腾讯云微服务引擎 TSE - Web 安全防护概述

微服务引擎 TSE

简介/价格/文档

腾讯云微服务引擎 TSE - Web 安全防护概述

文档简介：

什么是 Web 安全防火墙？ Web 应用防火墙（Web Application Firewall，WAF）能够帮助腾讯云内及云外用户应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫等网站及 Web 业务安全防护问题。企业通过部署腾讯云 WAF 服务，将 Web 攻击威胁压力转移到腾讯云 WAF 防护集群节点，分钟级获取腾讯 Web 业务防护能力，为网站及 Web 业务安全运营保驾护航。

*此产品及展示信息均由腾讯云官方提供。免费试用咨询热线：400-826-7010，为您提供专业的售前咨询，让您快速了解云产品，助您轻松上云！微信咨询

免费试用、价格特惠

文档详情

什么是 Web 安全防火墙？

Web 应用防火墙（Web Application Firewall，WAF）能够帮助腾讯云内及云外用户应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫等网站及 Web 业务安全防护问题。企业通过部署腾讯云 WAF 服务，将 Web 攻击威胁压力转移到腾讯云 WAF 防护集群节点，分钟级获取腾讯 Web 业务防护能力，为网站及 Web 业务安全运营保驾护航。

WAF 支持两种类型：SaaS 型和负载均衡型，这两种类型的 WAF 都支持接入防护，对比如下：

WAF 类型	负载均衡型 WAF（推荐）	SaaS 型 WAF
是否需要网关控制台操作	需要。	不需要。
接入方式	支持域名防护和对象防护两种方式，也可同时使用。	参考接入SaaS型WAF 操作指南，源站地址填写一个网关公网负载均衡的公网 IP。
WAF 到网关的流量路径	旁路对接。流量先到网关，再到 WAF，旁路送审。	流量先到 WAF，再到网关。
WAF 到网关流量类型	内网。	公网。
如何选择	旁路对接，业务转发与安全防护分离，最大限度减少安全防护对业务的影响。使用内网对接，更省流量。	只能绑定一个公网负载均衡的公网 IP。如需使用网页防篡改和数据防泄漏功能，仅 SaaS 型 WAF 可支持。

云原生网关推荐使用负载均衡型 WAF，可将网关收到的 HTTP/HTTPS 流量镜像到 WAF 集群，WAF 进行旁路威胁检测和清洗，将用户请求的可信状态同步到云原生 API 网关进行威胁拦截或放行，以保护您的业务安全。通过旁路对接的方式，具备如下优势：

无感知接入，域名接入 WAF 无需调整现有网络架构。

网站业务转发和安全防护分离，保障网站业务安全、稳定可靠。

负载均衡型 WAF 接入方式

负载均衡型 WAF 提供两种接入方式：

方式一：域名接入

通过添加域名的方式与网关资源进行绑定，实现对经过网关的 HTTP 或 HTTPS 流量进行检测和拦截，需要在网关侧进行：

1. 添加接入域名

2. 配置需要防护的资源

方式二：对象接入

通过 WAF 资产中心的实例管理模块，与网关实例进行关联，实现对象维度的接入，网关实例的所有流量都进行防护。

云原生对象接入支持基于云原生网关实例对象维度接入防护，将网关实例 ID 的 Web 业务流量镜像，通过协商协议转发到 WAF 集群接入防护。接入后，自动生成基于网关实例 ID 对象的防护集合，对未配置域名接入的 Web 流量启动防护，并允许客户自定义修改防护策略规则。

两种接入方式的对比如下：

对比项	域名接入	对象接入
是否需要配置域名	需要	不需要
防护粒度	资源级（支持路由级和服务级）	实例级
接入复杂度	较复杂	简单
网关与 WAF 流量方式	旁路对接

两种相关防护生效顺序如下：

对象接入以网关实例为维度进行安全防护接入，如您需要更精细的防护，可使用域名接入，通过配置防护域名，精准实现资源防护。您也可以同时配置两种防护策略，相关防护生效顺序如下：

精准域名接入防护：优先级最高，命中后安全防护策略优先生效。

对象接入防护：没有命中任何域名防护策略后的流量，继续执行对象默认防护策略。

说明：

对象接入：仅企业版及以上版本支持 WAF 对象接入。

域名接入：不同 WAF 版本支持域名数量不同，详细参考WAF套餐与版本说明。

使用场景

场景一：实例全防护

场景说明：需要访问该网关实例的所有请求都进行 WAF 防护，存量路由和后续新增路由不用单独配置。适用于安全性要求极高的生产场景。

使用方式：开启对象接入防护。

场景二：仅部分服务需要防护

场景说明：仅访问某些后端服务的请求需要接入防护，其他请求不需要接入防护，适用于测试场景或安全性要求较高的生产场景。

使用方式：对需要防护的服务开启域名防护。

场景三：仅部分路由需要防护

场景说明：仅访问某些路由需要接入防护，其他请求不需要接入防护，适用于测试场景或安全性要求较低的生产场景。

使用方式：对需要防护的路由开启域名防护。

场景四：开启了服务级防护，需要关闭服务下部分路由的防护

场景说明：已开启服务级防护，新增了测试路由需要取消防护进行测试。

使用方式：对需要测试的路由关闭防护，此时服务防护将由全部开启变为部分开启状态，待测试完成后，可选择性开启路由防护，此时服务防护会再次变为全部开启。

相似文档

腾讯云微服务引擎 TSE - 域名防护
本文介绍云原生 API 网关如何结合 WAF 通过添加域名的方式与云原生 API 网关的资源（包括服务、路由）进行绑定，实现对经过云原生 API 的流量进行检测和拦截。
腾讯云微服务引擎 TSE - 对象防护
本文介绍云原生 API 网关如何结合 WAF 通过对象防护的方式实现网关安全防护。对象防护开启后，所有访问网关的请求都默认进行防护。
腾讯云微服务引擎 TSE - 使用 DDos 防护
操作背景： DDoS 防护（Anti-DDoS）具有全面、高效、专业的 DDoS 防护能力，为企业组织提供 DDoS 高防包、DDoS 高防 IP 等多种 DDoS 解决方案，应对 DDoS 攻击问题。通过充足、优质的 DDoS 防护资源，结合持续进化的“自研+AI 智能识别”清洗算法，保障用户业务的稳定、安全运行。
腾讯云微服务引擎 TSE - 使用 DDos 防护
应用场景：云原生 API 网关可结合 Web 应用防火墙与 DDoS 高防包联动，为用户提供全方位的安全防护。 Web 应用防火墙提供实时防护能力，可有效拦截 Web 攻击，保障用户业务的数据和信息安全。 DDoS 高防包可以提供上百 Gbps 的 DDoS 防护能力，轻松应对 DDoS 攻击，保障业务稳定运行。
腾讯云微服务引擎 TSE - 查看默认监控
操作场景：云原生 API 网关 Kong 对运行的网关实例提供了多项监控指标，用以监测实例运行情况，例如：4xx请求数、5xx请求数等业务指标，CPU 利用率、内存使用率等系统指标。