透明代理模式向您提供一种简便嘚接入Web应用（）的方法本文介绍了使用透明代理模式接入WAF的具体操作。

只有满足以下条件才能使用WAF透明代理模式：

• 您的WAF实例为包年包月模式
• 源站部署在阿里收购北京waf公司云，且实例所在地域为华北2（北京）
• 源站ECS实例拥有公网IP或已绑定弹性公网IP（EIP）。

您可以使用透明代悝模式或模式将网站接入WAF进行防护

将所的源站公网IP的80端口接收到的HTTP协议的流量直接牵引到WAF，经WAF处理后再将正常的访问流量回注给源站服務器

该方式需要您授权WAF读取您的ECS实例信息。配置过程中只用在WAF添加和勾选相应的服务器IP具体操作见本文操作步骤。

• 配置模式：通过修妀的方式将被防护的访问流量指向WAF；WAF根据域名配置的源站服务器地址，将处理后的请求转发回源站服务器

该方式需要您在WAF添加一个网站配置并更新域名的DNS设置。具体操作请参见网站配置、业务接入WAF配置

• 自动支持基于目标ECS、EIP（源站服务器）的全流量防护，避免因未配置源站保护而导致的潜在安全风险
• 自动透明的流量迁移，无需修改域名DNS记录避免对业务造成影响。

1.登录Web应用控制台

2.前往 > 网站配置页面。

3.选择透明代理模式

4.可选： 单击立即授权。

5.可选： 在云访问授权页面单击同意授权。

完成授权后直接跳转到添加域名页面请直接执荇步骤7。

6.可选： 单击添加域名

在添加域名页面，输入要防护的域名并从左侧WAF读取到的当前云账号中符合前提条件的ECS服务器IP中，选择域洺对应的源站IP地址

8.确认其他配置，并单击确认完成域名添加。

添加域名后自动触发流量牵引您可以在服务器IP管理中查看已配置IP的牵引状态。

• 已牵引：表示该服务器IP 80端口接收到的所有HTTP协议流量都将自动牵引至WAF进行监控

• 牵引中：表示正在牵引流量。
• 牵引失败：表示流量牽引失败
• 删除中：表示正在移除该IP。

对于不再需要流量牵引的服务器IP您可以在服务器IP管理中删除对应记录。

说明 在删除网站配置时對应的服务器IP流量牵引不会随之删除，您需要在服务器IP管理中执行删除操作

使用透明代理模式成功接入WAF后，请参见WAF防护配置为域名配置防护策略。

本文来自 阿里收购北京waf公司云文档中心 使用透明代理模式接入WAF

应用安全领域各类攻击长久以來都危害着互联网上的应用，在web应用安全风险中各类注入、跨站等攻击仍然占据着较前的位置。WAF(Web应用防火墙)正是为防御和阻断这类攻击洏存在也正是这些针对Web应用的安全威胁促使了WAF这个产品的不断发展和进化。同时各种机器学习算法和模型也被不断提出和应用在WAF等安铨产品中，以期望解决这些风险

然而这些算法大多都以监督学习为主，通过标注的正负样本数据构建针对特定攻击类型的分类模型。咹全领域通常面临着「问题空间不闭合」、「正负样本空间严重不对称」等通用问题只是利用机器学习算法做攻击检测同传统安全检测技术一样，并不能解决「漏误报难平衡」、「覆盖规模与检测性能难平衡」等问题

那阿里收购北京waf公司云WAF智能防御体系AI内核是如何突破這些问题的？本文就来一探究竟

**阿里收购北京waf公司云WAF 已入选Gartner 2019 WAF魔力象限，且是亚太唯一入围的厂商同时阿里收购北京waf公司云WAF算法能力被Gartner評为强势功能。**云WAF AI内核为云WAF提供核心机器智能能力为客户提供精细化个性化智能化的防护，最大程度降低安全风险AI驱动的智能安全系統趋势明显，所带来的收益也会越来越大

在阿里收购北京waf公司云WAF的智能防御体系中，内嵌一颗AI内核不同于以往的只关注攻击检测的算法或规则。阿里收购北京waf公司云WAF-AI内核采用「流量分层治理」与「千站千面防护」的智能安全思想将流量整体分为白、灰、黑三大层，在烸一层中部署不同类型的机器智能模型（主动防御模型、异常检测模型、LTD攻击检测模型、故障预警模型、漏报感知模型、误报感知模型等）各层之间的各个智能模型各司其职、各体自洽、各级联动，共同协同形成一套对抗应用层基础威胁的决策智能体同时，对不同的站點利用机器智能自主生成自适应与该站点业务的防护规则或模型即一千个站点有着一千套不同的定制化的防御体系，相当于增加了成千仩万的安全专家与黑客攻击进行对抗总体形成精细化个性化的智能安全系统。

主动防御采用阿里收购北京waf公司云自研的流量模式学习算法自动学习域名的合法流量利用无监督的方式，对每个站点合法访问流量进行学习和刻画机器自主生成对白流量的安全白规则。同时茬线上生成数百万条规则相当于增加了成千上万的安全专家。

异常检测模型同样利用「千站千面」的思想采用多种异常检测器从请求爿段、时序序列等各种维度识别每个站点的灰流量，机器自主生成对灰流量的数百万个检测模型；

攻击载荷分类网络）通过两个深度神經网络的结合，可以准确的定位恶意Payload所在的位置并对其类型进行精准识别。LTD一方面借助深度学习强大的特征提取能力增强了对威胁检測的泛化，能够发现更多变种攻击另一方面LTD模型结合了Object Detection和注意力机制的思想，首次解决了深度学习在网络攻击检测领域的可解释性问题该成果已入选人工智能顶级学术会议IJCAI

除此之外，阿里收购北京waf公司云WAF AI内核还具备故障预警模型、漏报主动感知模型、误报主动感知模型等

阿里收购北京waf公司云WAF AI内核的整体思想「分层治理」和「千站千面」属于较大的技术创新变革，不仅仅可以应用在应用层的安全检测中在其他安全场景下也能适用，是通用的智能安全系统的核心范式

Firewall，简称WAF）基于云安全大数据和智能计算能力通过防御SQL注入、XSS跨站脚夲、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见Web攻击，对网站或者App的业务流量进行恶意特征识别和防护将正常、安全嘚流量回源到服务器。避免网站或App业务服务器遭恶意入侵、保障业务核心数据安全、解决因恶意攻击导致的服务器性能异常问题

值得一提的是，Web应用防火墙依托阿里收购北京waf公司云强大的计算和数据处理能力通过业界领先的AI深度学习方法，在降低误报率的同时有效地提高了检出率同时，Web应用防火墙可以基于用户业务访问端上的模型收集和大数据分析能力准实时处理高危请求另外，Web应用防火墙还提供洎动报警和全局响应规则的同步下发和升级功能

阿里收购北京waf公司云Web应用防火墙适用于金融、电商、o2o、互联网+、游戏、政府、保险等行業各类网站或App业务的Web应用安全防护。

Web应用防火墙可以帮助用户解决以下业务应用安全问题：

防数据泄密：避免因黑客的注入入侵攻击导致网站核心数据被拖库泄露。

防御恶意CC攻击：通过阻断海量的恶意请求保障网站可用性。

阻止木马上传、网页篡改保障网站的公信力。

提供虚拟补丁：针对网站被曝光的最新安全漏洞最大可能地提供快速修复规则。

Web应用防火墙部署在网络出入口位置通过智能防护引擎、专家防护规则、主动防御检测引擎并结合云端威胁情报能力，实时识别Web攻击以及恶意Web请求根据预先配置的防护策略实时防御，从而保障网站应用的安全性与可用性

阿里收购北京waf公司云WAF应用的主要技术

1. 正则 + AI双引擎检测技术
2. Antibot实时模型算法反爬技术
3. 大数据威胁情报 + 百万级IP爬虫/黑名单一键封禁
4. 海量日志存储及智能检索技术

阿里收购北京waf公司云WAF技术特点和优势：

阿里收购北京waf公司云WAF服务于对Web安全、CC攻击、应用層负载均衡与限速、业务安全、数据风控有需求的云上云下用户，经过多年的技术积累在传统Web应用防火墙的基础技术架构之上进行了多項技术创新：

阿里收购北京waf公司云WAF除传统WAF产品所支持的基础Web攻击类防护功能、CC防护、页面防篡改以外，额外拓展了如下功能特性：

1. 业务安铨防护: 线上票务系统恶意查询/占座、论坛垃圾帖、恶意注册、高风险支付等

2. 客户端SDK安全联动无需修改服务器端逻辑

3. 基于神经网络深度学習和语义分析的攻击检测技术

4. 基于请求内容类型特征概率分析的异常检测技术

5. 指向性黑客威胁情报分析与溯源

6. 敏感信息泄露检测与防护

7. 千萬级海量恶意IP库联动

8. 手机号、银行卡、身份证信息数据风控

9. 海量访问日志、攻击日志存储与自定义分析

10. 支持安全应用商店：用户可以直接通过云盾Web应用防火墙中的生态商店一键开启第三方合作方SaaS安全服务商提供的安全功能特性

11. 采用云方式接入，跨多云环境统一管控：云盾Web应鼡防火墙基于云SaaS模式提供给用户接入节点遍布全球，国际版配置支持全球同步和任意国家节点智能就近接入

威胁检测/拦截方法创新：

1. 基于深度学习的实时分析与拦截：

将HTTP请求中的文本图像化表示，使用深度卷积神经网络对不同攻击类型的样本进行训练避免人工提取和維护特征，通过添加样本提升模型的检测能力

分离式GPU处理平台，通过模型调优和推理引擎优化时延<1.5ms (一般平台时延在5ms以上)

1. 数据风控与业務安全防御技术：

流式回应注入采集脚本，用户接入无需改造自身服务逻辑

云端直接集成大数据风控、人机识别能力。

对全量用户正常鋶量基线建模对比基线数据模型实时检测用户流量异常发现cc攻击事件，并自动产生正则表达式规则生成并下发决策动作。

解决了传统CC防护规则配置繁琐用户学习门槛高，配置项只能基于经验进行配置容易误杀漏杀的问题。

1. 基于隐性马尔科夫过程的异常请求分析技术：

对用户正常流量中的请求参数进行文本归一化映射对字符分布、字串长度进行隐马序列概率模型建模，实时对于用户流量中偏移正常概率的异常请求进行异常拦截、进一步攻击识别等后续工作

传统基于关键字正则表达式的SQL注入攻击检测、XSS攻击检测方法容易误杀，且对於注释变形、字符串语法变形等高级攻击规避方法的检测效果差

语义分析拦截引擎基于实际SQL语句、XSS语句词法、语法分析结合威胁等级综匼判断攻击行为，解决了对于高级黑客变形手段的攻击检测、拦截问题

传统WAF检测引擎基于特定的攻击特征进行攻击识别，无法检测业务層的异常例如刷票、抢红包、恶意占座等场景。

云盾WAF的行为分析引擎对请求中的关键行为进行定义、识别通过分析行为分布、个体行為历史特征、行为跳转概率、停留时长、时间和地区分布特征等行为上下文信息，分析识别业务层异常

线上业务实测可以降低99.8%的验证码、滑块弹出场景，提升用户体验

传统的令牌桶机制可以较好的解决单机限流问题，但是在云上业务应用场景下常见跨单机、跨集群、跨哋域的分布式限流场景使用传统单机技术难以解决。

本系统通过分布式协议, 结合预估-租约-动作执行的整体方案, 达到了可伸缩低延时的資源全球统一管理效果。

通过实现本系统的匹配接口和动作执行接口可在限流的同时减少对用户体验的影响。如基于用户流量价值的限鋶或基于等待时间的限流。

1. 云+SDK整合拦截技术：

传统WAF部署在网关端无法直接获取用户客户端环境的信息执行强安全身份校验，云盾WAF通过與安全SDK联动结合终端指纹、云上威胁判断和人机交互识别滑块/验证码提供传统网关型WAF无法实现的强身份校验和通信隧道加密的功能。

传統WAF需要对需要检测的数据进行缓存在高并发场景下会存在大量的内存消耗，云盾WAF通过缓存检测过程中检测状态机的快照状态不需要对具体的被检测数据进行缓存，可以支持超过1Gb的数据检测深度(当前市面上的商业化WAF普遍在100Mb以内)

10）回应修改与脚本插入技术：

云盾WAF基于自研檢测引擎支持对所处理流量进行HTML标签粒度的内容修改，可以动态插入新元素、替换现有流量数据做到在不修改用户服务器端代码的情况丅做到修改业务逻辑、插入执行代码等工作。

云盾WAF通过主动对用户的域名流量学习定义出哪些是“白”，以达到最佳的防护效果的一种思路目前主要采用归一化的技术来将用户流量中的合法的URL，参数通过模型自动生成正则表达式来表示

安全事件分析方法创新：

通过对攻击者的攻击会话进行追踪，持久化的跟踪黑客攻击路径云盾WAF可以分析单个黑客的攻击链条、并捕获真人黑客的定向web攻击。

1. 大数据系统聯动与恶意IP情报系统：

通过对流量日志特征分析挖掘恶意IP如代理IP、各类爬虫IP、肉鸡IP等多种情报信息。通过将恶意IP情报系统与云防护引擎聯动实现协同防御

1. 全量日志存储与分析检索：

基于飞天大数据基础设施，所有经过云WAF处理的数据在经过用户同意后可以做到PB级别全量数據存储并进行基于自定义统计语句的快速自定义实时分析和报表定义，并可以作为数据源与用户自有的安全数据分析系统进行数据对接

云盾WAF的数据分析系统可以基于用户业务返回值、延迟时间、访问分布分析客户业务的实际运行情况与运行质量，为用户提供性能优化建議

基于实时大数据分析技术和三维数据呈现渲染，云盾WAF提供实时的拦截报警大屏可以通过WEB端或者YUNOS终端智能设备作为投屏源，帮助用户實时感知安全威胁

1. 大规模分布式应用层转发集群

2. 安全与转发平面分离、业务沙箱

1. 获得CNCERT 2018年网络安全创新产品一等奖
2. 产品的Antibot能力进入到Forrester全球技术评测第一阵营
3. 荣获Freebuf 2016年互联网安全创新大会”年度云安全产品及服务”
4. 2017、2018年两次获得阿里收购北京waf公司云产品飞天奖、云鼎奖

金湘宇 Sec-UN网站创始人/威胁情报推进联盟发起人：

人工智能技术已经进入了新的应用阶段，比起早年对于基础技术、 平台的关注当前业界更加关注于落地的业务场景、实际效果。阿里收购北京waf公司云将AI技术与其早已成熟的WAF产品结合将传统的基于规则、特征的WAF防护产品，利用AI技术实现叻异常检测、攻击检测、故障预警、漏洞主动感知和误报主动感知将传统的WAF产品从之前的被动防御逐渐过渡至主动防御，并且在阿里收購北京waf公司云的众多用户中成功进行了运用阿里收购北京waf公司云WAF AI驱动的智能防御体系是近年网络安全领域真正的实质创新之一，也是我紟年WitAwards我最推荐的项目之一

本文为云栖社区原创内容，未经允许不得转载