Web 应用和 API 保护

您对 Web 应用和 API 的保护能力决定了您能否成为久经考验、信誉良好的商家还是不可靠、不可信的商家。F5 能够为各种架构提供应用保护,抵御广泛的、不断演进的攻击类型。

如果您在医疗、非营利或教育领域任职,并受到新冠疫情的影响, 请与我们联系 ,获取免费产品及服务。

Our world has changed

With so much commerce becoming e-commerce, protecting your business means protecting your applications. See how easy it can be with Essential App Protect—SaaS security for web apps in any cloud.

Watch the overview

covid-19 web app protection

Web 应用和 API 解决方案

F5 WAF 可保护应用避免受到利用、制止多余的机器人和其他自动化功能,并降低云端的成本。

查看购买选项

保护您的 API

启用应用到应用授权

由于企业构建和发布了更多的应用程序,API(支持应用程序之间自动通信)的数量也呈指数增加。在这样一个快节奏的环境之中,DevOps 团队需要迅速创建和管理应用程序服务,而无需担心跨应用程序的漏洞。越来越多的 API 所带来的挑战便是 API 成为威胁的额外目标。为了缓解 API 层面的威胁,按照标准化开放式方法,跨 Web、移动和桌面环境在应用程序之间实现安全授权至关重要。

WEB 应用程序和 API 保护产品

Web 应用程序和 API 保护产品

F5 高级 WAF

F5 高级应用程序防御功能套件提供了全面的保护,并能够轻松适应环境,这对贵组织具有巨大意义。

了解更多 >

F5 SILVERLINE WAF

云中始终启用或按需可用的托管 WAF 为您提供所需的全面防御,并满足您对易管理性的期望。

了解更多 >

F5 SILVERLINE WAF 专门服务

云中的这种自助服务 WAF 消除了 WAF 管理的复杂性,利用专业维护的策略提高了部署速度,并降低了运营费用。

了解更多 >

管理您的解决方案

管理您的解决方案

需要帮助管理您的 WAF 安全解决方案?F5 为您提供多个培训机会及多项专业服务。

了解更多 >

完全托管

F5 Silverline WAF 提供始终启动或按需可用的完全托管 WAF 防御,满足您的需求,并满足您对易管理性的期望。

自助服务

专门服务选项能够跨混合环境快速自助服务部署专业维护的策略,以保护应用程序,不拘其所在位置。

自托管

面向本地、并置数据中心或公有云环境的设备或软件虚拟映像,让您能够直接掌控 Web 应用程序安全性。

部署您的解决方案

部署您的解决方案

硬件和软件中均可使用 F5 Web 应用程序安全解决方案以满足部署需求。

需要帮助部署您的 F5 解决方案?

了解更多 >

在本地或云端交付:内联/拦截

内联 Web 应用程序和 API 保护会实时分析请求、随请求做出改变以及过滤请求,以确保为托管应用程序提供持续保护。此模型可确保您的应用程序不论在哪里部署,均可得到防护。

在本地或云端交付:内联/监控

为未经过滤的托管应用程序实施被动式 Web 保护,在没有能够拦截攻击流量的始终启动的作用中缓解措施时,为您提供洞察信息和分析。当您遭遇攻击时,能够按需拦截并进行主动过滤。

本地:路径外/监控

如果您不想部署内联缓解措施或调整您的网络拓扑,路径外监控能够让您收集流量路径之外的攻击流量和模式的相关信息与统计数据。

购买方式

购买方式

订阅

确定所需实例个数,并注册 1 年、2 年或 3 年期订阅,其包括更新的支持和维护。

永久

确定所需的实例个数,并设置许可协议。永久许可的效力覆盖整个产品生命周期,可按单个服务或以套餐形式提供。

企业许可协议 (ELA)

ELA 按 1 年期、2 年期或 3 年期提供,为大型组织提供灵活性,以按需启动或关闭虚拟实例。其中包含产品维护和支持。

实用工具

通过 Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud Platform 购买所需的服务实例,只需依据实际使用情况按小时支付费用。

缓解 BOT 攻击

管理您与 Bot 的关系

与 Bot 打交道是在线开展业务的重要部分。有些 Bot 是善意甚至是有益的,比如数字助理。但与任何有用的工具一样,攻击者可能利用 Bot 以实施犯罪活动。受越来越多的动机所驱动,威胁也随之不断演变,包括直接消费者欺诈、IP 盗用、长尾暴利、政治目的或狭隘的个人恩怨,而 Bot 也在进行着不法行为。

WEB 应用程序和 API 保护产品

Web 应用程序和 API 保护产品

F5 高级 WAF

F5 高级应用程序防御功能套件提供了全面的保护,并能够轻松适应环境,这对贵组织具有巨大意义。

了解更多 >

F5 SILVERLINE WAF

云中始终启用或按需可用的托管 WAF 为您提供所需的全面防御,并满足您对易管理性的期望。

了解更多 >

F5 SILVERLINE WAF 专门服务

云中的这种自助服务 WAF 消除了 WAF 管理的复杂性,利用专业维护的策略提高了部署速度,并降低了运营费用。

了解更多 >

面向 AWS WAF 的 F5 规则

这套面向 AWS WAF 的规则有助于防范常见的漏洞和暴露,与 AWS WAF 无缝集成,并由 F5 专业托管。

了解更多 >

管理您的解决方案

管理您的解决方案

需要帮助管理您的 WAF 安全解决方案?F5 为您提供多个培训机会及多项专业服务。

了解更多 >

完全托管

F5 Silverline WAF 提供始终启动或按需可用的完全托管 WAF 防御,满足您的需求,并满足您对易管理性的期望。

自助服务

专门服务选项能够跨混合环境快速自助服务部署专业维护的策略,以保护应用程序,不拘其所在位置。

自托管

面向本地、并置数据中心或公有云环境的设备或软件虚拟映像,让您能够直接掌控 Web 应用程序安全性。

部署您的解决方案

部署您的解决方案

硬件和软件中均可使用 F5 Web 应用程序安全解决方案以满足部署需求。

需要帮助部署您的 F5 解决方案?

了解更多 >

在本地或云端交付:内联/拦截

内联 Web 应用程序和 API 保护会实时分析请求、随请求做出改变以及过滤请求,以确保为托管应用程序提供持续保护。此模型可确保您的应用程序不论在哪里部署,均可得到防护。

在本地或云端交付:内联/监控

为未经过滤的托管应用程序实施被动式 Web 保护,在没有能够拦截攻击流量的始终启动的作用中缓解措施时,为您提供洞察信息和分析。当您遭遇攻击时,能够按需拦截并进行主动过滤。

本地:路径外/监控

如果您不想部署内联缓解措施或调整您的网络拓扑,路径外监控能够让您收集流量路径之外的攻击流量和模式的相关信息与统计数据。

购买方式

购买方式

订阅

确定所需实例个数,并注册 1 年、2 年或 3 年期订阅,其包括更新的支持和维护。

永久

确定所需的实例个数,并设置许可协议。永久许可的效力覆盖整个产品生命周期,可按单个服务或以套餐形式提供。

企业许可协议 (ELA)

ELA 按 1 年期、2 年期或 3 年期提供,为大型组织提供灵活性,以按需启动或关闭虚拟实例。其中包含产品维护和支持。

实用工具

通过 Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud Platform 购买所需的服务实例,只需依据实际使用情况按小时支付费用。

保护用户凭据

破解凭据填充

在过去的十年间,数十亿的用户凭据从各种服务中被盗。这些用户名、电子邮件地址和密码被通过自动化系统馈入,以接管全网帐户。并且即便您没有遭到入侵,如果您的客户在其他位置使用了相同的帐户信息,他们也仍会处于风险之中。F5 高级 WAF 等主动式系统不仅能够防御这些攻击企图,其实际上还能首先帮助防止此类凭据被捕获和被盗。

WEB 应用程序和 API 保护产品

Web 应用程序和 API 保护产品

F5 高级 WAF

F5 高级应用程序防御功能套件提供了全面的保护,并能够轻松适应环境,这对贵组织具有巨大意义。

了解更多 >

F5 SILVERLINE WAF

云中始终启用或按需可用的托管 WAF 为您提供所需的全面防御,并满足您对易管理性的期望。

了解更多 >

F5 SILVERLINE WAF 专门服务

云中的这种自助服务 WAF 消除了 WAF 管理的复杂性,利用专业维护的策略提高了部署速度,并降低了运营费用。

了解更多 >

管理您的解决方案

管理您的解决方案

需要帮助管理您的 WAF 安全解决方案?F5 为您提供多个培训机会及多项专业服务。

了解更多 >

完全托管

F5 Silverline WAF 提供始终启动或按需可用的完全托管 WAF 防御,满足您的需求,并满足您对易管理性的期望。

自助服务

专门服务选项能够跨混合环境快速自助服务部署专业维护的策略,以保护应用程序,不拘其所在位置。

自托管

面向本地、并置数据中心或公有云环境的设备或软件虚拟映像,让您能够直接掌控 Web 应用程序安全性。

部署您的解决方案

部署您的解决方案

硬件和软件中均可使用 F5 Web 应用程序安全解决方案以满足部署需求。

需要帮助部署您的 F5 解决方案?

了解更多 >

在本地或云端交付:内联/拦截

内联 Web 应用程序和 API 保护会实时分析请求、随请求做出改变以及过滤请求,以确保为托管应用程序提供持续保护。此模型可确保您的应用程序不论在哪里部署,均可得到防护。

在本地或云端交付:内联/监控

为未经过滤的托管应用程序实施被动式 Web 保护,在没有能够拦截攻击流量的始终启动的作用中缓解措施时,为您提供洞察信息和分析。当您遭遇攻击时,能够按需拦截并进行主动过滤。

本地:路径外/监控

如果您不想部署内联缓解措施或调整您的网络拓扑,路径外监控能够让您收集流量路径之外的攻击流量和模式的相关信息与统计数据。

购买方式

购买方式

订阅

确定所需实例个数,并注册 1 年、2 年或 3 年期订阅,其包括更新的支持和维护。

永久

确定所需的实例个数,并设置许可协议。永久许可的效力覆盖整个产品生命周期,可按单个服务或以套餐形式提供。

企业许可协议 (ELA)

ELA 按 1 年期、2 年期或 3 年期提供,为大型组织提供灵活性,以按需启动或关闭虚拟实例。其中包含产品维护和支持。

实用工具

通过 Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud Platform 购买所需的服务实例,只需依据实际使用情况按小时支付费用。

防范 WEB 欺诈

数字创新改变一切:金钱无处不在,因此每家企业都可能成为欺诈的目标。犯罪分子会利用各种创新性、复杂且隐秘的工具与策略来评估及恶意利用易受攻击的应用程序和流程,您必须能够识别和对抗这些工具与策略,才能有效应对欺诈风险。F5 Web 欺诈防护解决方案提供应用程序保护、网络安全、访问控制、威胁情报和端点检查组合,为您提供所需的工具,让您能够在欺诈活动危害您的企业之前便予以制止。

WEB 应用程序和 API 保护产品

WEB 应用程序和 API 保护产品

F5 高级 WAF

F5 高级应用程序防御功能套件提供了全面的保护,并能够轻松适应环境,这对贵组织具有巨大意义。

了解更多 >

管理您的解决方案

管理您的解决方案

需要帮助管理您的 WAF 安全解决方案?F5 为您提供多个培训机会及多项专业服务。

了解更多 >

自托管

面向本地、并置数据中心或公有云环境的设备或软件虚拟映像,让您能够直接掌控 Web 应用程序安全性。

部署您的解决方案

部署您的解决方案

硬件和软件中均可使用 F5 Web 应用程序安全解决方案以满足部署需求。

需要帮助部署您的 F5 解决方案?

了解更多 >

本地:内联/拦截

内联 Web 应用程序和 API 保护会实时分析请求、随请求做出改变以及过滤请求,以确保为托管应用程序提供持续保护。此模型可确保您的应用程序不论在哪里部署,均可得到防护。

本地:内联/监控

为未经过滤的托管应用程序实施被动式 Web 保护,在没有能够拦截攻击流量的始终启动的作用中缓解措施时,为您提供洞察信息和分析。当您遭遇攻击时,能够按需拦截并进行主动过滤。

购买方式

购买方式

订阅

确定所需实例个数,并注册 1 年、2 年或 3 年期订阅,其包括更新的支持和维护。

永久

确定所需的实例个数,并设置许可协议。永久许可的效力覆盖整个产品生命周期,可按单个服务或以套餐形式提供。

企业许可协议 (ELA)

ELA 按 1 年期、2 年期或 3 年期提供,为大型组织提供灵活性,以按需启动或关闭虚拟实例。其中包含产品维护和支持。

实用工具

通过 Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud Platform 购买所需的服务实例,只需依据实际使用情况按小时支付费用。

防御 OWASP 十大威胁

保护您的应用程序不受现有和新兴 OWASP 十大威胁的影响,需要深度防御应用程序保护策略。F5 提供全面保护解决方案,这些解决方案经过集成并相互协作,结合了机器学习并获得威胁情报支持,甚至可以提前设防,拦截最先进的威胁。

WEB 应用程序和 API 保护产品

Web 应用程序和 API 保护产品

F5 高级 WAF

F5 高级应用程序防御功能套件提供了全面的保护,并能够轻松适应环境,这对贵组织具有巨大意义。

了解更多 >

F5 SILVERLINE WAF

云中始终启用或按需可用的托管 WAF 为您提供所需的全面防御,并满足您对易管理性的期望。

了解更多 >

F5 SILVERLINE WAF 专门服务

云中的这种自助服务 WAF 消除了 WAF 管理的复杂性,利用专业维护的策略提高了部署速度,并降低了运营费用。

了解更多 >

面向 AWS WAF 的 F5 规则

这套面向 AWS WAF 的规则有助于防范常见的漏洞和暴露,与 AWS WAF 无缝集成,并由 F5 专业托管。

了解更多 >

管理您的解决方案

管理您的解决方案

需要帮助管理您的 WAF 安全解决方案?F5 为您提供多个培训机会及多项专业服务。

了解更多 >

完全托管

F5 Silverline WAF 提供始终启动或按需可用的完全托管 WAF 防御,满足您的需求,并满足您对易管理性的期望。

自助服务

专门服务选项能够跨混合环境快速自助服务部署专业维护的策略,以保护应用程序,不拘其所在位置。

自托管

面向本地、并置数据中心或公有云环境的设备或软件虚拟映像,让您能够直接掌控 Web 应用程序安全性。

部署您的解决方案

部署您的解决方案

硬件和软件中均可使用 F5 Web 应用程序安全解决方案以满足部署需求。

需要帮助部署您的 F5 解决方案?

了解更多 >

在本地或云端交付:内联/拦截

内联 Web 应用程序和 API 保护会实时分析请求、随请求做出改变以及过滤请求,以确保为托管应用程序提供持续保护。此模型可确保您的应用程序不论在哪里部署,均可得到防护。

在本地或云端交付:内联/监控

为未经过滤的托管应用程序实施被动式 Web 保护,在没有能够拦截攻击流量的始终启动的作用中缓解措施时,为您提供洞察信息和分析。当您遭遇攻击时,能够按需拦截并进行主动过滤。

本地:路径外/监控

如果您不想部署内联缓解措施或调整您的网络拓扑,路径外监控能够让您收集流量路径之外的攻击流量和模式的相关信息与统计数据。

购买方式

购买方式

订阅

确定所需实例个数,并注册 1 年、2 年或 3 年期订阅,其包括更新的支持和维护。

永久

确定所需的实例个数,并设置许可协议。永久许可的效力覆盖整个产品生命周期,可按单个服务或以套餐形式提供。

企业许可协议 (ELA)

ELA 按 1 年期、2 年期或 3 年期提供,为大型组织提供灵活性,以按需启动或关闭虚拟实例。其中包含产品维护和支持。

实用工具

通过 Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud Platform 购买所需的服务实例,只需依据实际使用情况按小时支付费用。

防止未经授权的应用程序访问

超过半数的数据泄露事件与弱密码、默认密码或密码被盗有关。原因是什么呢?简而言之,密码疲劳导致弱密码和重复使用密码。F5 应用程序访问解决方案通过集成、基于标准的联合身份验证和单一登录 (SSO) 及自适应多重身份验证 (MFA) 随时随地提供安全访问。

WEB 应用程序和 API 保护产品

Web 应用程序和 API 保护产品

F5 高级 WAF

F5 高级应用程序防御功能套件提供了全面的保护,并能够轻松适应环境,这对贵组织具有巨大意义。

了解更多 >

F5 SILVERLINE WAF

云中始终启用或按需可用的托管 WAF 为您提供所需的全面防御,并满足您对易管理性的期望。

了解更多 >

F5 SILVERLINE WAF 专门服务

云中的这种自助服务 WAF 消除了 WAF 管理的复杂性,利用专业维护的策略提高了部署速度,并降低了运营费用。

了解更多 >

 
管理您的解决方案

管理您的解决方案

需要帮助管理您的 WAF 安全解决方案?F5 为您提供多个培训机会及多项专业服务。

了解更多 >

完全托管

F5 Silverline WAF 提供始终启动或按需可用的完全托管 WAF 防御,满足您的需求,并满足您对易管理性的期望。

自助服务

专门服务选项能够跨混合环境快速自助服务部署专业维护的策略,以保护应用程序,不拘其所在位置。

自托管

面向本地、并置数据中心或公有云环境的设备或软件虚拟映像,让您能够直接掌控 Web 应用程序安全性。

部署您的解决方案

部署您的解决方案

硬件和软件中均可使用 F5 Web 应用程序安全解决方案以满足部署需求。

需要帮助部署您的 F5 解决方案?

了解更多 >

在本地或云端交付:内联/拦截

内联 Web 应用程序和 API 保护会实时分析请求、随请求做出改变以及过滤请求,以确保为托管应用程序提供持续保护。此模型可确保您的应用程序不论在哪里部署,均可得到防护。

在本地或云端交付:内联/监控

为未经过滤的托管应用程序实施被动式 Web 保护,在没有能够拦截攻击流量的始终启动的作用中缓解措施时,为您提供洞察信息和分析。当您遭遇攻击时,能够按需拦截并进行主动过滤。

本地:路径外/监控

如果您不想部署内联缓解措施或调整您的网络拓扑,路径外监控能够让您收集流量路径之外的攻击流量和模式的相关信息与统计数据。

购买方式

购买方式

订阅

确定所需实例个数,并注册 1 年、2 年或 3 年期订阅,其包括更新的支持和维护。

永久

确定所需的实例个数,并设置许可协议。永久许可的效力覆盖整个产品生命周期,可按单个服务或以套餐形式提供。

企业许可协议 (ELA)

ELA 按 1 年期、2 年期或 3 年期提供,为大型组织提供灵活性,以按需启动或关闭虚拟实例。其中包含产品维护和支持。

实用工具

通过 Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud Platform 购买所需的服务实例,只需依据实际使用情况按小时支付费用。

Want to save time and money with a smarter WAF solution? Estimate the ROI of Advanced WAF for your organization

了解您所面对的威胁

保护 Web 应用的第一步是了解它们可能受到哪些破坏。 

应用服务

注入攻击

当外部来源提供的输入中包含了来自攻击者的隐藏应用命令时,就会产生注入。当 Web 应用无法正确过滤输入时,就会允许将已注入的命令传递到本地系统或从属系统。由于大部分应用会依赖用户的输入来构建 SQL 语句,从而获取信息或进行登录,因此 SQL 注入就成为了最典型的注入方式。

跨站点脚本攻击 (XSS)

跨站点脚本攻击 (XSS) 允许攻击者在受害者访问站点时的可信环境中,在受害者的浏览器内运行攻击者自建的恶意脚本。XSS 可用于窃取会话令牌、启动隐藏的事务或显示伪造的或误导性的内容。更复杂的 XSS 脚本甚至可以加载密钥记录器,将受害者的密码转发给攻击者运行的命令和控制服务器。

中间人攻击 (MitM)

攻击者对网络双方之间的对话或连接两方都获得了完全的访问权限,使其能够窃听敏感数据、篡改传输的数据,甚至注入虚假数据或命令,并使之被解释为真实的、经过身份验证的,或其他类型的可信数据或命令。

敏感数据泄露

通过自动扫描程序很容易就会获得无意间暴露的敏感信息,并且其利用手段已经相当成熟。最常见的例子有详细记录了非预期输入的处理方式、服务器上的文件物理位置、组件和库的具体版本、以及函数错误引发的堆栈轨迹等错误消息。

不安全的反序列化

对象序列化能够将对象转换成数据格式;而反序列化则读取结构化的数据,并从中重新构建出对象。大部分编程语言都提供了原生的序列化功能,或允许自定义序列化进程,可能会受到恶意攻击者的利用。不安全的反序列化会导致远程代码执行、拒绝服务、重放、注入和特权升级攻击。

会话劫持

HTTP 应用环境中的会话劫持通常会牵涉到窃取用于身份验证和后续用于向已知用户发起的 HTTP 请求进行授权的会话 cookie。通过被盗的会话 cookie,攻击者可以有效地伪装成受害者来发起欺诈的事务。

资源囤积(倒卖)

黄牛利用机器人和其他自动化手段,以快于常人的速度购买紧缺物品,如音乐会票或限量版产品。随后将这些产品以很高的价格转卖给实际消费者。长此以往,消费者将不再相信您是其所需产品和服务的可靠来源。

浏览器中间人攻击

攻击者利用某种基于浏览器的恶意软件来读取 HTTP 消息、拦截数据或发起恶意事务。事实上,攻击者会侵入浏览器会话,从而监视用户并窃取用户凭据、登录信息和会话数据。

Arrow

访问

凭据盗窃

大部分用户即使设备受到攻击也无法意识到自己感染了恶意软件。他们的凭据会被恶意软件所控制的网页浏览器所窃取,然后被用于接管用户帐户或在公司网络中横向传播。

暴力破解

攻击者使用多种用户名和密码的组合,通常是字典或常用密码或密码短语,企图未经授权获得应用或网站的访问权限。

撞库攻击

攻击者利用先前泄露的用户名/密码对进行自动注入,从而通过欺诈手段获得访问权限并接管用户帐户。泄露的凭据还可以在暗网中出售,用户经常会在多个不同的应用或网站中频繁重复使用相同的密码已成为了公开的秘密。

浏览器中间人攻击

攻击者利用某种基于浏览器的恶意软件来读取 HTTP 消息、拦截数据或发起恶意事务。事实上,攻击者会侵入浏览器会话,从而监视用户并窃取用户凭据、登录信息和会话数据。

Arrow

了解如何在不干扰善意 Bot 的前提下抵御恶意 Bot。

全局可用性

全局可用性

保持应用健康运行,可供用户随时随地使用。

缩短的上市时间

缩短的上市时间

加快应用上线推出、送入客户手中的效率。

动态防御

动态防御

解决方案具有适应性,可随业务增长而发展,从而抵御紧急威胁。 

不断改进的应用智能

不断改进的应用智能

过滤掉多余的交互,改进应用的商业智能。

高级的威胁为何需要高级 WAF 来防护

本次网络点播研讨会深入探讨了我们所面临的挑战以及如何正面应对这些挑战。

客户案例

Premier Management Company 运用 F5 基于云的 WAF 保护医疗数据

立即开始

安全产品

了解我们专为您的应用安全需求量身定制的强大产品组合。

购买前请先试用

获取 30 天免费试用—立即查看哪些产品提供试用版本。

获取最新威胁情报

具有可操作性的应用威胁情报,全方位分析网络攻击的对象、目标、时间、原因、方式及后续步骤,造福整个安全社区。