己的努力，也找到了一种绕过方式。

01

一条DSL规则拦截Spring Cloud Function漏洞攻击

最近30天左右，出现了若干个Java的漏洞，其中的一个是Spring Cloud Fuction的0Day中可以看出来。

04

轻松应对亿级流量，专享型API网关正式对外开放

（预约直播，参与有礼，详情见文末！） 4 月 24 日晚，腾讯视频《创造营 2021》总决赛完美收官，现场热血沸腾，最终 11 学员脱颖而出成团出道。作为整个综艺的最高潮，成团夜不仅是学员的决赛时刻，也是对节目背后整个技术架构的大考。投票环节是这场大考中最核心的部分，投票时间往往很短，全网粉丝在同一时间瞬时涌入，瞬间的大流量和高并发，对系统的高可用性提出了极高的要求。专享型腾讯云 API 网关（以下简称「专享实例」）作为整个投票系统的关键一环，连续 2 年保障创造营投票活动的正常稳定进行。除此之外，

04

内容分发网络 CDN

作为web站点，开启cdn加速对提升用户体验十分重要，能有效减少由于物理地域的距离导致的网络延迟，当然主要是增对静态资源。另外还可以给我们提升网站的可用性，由于前端每次发布更新后，资源的hash值都会更新，导致发布正在访问的页面无法拉取已经更新静态资源，从而导致当前页面无响应。

07

Soul Api网关技术选型

最近公司中台api有用到网关的需求，特整理了下网关的基本功能以及Soul网关系统的功能架构设计，记录于此。最终选择了Soul网关系统还是因为其架构设计清晰，基于spring boot而且提供了Admin管理后台，而且底层使用spring webflux响应式编程，基于zk的本地缓存设计支持分布式多实例部署，性能问题就不无需多虑了

04

用腾讯云轻量服务器搭建雷池waf出现掉监控解决方案

用腾讯云轻量服务器搭建了雷池waf后发现腾讯云的监控也掉（腾讯内网的软件都掉线了），安装宝塔的Nginx也报错，找宝塔运维排查过后，发现是腾讯源的问题，说到腾讯云源大概知道是内网冲突了，之前找研发看过类似的问题。

05

Web应用实践：如何配置一个完整链路的Web服务

常常遇到用户的web服务配置了多个节点的情况下，配置无法访问，根本原因是用户没有理解http(https)的工作原理

接入层的新思考：一文看懂接入层高可用设计

接触多家客户后，发现大家的接入层架构大都如下图所示，WAF/DDoS组件客户要么选其中之一，要么都不选或自建。CLB后面挂CVM，CVM上面部署Nginx或者Kong等组件。

打造一款开源的WAF网关

在互联网行业，Google将安全做到基础设施里面，素来是各大公司学习的榜样，在Web方面，通过GFE (Google Front-End) 统一对外发布，业务只需要在GFE登记，GFE就会调取正确的证书，保障用户到GFE的TLS连接安全。

01

互联网公司WAF系统设计

0×01 WAF简介 WAF 全称是Web Application Firewall, 简单讲就是web防火墙，是对web业务进行防护的一种安全防护手段。其实，现在很多的移动app，也是使用的http协议进行数据交换，也可以理解成web业务，可以对app server进行防护。主要的web危害，一般指的是OWASP Top 10，比如SQL注入、XSS、CSRF等常见的web危害方法。当然可能不止这些方法，比如社工。轻则用你的服务器打个ddos，重则数据全部被盗，损失公司的信誉和money。互联

SecZone每日安全资讯（2023.10.11）

一月份，安全研究人员Daniel Milisic发现一款名为T95的廉价安卓机顶盒一开箱就感染了恶意软件，其他多名安全研究人员也证实了这一发现。最近又有消息称超八成国产安卓机顶盒预装恶意软件，引发了广泛关注。

04

WAF 绕过的捷径与方法

在企业架构中，安全体系同剥洋葱一般，由外及内是由一层层的安全产品和规范构成，越处于外层承重越大，WAF 属七层防护的第一道墙，随着互联网技术发展，业务对外提供服务的方式逐渐收拢，Web 接口与应用垄断流量，WAF成了安全战场中被炮火攻击最惨烈的前线。

03

加密流量怎么做安全检测 | FreeBuf甲方群话题讨论

数据流量是数据资产的重要组成部分，也是数字化业务的核心，但在网络攻击事件频繁、攻击手段层出不穷的现状之下，流量加密已经愈加常态化，安全团队面临的考验也随之而来，如何从海量加密流量中检测出恶意流量成为一项不小的挑战。本期话题，我们就围绕如何在加密流量中进行安全威胁检测，就相关问题展开讨论。目前加密流量越来越多，对于加密流量中的恶意流量检测，大家的应用和部署目前到了什么程度？检测效果如何？ A1：目前对这一块大多数安全设备都采用了基于特征的检测方法，即通过对恶意流量的特征进行检测，如基于恶意IP地址、

02

企业如何破解数据合规压力；公有云边界设备能选择第三方厂商吗 | FB甲方群话题讨论

3.业务在公有云上，像防火墙WAF这种边界设备，能不用公有云厂商产品，而采购其他安全厂商的安全设备吗？架构上有可能吗？

02

基于Apache APISIX拦截Log4j2漏洞

近期Log4j引起的安全问题，很受到业界关注。Log4j作为Java生态中广泛使用的日志组件，被很多的Java软件系统使用依赖。例如：Apache Struts2、大数据分析系统Flink、ElasticSearch数据库等等，这个列表，随着时间的迁移，与Log4j2相关的软件使列表项目还会增加。

02

在应用网关上启用LDAP双因子认证

在之前的一篇文章"快速给内部网站添加身份认证"中，介绍不用改动业务代码，直接在JANUSEC应用网关上开启身份认证的实现方案。不过，很快就有朋友提出问题来了：“你这只能支持第三方APP的扫描登录呀，我们内网使用的是LDAP认证，能支持么？”、“光LDAP还不行，用的是静态口令，还得加上双因子认证才保险”...

01

RASP技术进阶系列（一）：与WAF的“相爱相杀”

猜想大部分安全从业者都会回答：“WAF（Web Application Firewall, 应用程序防火墙）。”不过RASP（Runtime Application Self-Protection，应用运行时自我保护）横空出世，似乎有取而代之的意味。

03

一款国产开源 Web 防火墙神器！

随着开源 Web 框架和各种建站工具的兴起，搭建网站已经是一件成本非常低的事情，但是网站的安全性很少有人关注，以至于 WAF 这个品类也鲜为人知。

04

记一次授权项目中绕过某服WAF成功文件上传

注意:本次渗透为授权项目，请不要进行未授权等违规操作!本文章仅供安全人员学习攻防技术，请勿用于任何非法行为！！！注意:本次渗透为授权项目，请不要进行未授权等违规操作!本文章仅供安全人员学习攻防技术，请勿用于任何非法行为！！！注意:本次渗透为授权项目，请不要进行未授权等违规操作!本文章仅供安全人员学习攻防技术，请勿用于任何非法行为！！！

01

与WAF的“相爱相杀”的RASP

猜想大部分安全从业者都会回答：“WAF（Web Application Firewall,应用程序防火墙）。”不过RASP（Runtime Application Self-Protection，应用运行时自我保护）横空出世，似乎有取而代之的意味。

00

Waf识别工具和83个Waf拦截页面

乌鸦安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

04

技术干货｜威胁情报如何在SOC场景中发挥最大价值

数字化转型是当下企业面临的重要课题。在数字化转型过程中，每个企业都无法回避来自网络攻击的困扰。面对五花八门的安全风险，根据经验构建防御策略、部署产品的传统方式已经难以抵抗。对此，利用威胁情报可以帮助企业及时调整防御策略，提前预知攻击的发生，从而实现较为精准的动态防御。

01

PyWaffle | 绘制这样的华夫图真的超简单的~~

今天又发现了一个好用的Python数据可视化工具包-「PyWaffle」，用于快速绘制华夫图(waffle charts),其教程如下：

01

兑现 Service Mesh 的新价值：精确控制“爆炸半径”

软件是以持续迭代的方式去不断演进的。某种程度上，我们并不担心软件不完善，但担心软件的迭代速度太慢而影响了完善的速度。在分布式软件领域，如何快速、安全地验证新的软件版本一直是大家所关心并探索的。服务网格（Service Mesh）的出现将这个领域的探索推向了新的高度。“泳道”这一概念在分布式软件领域并非新词，只不过，这次我们是以服务网格为基础技术去构建，充分发挥云原生技术天然具备灵活治理流量的优势。

01

写给客户端开发的后台网络基础概念解析

在后台网络领域，有许多专业术语和概念，作为客户端开发也需要对此有一些基本的认知。本文中我们将解释一些常见的后台网络名词，包括 CGI、NAT、租户、接入机、网关、Nginx、防火墙、路由器、反向代理服务器和 WAF。

01

【云安全最佳实践】云防火墙和Web应用防火墙的区别

随着互联网的进一步发展，Web应用防火墙和云防火墙步入大家的视野。防火墙针对web应用拥有很好的保护作用，由硬件和软件组合，在内部网和外部网、专用网和公共网之间形成一道强有力的保护屏障，使用者可配置不同保护级别的防火墙，高级别的保护会阻止运营一些服务。众所周知，防火墙是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术、隔离技术，用来加固网络保障网络安全的。那么，我们如何理解这两种防火墙，他们有什么区别？

03

猿创征文｜Apache ShenYu网关插件介绍

在上节我们把Apache ShenYu网关集成到了微服务中，并简单使用了一下。网关的主要作用是进行流量控制和请求分发，而Apache ShenYu网关的流量控制是通过插件、选择器和规则来完成的，因此这节我们一起来学习下ShenYu网关的众多插件。

02

矩阵式WAF部署——破解信任危机的新思路

传统安全建设思路要求将网络按照安全等级划分，形成不同属性的安全域，如外网接入域、核心交换域、对外发布域、办公终端域及安全管理域等，并基于各个安全域的安全等级来制定相应的域间隔离与访问控制策略。通常根据不同强度要求的安全策略，所选用和部署的安全产品也会有针对性。例如外网接入域的边界，除了常规的防火墙之外，还会选择DDoS清洗系统、入侵防御系统等；在核心交换域，依据其流量全面的特点，部署全栈的流量分析和资产治理类系统；在安全管理域，部署集中管理和事件审计类平台；而在对外发布域的边界，则会选择更加深入和有针对性的细粒度防护产品，例如Web应用防火墙，即WAF产品，也是我们今天讨论的重点。

06

跨平台版中国菜刀Cknife发布

Burp已经成了绿帽子门必不可少的工具，相信大家都装有Java环境，本软件支持1.7+以及所有安装了环境的系统。1.6后续会考虑兼容。一直都有想写一款真正实用的跨平台类似的菜刀，然后可惜代码是个渣渣一直可望而不可即，后续随着公司业务增多，大多数目标都有WAF，于是就想写一款完全脱离工具，只依靠配置文件的菜刀。顺便当个码农~~~ 前前后后大约花了一个月，除了打飞机的时间基本就在写这货了，这里要感谢@MelodyZX牛，在我完成大体框架后，帮了我不少大忙，包括完成虚拟终端，非常感谢。程序采用java

07

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭