2022年6月24日，由中国信息通信研究院（以下简称“中国信通院”）与中国通信标准化协会联合主办的首届“业务与应用安全发展论坛”在线上顺利举办。

如今的互联网环境越来越复杂，据Gartner报告显示，75%的网络安全攻击发生在Web应用层，面对攻防严重不对称，攻为点、防为面的局面，企业面临的安全威胁不断升级。

Web应用防火墙是保障用户应用层安全的重要产品之一，而云WAF则是其中重要的组成部分，也是未来的发展趋势。中国信通院联合火山引擎等众多业内专家，共同编写了《云Web应用防火墙能力要求》标准，也依据标准开展首批云Web应用防火墙能力评估。

经过材料审查、技术测试和专家答辩，火山引擎云安全的Web应用防火墙凭借在云安全领域的竞争实力顺利通过评估。

火山引擎Web应用防火墙在服务接入、安全防护、通用安全能力、性能与可拓展性、可靠性等5大类指标能力要求中表现优异，充分验证该产品的安全防护能力及服务水平达到了业内领先水平。

火山引擎Web应用防火墙是字节跳动网络安全团队基于多年的安全防护经验，从实际业务场景出发而推出的一站式Web业务运营风险防护解决方案，通过接入支撑、安全防护、运营管理等方面的能力，为网站或 App 业务，提供完整、灵活、强大的Web应用防护体系。

在接入层面，火山引擎Web应用防火墙具备接入的方便性和多样性，可以适配不同的接入架构体系，包括但不局限于：Sass型、负载均衡型、高防型等。

在安全防护层面，企业面临多种应用安全问题，火山引擎Web应用防火墙可以帮助企业构建全方位、一站式的防护能力，有效防御多种漏洞入侵，例如： SQL 注入、XSS 跨站脚本、非授权访问、OWASP 10攻击等类型。此外还可以帮助企业有效过滤 CC 攻击，实现Bot管理、API安全防护、敏感信息防泄漏、0day漏洞虚拟补丁等功能。

在架构体系上，火山引擎Web应用防火墙依托于以集群为形式的多种算力模型和多个复合检测引擎，确保安全防护能力稳定高效。同时，各模型之间能够联防联动，确保安全防护准确率达到95%以上，并且在 0.1 小时内完成自动防护策略的生成及响应处置，确保防护及时性。

涉及到模型包括但不局限于：

· 基础漏洞检测模型

· 异常检测模型

· 离线分析检测模型

· 智能AI分析模型

......

涉及到技术包括但不局限于：

· 多种复合多因子检测引擎

· BOT大数据识别

· 海量数据智能研判

· 语义分析

· 链路追踪

· 客户端画像

......

未来，火山引擎云安全的Web应用防火墙将在智能化检测、大数据分析、攻防对抗服务等能力上持续性投入，帮助企业构建安全产品+安全服务+安全运营于一体的纵深防护体系，为企业的应用安全保驾护航。