Web Application Firewall

阻止攻击并修补Web应用程序漏洞。

 

业界领先的云服务，可扩展的、简单和强大地保护Web应用程序

 

“我们很高兴Qualys WAF将允许我们快速采取行动，并通过使用一键虚拟修补功能修复活动漏洞来应对威胁。”

 

David Cook Jive软件公司的首席安全官

 

亮点

 

 

真实、集成的Web应用程序安全性

Qualys为您提供了一个用于Web应用程序漏洞检测（QualysWAS）和保护（Qualys WAF）的单一交互式控制台，用于无缝识别和降低风险，适用于十几个应用程序或数千个应用程序。使用WAS扫描您的Web应用程序，并部署虚拟补丁以确认WAF的漏洞。您可以从一个集中的门户管理这一切。安全团队现在可以在不需要网络安全团队参与的情况下保护其Web应用程序，从而降低操作复杂性和成本。

 

 

 

快捷云

由于无需购买或维护特殊硬件，Qualys WAF的虚拟设备可以使用VMware、Hyper-V或Docker在内部快速部署和扩展；也可以在公共云平台（如AWS、Azure或Google云平台）中部署和扩展。应用程序流量保持在您的环境中，以最小化延迟并保持控制。WAF持续与Qualys云平台通信，跟踪配置更改并向其发送最新的安全事件。

 

 

 

全面了解防火墙操作

通过WAF，您可以全面了解其数据，以便持续监控、风险评估和补救计划。仪表盘汇总网站流量信息和安全事件趋势。详细的威胁信息使您能够评估严重性并调整安全设置。搜索可疑活动并深入到威胁数据中，以获得可操作的见解。WAF不断地将安全事件索引到您的本地Elastic搜索或Splunk集群中，使您的数据立即可被发现。

 

 

强大的规则，灵活的控制

WAF使用由Qualys的安全智能支持的安全策略和对安全事件的单击响应来保护您的Web应用程序。您可以使用简单、可定制和可重用的策略和规则来满足自己的安全需求。Qualys的打开即用的策略是为流行的平台设计的，如WordPress、Joomla、Drupal、Outlook Web应用程序和SharePoint。它还包括用于未知应用程序和框架的通用模板。

 

 

通过阻止对Web服务器漏洞的攻击来防止漏洞

您不能保护自己，也不能保护自己免受网络中不知道的东西的侵害，比如未经批准的设备和未经授权的软件。Qualys为您提供了所有硬件和软件的全面横向可视性，可扩展到数百万资产——内部部署、云实例和移动端点。

 

保护云应用程序

• 通过在您的网络应用程序旁边部署Qualys虚拟防火墙设备，快速轻松地保护公共或私有云中的应用程序。无需购买或维护特殊硬件

• 根据需要添加尽可能多的应用程序，因为这些虚拟机可以无缝扩展。

• 通过内置的负载平衡和应用程序监控，确保业务关键型Web应用程序的高性能和可用性。

• 由于Qualys WAF的卸载能力，强制应用程序的SSL/TLS层

 

通过Qualys WAF的自适应策略，采用新的Web应用程序安全方法，这些策略始终是最新的，不需要专门的专业知识，也不需要复杂的规则集来配置和维护。

• 点击几下描述每个应用程序的安全级别，Qualys WAF自动决定在不同情况下要做什么。

• 使用Qualys通用模板简化QualysWAF配置，或使用内置的安全策略为流行平台（如WordPress、Joomla、Drupal和Outlook Web应用程序、SharePoint）简化Qualys WAF配置

 

• 通过可定制的保护，保护自己免受当前和未来的威胁

• 使用本机保护阻止各种攻击，如跨站点脚本（XSS）、SQL注入、远程命令执行、XXE等。随着新的威胁出现，Qualys的安全专家更新了WAF的规则，然后由专有的检测引擎下载和发现。

• 定制Qualys WAF如何处理不同类型的威胁，从简单记录事件到主动阻止事件。

• 创建自定义安全规则以满足应用程序的特定安全需求并减少攻击面。

• 通过对应用程序延迟的控制，补充网络DDoS防御，维持网站正常运行时间。

 

通过Qualys WAF针对现代Web浏览器的安全功能，保护您的用户免受点击劫持、跨站点脚本（XSS）和其他基于浏览器的攻击

 

将WAF API集成到您的DevSecOps环境中，并保护托管您快速迭代开发和部署的应用程序的Web服务器

 

得益于WAF和WAS之间的本地深度集成

 

授权安全专业人员快速发现和缓解关键安全问题。通过新的ScanTrust功能，Qualys WAF与Qualys WAS的结合为您的Web应用程序提供了真正的可视性：使用WAS检测、使用WAF保护并获得可扩展扫描、误报减少和对Web应用程序的单击修补。

 

• 在单个控制台上，使用WAS检测Web应用程序（包括移动和物联网应用程序）中的漏洞，并通过一次单击，通过WAF虚拟补丁减轻漏洞。

• 利用创建这些虚拟修补程序规则来微调策略、消除误报并自定义安全规则

• 避免因试图粘合单独、孤立的解决方案而产生的冗余和间隙。通过减少员工来降低运营成本

• 通过将WAF规则和策略与WAS扫描数据相结合，评估并创建Web事件例外，以更好地确定优先级并减轻漏洞。

• 通过一组丰富、广泛的API将Web应用程序扫描数据集成到其他安全和合规系统中，如防火墙、SIEM和ERM解决方案。

 

简化IT合规性

员工比以往更容易绕过IT部门并采用Web应用程序，这一趋势会产生重大的安全和合规风险。同时，影响信息安全技术和流程的政府法规、行业规定和内部政策的数量和复杂性持续增长。WAF可以帮助您遵守。

• 解决需要应用防火墙的要求，如PCI DSS 6.6

• 通过限制特定国家或网络地址块的访问，遵守禁止从特定位置访问特定Web应用程序或信息的政策和法规。

• 通过阻止用户以未经批准或可疑格式上传或下载内容或文件的能力，防止敏感数据的传输。

 

 

 

可视化和报告

您需要一种简单、直观的方式来同时了解所有Web应用程序的安全性。WAF使您的安全团队能够完全了解其数据，以便进行持续监控、风险评估和补救路径。用于可视化和报告的WAF工具包括一个图形丰富的仪表盘、交互式见解以及有关每个威胁和解决方法的详细信息。

• 在仪表板中发现异常模式，显示网站流量汇总信息和WAF安全事件的趋势，包括事件发生的时间和来源。

• 利用有关WAF检测到的每个威胁的详细信息，快速评估严重性并调整安全设置以进行积极的缓解或最小化误报。

• 使用广泛的过滤和动态搜索功能来识别可疑活动，深入了解威胁数据和Qualys知识库，并获得对威胁形势的可操作见解。

 

 

由Qualys Cloud Platform提供支持

 

 

Single-pane-of-glass UI

在一个地方以秒为单位查看结果。有了AssetView，安全和合规专业人员和经理可以从一个仪表板界面获得其所有IT资产的完整且不断更新的视图。它完全可定制，让您看到大局，深入了解细节，并为队友和审计员生成报告。它直观、易于构建的动态仪表盘将您的所有IT安全和合规性数据从所有Qualys云应用程序聚合并关联到一个地方。凭借其强大的弹性搜索集群，您现在可以使用2秒钟的可视性搜索任何资产（内部部署、端点和所有云）。

 

 

 

集中和定制

集中发现多种评估类型的主机资产。组织主机资产组以匹配您的业务结构。通过端到端加密和强大的访问控制，保持安全数据的私密性。您可以通过企业单一登录（SSO）集中管理用户对Qualys帐户的访问。Qualys支持基于SAML2.0的身份服务提供者。

 

 

 

部署容易

从公共或私有云部署—完全由Qualys管理。有了Qualys，就没有服务器可供配置，没有软件可供安装，也没有数据库可供维护。您始终可以通过浏览器使用最新的Qualys功能，而无需设置特殊的客户端软件或VPN连接。

 

 

 

大规模的和可扩展的

按需求在全球范围内扩大规模。通过可扩展的基于XML的API与其他系统集成。您可以将Qualys用于广泛的安全和合规系统，如GRC、票务系统、SIEM、ERM和IDS。