可通过年度企业订阅、主要云市场的私人优惠以及 AWS 市场的按使用量付费获得。
感谢您对 F5 分布式云服务的关注。 F5 代表将很快与您联系,以协助您处理此请求。
年度订阅支持各种用例,包括应用安全和多云网络。 标准产品提供基本功能和服务网络,而高级产品则专门设计用于满足分布式云和边缘站点的高级 API 安全性的严格要求。
高级应用安全包括 API 发现和保护、行为机器人缓解以及第 7 层 DDoS 缓解。
扩展混合和多云网络,以支持跨多个云、本地和边缘站点的分布式应用群集之间的安全服务网络的高级用例。
通过 CDN、DNS 和 App Stack 提高全球应用的性能和可靠性。
网页应用防火墙 | 标准 |
先进的 |
|
---|---|---|---|
基于签名的保护 | 利用 F5 的核心 WAF 技术缓解应用和 API 漏洞,该技术由我们先进的签名引擎提供支持,其中包含 8,500 多个 CVE 签名以及其他已知漏洞和技术,包括 F5 实验室和威胁研究人员确定的机器人签名 | 是的 | 是的 |
合规执法 | 违规、逃避和 http 协议合规性检查的组合。 | 是的 | 是的 |
自动攻击特征调整 | 抑制误报触发的自学习概率模型 | 是的 | 是的 |
屏蔽日志中的敏感参数/数据 | 用户可以通过指定 http 标头名称、cookie 名称或查询参数名称来屏蔽请求日志中的敏感数据。 仅值被屏蔽。 默认情况下,查询参数card、pass、pwd、password的值是屏蔽的。 | 是的 | 是的 |
自定义阻止页面/响应代码 | 当请求或响应被 WAF 阻止时,用户可以自定义提供给客户端的阻止响应页面。 | 是的 | 是的 |
允许来自来源的响应代码 | 用户可以指定允许哪些 HTTP 响应状态代码。 | 是的 | 是的 |
IP 声誉 | 分析 IP 威胁并发布由 F5 维护的数百万个高风险 IP 地址的动态数据集,以保护应用程序端点免受恶意 IP 的入站流量的侵害。 IP 处理类别包括垃圾邮件源、Windows 漏洞、Web 攻击、僵尸网络、扫描程序拒绝服务、网络钓鱼等。 | 是的 | 是的 |
应用程序的敏感数据保护 | Data Guard 通过屏蔽数据来防止 HTTP/HTTPS 响应泄露敏感信息,例如信用卡号和社会保险号。 | 是的 | 是的 |
排除规则 | 根据特定匹配标准定义应从 WAF 处理中排除的签名 ID 和违规/攻击类型的规则。 具体匹配条件包括域、路径和方法。 如果客户端请求符合所有这些标准,那么 WAF 将排除检测控制中配置的项目的处理。 | 是的 | 是的 |
CSRF 保护 | 允许用户轻松配置/指定适当的、允许的源域 | 是的 | 是的 |
Cookie 保护 | Cookie Protection 通过添加 SameSite、Secure 和 Http Only 属性提供了修改响应 cookie 的能力。 | 是的 | 是的 |
GraphQL 保护 | WAF 引擎会检查 GraphQL 请求是否存在漏洞,并根据 F5 签名数据库阻止流量 | 是的 | 是的 |
DDoS 缓解 | 标准 |
先进的 |
|
快速 ACL | 网络防火墙控制允许用户阻止来自特定来源的入口流量,或对来自特定来源的网络流量应用速率限制。 增强的保护允许根据源地址、源端口、目标地址、目标端口和协议过滤流量。 | 是的 | 是的 |
第 3-4 层 DDoS 缓解 | 多层次、容量耗尽攻击缓解包括预设缓解规则与自动缓解以及高级路由 DDoS 缓解清理的组合,并通过 BGP 路由通告或权威 DNS 解析进行完整数据包分析,适用于需要对内部或公共云应用和相关网络进行 DDoS 保护的客户。 | 不 | 是的 |
第 3-4 层 DDoS 缓解 | 多层次、容量耗尽攻击缓解包括预设缓解规则与自动缓解和高级 DDoS 缓解清理的组合,仅针对使用分布式云服务的客户 - 该平台保护 F5 网络上的客户提供的服务免受 DDoS 攻击。 | 是的 | 不 |
第 7 层 DoS - 检测和缓解 | 利用先进的机器学习 (ML) 分析请求率、错误率、延迟和吞吐量,检测应用和 API 端点间异常流量模式和趋势的异常检测和警报,并能够拒绝或限制端点速率,包括自动缓解。 | 是的 | 是的 |
第 7 层 DoS - 基于策略的挑战 | 可以设置自定义基于策略的挑战来执行 Javascript 或 Captcha 挑战。 定义何时根据源 IP 和信誉、ASN 或标签(城市、国家)触发挑战的匹配标准和规则,帮助从试图执行攻击的合法客户端中筛选出攻击者。 | 是的 | 是的 |
DDoS 缓解速度缓慢 | “慢速和低速”攻击会占用服务器资源,导致无法满足实际用户的请求。 此功能允许配置和执行请求超时和请求标头超时值。 | 是的 | 是的 |
application程序速率限制 | 速率限制控制进入或离开应用源的请求的速率。 可以使用密钥标识符 IP 地址、Cookie 名称和/或 HTTP 标头名称来控制应用程序的速率限制。 | 不 | 是的 |
API | 标准 |
先进的 |
|
基于签名的保护 | F5 分布式云应用防火墙支持检查两种最流行的 API 协议 - GraphQL 和 REST | 是的 | 是的 |
基于流量的 API 发现和模式学习 | 先进的机器学习,可以标记和分析应用的 API 端点流量(请求和响应),以便发现 API 端点并执行行为分析。 这包括请求和响应模式、敏感数据检测和身份验证状态。 通过 OpenAPI 规范 (OAS) 生成提供库存和影子 API 集。 | 不 | 是的 |
基于代码的 API 发现和模式学习 | 集成到代码库中。 先进的机器学习可以自动分析应用代码,以发现和记录 API 端点。 这包括自动 OpenAPI 规范 (OAS) 生成。 | 不 | 是的 |
API 架构导入 | 导入 OpenAPI 规范文件来定义 API 组并设置规则来控制对 API 的访问和强制执行 API 的行为。 | 不 | 是的 |
OpenAPI 规范验证 | API 规范执行功能为 API 启用了积极的安全模型,允许组织根据有效 API 请求的特征轻松执行所需的 API 行为。 这些特性用于验证输入和输出数据的数据类型、最小或最大长度、允许的字符或有效值范围等。 | 不 | 是的 |
姿势管理 | 包括学习和检测 API 端点的身份验证类型和状态以及 API 风险评分的能力。 API 端点风险评分功能为用户提供了与其 API 端点相关的风险的全面衡量。 风险评分是使用多种技术计算的,例如漏洞发现、攻击影响、商业价值、攻击可能性和缓解控制。 这有助于组织评估和确定 API 漏洞的优先级,以便快速识别需要额外安全措施的 API。 | 不 | 是的 |
API保护规则 | 组织可以精细地控制 API 端点连接和请求类型。 它们可以识别、监控和阻止特定客户端和连接,或者设置特定的阈值。 这些包括基于 IP 地址、地区/国家、ASN 或 TLS 指纹的拒绝列表(阻止),以及定义特定匹配标准的更高级规则,指导应用程序和 API 与客户端的交互,包括 HTTP 方法、路径、查询参数、标头、cookie 等。 这种对 API 连接和请求的精细控制可以针对单个 API 或整个域进行。 | 不 | 是的 |
API 速率限制 | 速率限制控制进入或离开 API 端点的请求的速率。 | 不 | 是的 |
API 的敏感数据检测和保护 | 检测 API 响应中的通用(信用卡、社会保险号)或不太常见和自定义的 PII 数据模式(地址、姓名、电话号码),然后屏蔽敏感数据或阻止传输敏感信息的 API 端点。 | 不 | 是的 |
敏感数据检测 - 合规性报告 | 识别受特定监管和合规制度影响的 API 端点,并发现、标记和报告特定敏感数据。 在 API 代码和/或通过流量观察到时,包括与 20 多个不同框架(PCI-DSS、HIPPA、GDPR 等)相关的 400 多种数据类型。 | 不 | 是的 |
Bot 防御 | 标准 |
先进的 |
|
基于签名的保护 | WAF 签名引擎包含针对自动威胁和机器人技术(包括爬虫、DDoS/DoS 等)的独特签名。 | 是的 | 是的 |
Bot 防御 | 利用 JavaScript 和 API 调用收集遥测数据,并通过对信号数据进行持续的 ML 分析来缓解复杂的攻击,从而保护应用程序免受自动攻击,以快速响应机器人重组,动态更新实时检测模型,旨在防御所有机器人用例,例如撞库攻击、帐户接管、虚假帐户等。 | 不 | 是的 |
客户端防御 | 为 Web应用提供多阶段保护,防止 Formjacking、Magecart、数字窃取和其他恶意 JavaScript 攻击。 该多阶段保护系统包括检测、警报和缓解。 | 是的 | 是的 |
网络连接 | 标准 |
先进的 |
|
多云传输 | 公共云、本地数据中心和分布式边缘站点之间的第 3 层网络传输 | 是的 | 是的 |
安全服务插入 | 跨多个云网络集成第三方网络防火墙服务,例如 BIG-IP 和 Palo Alto Networks。 | 是的 | 是的 |
网络分段 | 细粒度的网络隔离和微分段,以保护本地和跨公共云网络的网络段 | 是的 | 是的 |
端到端加密 | 所有跨网络传输的数据均采用本机 TLS 加密 | 是的 | 是的 |
自动配置 | 公共云网络结构的自动配置和编排 | 是的 | 是的 |
应用程序连接 | 标准 |
先进的 |
|
应用程序和服务网络 | 跨云应用程序集群之间的 TCP、UDP 和 HTTPS 请求的分布式负载均衡服务 | 是的 | 是的 |
应用程序细分 | 细粒度的安全策略来控制对分布式云环境中 API 端点和集群的访问 | 是的 | 是的 |
服务发现 | 确定分布式应用程序集群中的服务可用性 | 是的 | 是的 |
入口和出口 | 基于路由的 HTTP 和 HTTPS 流量策略实施 | 是的 | 是的 |
端到端加密 | 所有跨网络传输的数据均采用本机 TLS 加密 | 是的 | 是的 |
DNS | 标准 |
先进的 |
|
自动故障转移 | 通过无缝故障转移到 F5 分布式云 DNS 确保 DNS 环境的高可用性。 | 是的 | 是的 |
自动缩放 | 随着应用数量的增加、流量模式的变化以及请求量的增长,自动扩展以满足需求。 | 是的 | 是的 |
DDoS 保护 | 利用内置保护功能防止分布式拒绝服务 (DDoS) 攻击或操纵域响应。 | 是的 | 是的 |
DNSSEC | DNS 扩展可保证 DNS 响应(包括区域传输)的真实性,并返回拒绝存在响应,以保护您的网络免受 DNS 协议和 DNS 服务器攻击 | 是的 | 是的 |
TSIG 认证 | 使用声明性 API 和直观的 GUI 实现服务自动化 | 是的 | 是的 |
API 支持 | 用于验证客户端和服务器之间区域传输通信的交易签名密钥 | 是的 | 是的 |
DNS 负载均衡器 (DNSLB) | 标准 |
先进的 |
|
基于全球位置的路由 | 通过基于地理位置的负载均衡将客户端引导到最近的应用实例,以获得最佳用户体验。 | 是的 | 是的 |
智能负载平衡 | 引导跨环境的应用流量、执行健康检查并自动执行响应。 包括全自动灾难恢复 | 是的 | 是的 |
API 支持 | 使用声明性 API 和直观的 GUI 实现服务自动化 | 是的 | 是的 |
ADC 遥测 | 使用基本可视化跟踪性能、应用程序运行状况和使用情况 | 是的 | 是的 |
多层面的安全保障 | 动态安全包括自动故障转移、内置 DDoS 保护、DNSSEC 和 TSIG 身份验证 | 是的 | 是的 |
可观察性 | 标准 |
先进的 |
|
报告、丰富的分析和遥测 | 跨异构边缘和云部署的从应用到基础设施的统一可视性,包括应用部署、基础设施运行状况、安全性、可用性和性能的详细状态 | 是的 | 是的 |
安全事故 | 事件视图根据上下文和共同特征将数千个单独事件分组为相关的安全事件。 旨在使应用程序安全事件的调查变得更加容易。 | 是的 | 是的 |
安全事件 | 通过单一仪表板视图查看涵盖所有 Web 应用程序和 API 安全功能的所有安全事件,并可自定义和深入查看所有 WAF、Bot、API 和其他第 7 层安全事件 | 是的 | 是的 |
Global Log Receiver- 日志导出集成(即 Splunk) | 日志分发到外部日志收集系统,包括 Amazon S3、Datadog、Splunk、SumoLogic 等。 | 是的 | 是的 |
其他 | 标准 |
先进的 |
|
恶意用户检测 + 缓解 | 由 AI/ML 驱动的恶意用户检测执行用户行为分析,并根据每个用户的活动分配怀疑分数和威胁级别。 客户端交互是根据客户端与其他客户端的比较来分析的——命中的 WAF 规则数量、禁止的访问尝试、登录失败、错误率等等。 恶意用户缓解是一种自适应响应和基于风险的挑战能力——根据用户威胁级别提供不同的挑战,如 Javascript 或 Captcha 挑战或暂时阻止。 | 不 | 是的 |
服务政策 | 通过开发允许/拒绝列表、地理 IP 过滤和自定义规则创建,实现微分段并支持应用层的高级安全性,以对传入请求采取行动,包括基于各种属性/参数 TLS 指纹、地理/国家、IP 前缀、HTTP 方法、路径、标题等的匹配和请求约束标准。 | 是的 | 是的 |
Web 应用扫描 | 自动扫描和映射任何域以查找所有暴露的服务和基础设施,包括服务器版本和操作系统,以及识别已知漏洞(CVE)。 与动态应用安全测试 (DAST) 配对,运行任何域的自动渗透测试,发现未知漏洞并提供补救指导。 | 是的 | 是的 |
CORS 政策 | 在浏览器默认不允许跨源请求而您有特定需要启用它们的情况下,跨源资源共享 (CORS) 很有用。 CORS 策略是一种使用附加 HTTP 标头信息来通知浏览器的机制,允许在一个来源(域)运行的 Web应用有权访问来自不同来源的服务器的选定资源。 | 是的 | 是的 |
受信任的客户端 IP 标头 | 识别真实客户端 IP 地址以进行监控、记录、定义允许/拒绝策略等。 启用此功能后,安全事件和请求日志将显示此真实客户端 IP 地址作为源 IP。 | 是的 | 是的 |
双向 TLS | 支持在负载均衡器/代理上通过基于策略的授权进行身份验证的 TLS 和相互 TLS,可以实施应用流量的端到端安全性。 相互 TLS 支持在 x-forwarded-client-cert (XFCC) 请求标头中将客户端证书详细信息发送到原始服务器的能力。 | 是的 | 是的 |
支持 | 标准 |
先进的 |
|
24/7/365 支持 | 通过多种方式提供支持,包括控制台票务、电子邮件和电话支持。 | 是的 | 是的 |
正常运行时间 SLA(99.99%) | 是的 | 是的 | |
审计日志(30 天) | 是的 | 是的 | |
安全日志(30 天) | 是的 | 是的 | |
请求日志(7 天) | 是的 | 是的 |
利用 F5 的核心 WAF 技术缓解应用和 API 漏洞,该技术由我们先进的签名引擎提供支持,其中包含 8,500 多个 CVE 签名以及其他已知漏洞和技术,包括 F5 实验室和威胁研究人员确定的机器人签名。
违规、逃避和 http 协议合规性检查的组合。
抑制误报触发的自学习概率模型。
用户可以通过指定 http 标头名称、cookie 名称或查询参数名称来屏蔽请求日志中的敏感数据。 仅值被屏蔽。 默认情况下,查询参数card、pass、pwd、password的值是屏蔽的。
当请求或响应被 WAF 阻止时,用户可以自定义提供给客户端的阻止响应页面。
用户可以指定允许哪些 HTTP 响应状态代码。
分析 IP 威胁并发布由 F5 维护的数百万个高风险 IP 地址的动态数据集,以保护应用程序端点免受恶意 IP 的入站流量的侵害。 IP 处理类别包括垃圾邮件源、Windows 漏洞、Web 攻击、僵尸网络、扫描程序拒绝服务、网络钓鱼等。
Data Guard 通过屏蔽数据来防止 HTTP/HTTPS 响应泄露敏感信息,例如信用卡号和社会保险号。
根据特定匹配标准定义应从 WAF 处理中排除的签名 ID 和违规/攻击类型的规则。 具体匹配条件包括域、路径和方法。 如果客户端请求符合所有这些标准,那么 WAF 将排除检测控制中配置的项目的处理。
允许用户轻松配置/指定适当的、允许的源域。
Cookie Protection 通过添加 SameSite、Secure 和 Http Only 属性提供了修改响应 cookie 的能力。
WAF 引擎会检查 GraphQL 请求是否存在漏洞,并根据 F5 签名数据库阻止流量。
网络防火墙控制允许用户阻止来自特定来源的入口流量,或对来自特定来源的网络流量应用速率限制。 增强的保护允许根据源地址、源端口、目标地址、目标端口和协议过滤流量。
利用先进的机器学习 (ML) 分析请求率、错误率、延迟和吞吐量,检测应用和 API 端点间异常流量模式和趋势的异常检测和警报,并能够拒绝或限制端点速率,从而检测应用和 API 行为随时间推移的峰值、下降和其他变化。
“慢速和低速”攻击会占用服务器资源,导致无法满足实际用户的请求。 此功能允许配置和执行请求超时和请求标头超时值。
F5 分布式云应用防火墙支持检查两种最流行的 API 协议 - GraphQL 和 REST。
WAF 签名引擎包含针对自动威胁和机器人技术(包括爬虫、DDoS/DoS 等)的独特签名。
为 Web应用提供多阶段保护,防止 Formjacking、Magecart、数字窃取和其他恶意 JavaScript 攻击。 该多阶段保护系统包括检测、警报和缓解。
公共云、本地数据中心和分布式边缘站点之间的第 3 层网络传输。
跨多个云网络集成第三方网络防火墙服务,例如 BIG-IP 和 Palo Alto Networks。
细粒度的网络隔离和微分段,以保护本地和跨公共云网络的网络段。
对跨网络传输的所有数据均采用本机 TLS 加密。
公共云网络构造的自动配置和编排。
跨云应用程序集群之间的 TCP、UDP 和 HTTPS 请求的分布式负载均衡服务。
细粒度的安全策略来控制对分布式云环境中 API 端点和集群的访问。
确定分布式应用程序集群中的服务可用性。
基于路由的 HTTP 和 HTTPS 流量策略实施。
对跨网络传输的所有数据均采用本机 TLS 加密。
通过开发允许/拒绝列表、地理 IP 过滤和自定义规则创建,实现微分段并支持应用层的高级安全性,以对传入请求采取行动,包括基于各种属性/参数 TLS 指纹、地理/国家、IP 前缀、HTTP 方法、路径、标题等的匹配和请求约束标准。
自动扫描和映射任何域以查找所有暴露的服务和基础设施,包括服务器版本和操作系统,以及识别已知漏洞(CVE)。 与动态应用安全测试 (DAST) 配对,运行任何域的自动渗透测试,发现未知漏洞并提供补救指导。
跨域资源共享 (CORS) 在浏览器默认不允许跨域请求而您有特定需要启用它们的情况下很有用。 CORS 策略是一种使用附加 HTTP 标头信息来通知浏览器的机制,允许在一个来源(域)运行的 Web应用有权访问来自不同来源的服务器的选定资源。
识别真实客户端 IP 地址以进行监控、记录、定义允许/拒绝策略等。 启用此功能后,安全事件和请求日志将显示此真实客户端 IP 地址作为源 IP。
支持在负载均衡器/代理上通过基于策略的授权进行身份验证的 TLS 和相互 TLS,可以实施应用流量的端到端安全性。 相互 TLS 支持在 x-forwarded-client-cert (XFCC) 请求标头中将客户端证书详细信息发送到原始服务器的能力。
通过多种方式提供支持,包括控制台票务、电子邮件和电话支持。
正常运行时间 SLA(99.99%)
审计日志(30 天)
指标(< 30 天)
请求日志(<30天)
利用 F5 的核心 WAF 技术缓解应用和 API 漏洞,该技术由我们先进的签名引擎提供支持,其中包含 8,500 多个 CVE 签名以及其他已知漏洞和技术,包括 F5 实验室和威胁研究人员确定的机器人签名。
违规、逃避和 http 协议合规性检查的组合。
抑制误报触发的自学习概率模型。
用户可以通过指定 http 标头名称、cookie 名称或查询参数名称来屏蔽请求日志中的敏感数据。 仅值被屏蔽。 默认情况下,查询参数card、pass、pwd、password的值是屏蔽的。
当请求或响应被 WAF 阻止时,用户可以自定义提供给客户端的阻止响应页面。
用户可以指定允许哪些 HTTP 响应状态代码。
速率限制控制进入或离开应用源的请求的速率。 可以使用密钥标识符 IP 地址、Cookie 名称和/或 HTTP 标头名称来控制应用的速率限制。
分析 IP 威胁并发布由 F5 维护的数百万个高风险 IP 地址的动态数据集,以保护应用程序端点免受恶意 IP 的入站流量的侵害。 IP 处理类别包括垃圾邮件源、Windows 漏洞、Web 攻击、僵尸网络、扫描程序拒绝服务、网络钓鱼等。
Data Guard 通过屏蔽数据来防止 HTTP/HTTPS 响应泄露敏感信息,例如信用卡号和社会保险号。
根据特定匹配标准定义应从 WAF 处理中排除的签名 ID 和违规/攻击类型的规则。 具体匹配条件包括域、路径和方法。 如果客户端请求符合所有这些标准,那么 WAF 将排除检测控制中配置的项目的处理。
允许用户轻松配置/指定适当的、允许的源域。
Cookie Protection 通过添加 SameSite、Secure 和 Http Only 属性提供了修改响应 cookie 的能力。
WAF 引擎会检查 GraphQL 请求是否存在漏洞,并根据 F5 签名数据库阻止流量。
网络防火墙控制允许用户阻止来自特定来源的入口流量,或对来自特定来源的网络流量应用速率限制。 增强的保护允许根据源地址、源端口、目标地址、目标端口和协议过滤流量。
多层次、容量耗尽攻击缓解包括预设缓解规则与自动缓解以及高级路由 DDoS 缓解清理与通过 BGP 路由通告或权威 DNS 解析进行完整数据包分析的组合。
利用先进的机器学习 (ML) 分析请求率、错误率、延迟和吞吐量,检测应用和 API 端点间异常流量模式和趋势的异常检测和警报,并能够拒绝或限制端点速率,从而检测应用和 API 行为随时间推移的峰值、下降和其他变化。
基于机器学习 (ML) 的功能,可根据对单个客户端行为和应用程序随时间的性能(包括请求率、错误率、延迟等)的分析,针对异常的第 7 层流量配置自动缓解措施。
“慢速和低速”攻击会占用服务器资源,导致无法满足实际用户的请求。 此功能允许配置和执行请求超时和请求标头超时值。
F5 分布式云应用防火墙支持检查两种最流行的 API 协议 - GraphQL 和 REST。
先进的机器学习,可以标记和分析应用的 API 端点流量(请求和响应),以便发现 API 端点并执行行为分析。 这包括请求和响应模式、敏感数据检测和身份验证状态。 通过 OpenAPI 规范 (OAS) 生成提供库存和影子 API 集。
集成到代码库中。 先进的机器学习可以自动分析应用代码,以发现和记录 API 端点。 这包括自动 OpenAPI 规范 (OAS) 生成。
导入 OpenAPI 规范文件来定义 API 组并设置规则来控制对 API 的访问和强制执行 API 的行为。
API 规范执行功能为 API 启用了积极的安全模型,允许组织根据有效 API 请求的特征轻松执行所需的 API 行为。 这些特性用于验证输入和输出数据的数据类型、最小或最大长度、允许的字符或有效值范围等。
包括学习和检测 API 端点的身份验证类型和状态以及 API 风险评分的能力。 API 端点风险评分功能为用户提供了与其 API 端点相关的风险的全面衡量。 风险评分是使用多种技术计算的,例如漏洞发现、攻击影响、商业价值、攻击可能性和缓解控制。 这有助于组织评估和确定 API 漏洞的优先级,以便快速识别需要额外安全措施的 API。
组织可以精细地控制 API 端点连接和请求类型。 它们可以识别、监控和阻止特定客户端和连接,或者设置特定的阈值。 这些包括基于 IP 地址、地区/国家、ASN 或 TLS 指纹的拒绝列表(阻止),以及定义特定匹配标准的更高级规则,指导应用程序和 API 与客户端的交互,包括 HTTP 方法、路径、查询参数、标头、cookie 等。 这种对 API 连接和请求的精细控制可以针对单个 API 或整个域进行。
速率限制控制进入或离开 API 端点的请求的速率。
检测 API 响应中的通用(信用卡、社会保险号)或不太常见和自定义的 PII 数据模式(地址、姓名、电话号码),然后屏蔽敏感数据或阻止传输敏感信息的 API 端点。
识别受特定监管和合规制度影响的 API 端点,并发现、标记和报告特定敏感数据。 在 API 代码和/或通过流量观察到时,包括与 20 多个不同框架(PCI-DSS、HIPPA、GDPR 等)相关的 400 多种数据类型。
WAF 签名引擎包含针对自动威胁和机器人技术(包括爬虫、DDoS/DoS 等)的独特签名。
利用 JavaScript 和 API 调用收集遥测数据并通过对信号数据进行持续的 ML 分析来缓解复杂的攻击,从而保护应用程序免受自动攻击,以快速响应机器人重组,动态更新实时检测模型,旨在防止所有机器人用例,例如撞库攻击、帐户接管、虚假帐户等。
为 Web应用提供多阶段保护,防止 Formjacking、Magecart、数字窃取和其他恶意 JavaScript 攻击。 该多阶段保护系统包括检测、警报和缓解。
公共云、本地数据中心和分布式边缘站点之间的第 3 层网络传输。
跨多个云网络集成第三方网络防火墙服务,例如 BIG-IP 和 Palo Alto Networks。
细粒度的网络隔离和微分段,以保护本地和跨公共云网络的网络段。
对跨网络传输的所有数据均采用本机 TLS 加密。
公共云网络构造的自动配置和编排。
跨云应用程序集群之间的 TCP、UDP 和 HTTPS 请求的分布式负载均衡服务。
细粒度的安全策略来控制对分布式云环境中 API 端点和集群的访问。
确定分布式应用程序集群中的服务可用性。
基于路由的 HTTP 和 HTTPS 流量策略实施。
对跨网络传输的所有数据均采用本机 TLS 加密。
由 AI/ML 驱动的恶意用户检测执行用户行为分析,并根据每个用户的活动分配怀疑分数和威胁级别。 客户端交互的分析是基于客户端与其他客户端的比较——命中的 WAF 规则数量、禁止访问尝试、登录失败、错误率等等。 恶意用户缓解是一种自适应响应和基于风险的挑战能力——根据用户威胁级别提供不同的挑战,如 Javascript 或 Captcha 挑战或暂时阻止。
通过开发允许/拒绝列表、地理 IP 过滤和自定义规则创建,实现微分段并支持应用层的高级安全性,以对传入请求采取行动,包括基于各种属性/参数 TLS 指纹、地理/国家、IP 前缀、HTTP 方法、路径、标题等的匹配和请求约束标准。
自动扫描和映射任何域以查找所有暴露的服务和基础设施,包括服务器版本和操作系统,以及识别已知漏洞(CVE)。 与动态应用安全测试 (DAST) 配对,运行任何域的自动渗透测试,发现未知漏洞并提供补救指导。
跨域资源共享 (CORS) 在浏览器默认不允许跨域请求而您有特定需要启用它们的情况下很有用。 CORS 策略是一种使用附加 HTTP 标头信息来通知浏览器的机制,允许在一个来源(域)运行的 Web应用有权访问来自不同来源的服务器的选定资源。
识别真实客户端 IP 地址以进行监控、记录、定义允许/拒绝策略等。 启用此功能后,安全事件和请求日志将显示此真实客户端 IP 地址作为源 IP。
支持在负载均衡器/代理上通过基于策略的授权进行身份验证的 TLS 和相互 TLS,可以实施应用流量的端到端安全性。 相互 TLS 支持在 x-forwarded-client-cert (XFCC) 请求标头中将客户端证书详细信息发送到原始服务器的能力。
通过多种方式提供支持,包括控制台票务、电子邮件和电话支持。
正常运行时间 SLA(99.999%)
审计日志(30 天)
指标(< 30 天)
请求日志(<30天)