伴隨各行業數字化轉型深入，越來越多業務應用系統遷移到互聯網平臺，以Web攻擊為代表的應用層安全威脅日漸凸顯。2022年12月，就有多個團伙通過散播惡意URL，利用社保公積金漏洞，非法獲取2300萬條公民個人信息，給社會治安帶來了極大的隱患。

此類事件每時每刻都在發生，大多數Web業務始終毫無防護地暴露在攻擊者的視野下。究其原因，是HTTP協議在設計之初對安全考慮的不規范，黑客可以很輕易地通過Web漏洞發起各類攻擊。因此，選擇一款合適的Web應用防火墻設備來保障Web業務安全運行，顯得極為重要。

天融信自主研發Web應用安全防護系統（TopWAF）力爭站好Web業務安全“前哨”，預警、預防、阻斷三位一體，構筑“參數自學習、漏掃加補丁、正向建防御、數據全分析”四大安全防線，全面守護基層Web業務安全。

TopWAF：參數自學習，動態防偷襲

基于自學習建模的主動防御引擎，TopWAF針對URI和POST表單進行自主學習，建立目標服務器所有動態頁面的正向模型，以主動防御策略配合正向模型，阻斷不符合正向模型的異常流量，有效防御0day攻擊。

TopWAF：漏掃加補丁，敵情曉于心

內置漏洞掃描系統，檢測被保護站點存在的安全漏洞以及風險等級。管理員可依據漏洞掃描結果報告，針對性修復站點安全漏洞，增強站點安全性。此外，TopWAF支持虛擬補丁功能，將漏掃報告直接導入設備，自動生成對應的防護規則，主動防御未知攻擊，防患于未然。

TopWAF：正向建防御，業務無憂慮

依托于天融信阿爾法實驗室業內卓越的漏洞挖掘與攻防分析能力，TopWAF內置的精準規則庫可對Web流量雙向深度檢測，有效防護多種針對Web站點的攻擊行為，諸如SQL注入攻擊、XSS、CSRF、信息泄露等OWASP TOP10內容。

TopWAF基于先進的源信譽檢查機制，根據長期流量模型學習結果和歷史記錄，動態感知惡意流量，有效防御各類型應用層DDos攻擊。同時提供網頁防篡改功能，采用自動恢復機制，解決網頁被惡意修改的問題，確保Web服務器為真實用戶提供服務，保證客戶業務連續性。

TopWAF：數據全分析，威脅無遁形

TopWAF可實時顯示系統運行情況，直觀展示網絡中的攻擊行為（包括攻擊參數信息、攻擊類型、觸發規則、攻擊檢測過程、篡改行為、DDoS攻擊信息等），提供威脅統計功能，分析防護對象受到攻擊信息，生成攻擊日志。依據日志報表信息，管理人員可快速追蹤攻擊來源、網站漏洞等，及時調整安全策略，保障網絡安全。

● 在某政府網站防護項目中，為解決針對政府Web應用的攻擊問題，TopWAF部署于內外網Web應用服務器前端，提供事前預警、事中防御、事后審計的立體化安全防護，助力客戶網站有效抵御多業務場景下的自動化攻擊。

● 在某高校網站建設項目中，高校官網對外業務的DMZ區無法下線，網絡結構不便調整，TopWAF采用旁路部署，針對Web應用進行流量監測分析，同時聯動天融信下一代防火墻，及時阻斷各種Web攻擊行為。在校園內部Web集群前端，雙臺TopWAF設備采用HA方式部署，有效保證內網Web應用連續性、可靠性。

截至目前，天融信TopWAF產品已覆蓋政府、能源、醫療、教育、金融、運營商等諸多行業，獲得客戶的廣泛應用和高度認可。此外，天融信TopWAF產品多次受到國際權威機構的認可，2021、2022連續兩年入圍Frost & Sullivan，躍居大中華區硬件WAF市場排名前三。

未來，天融信將繼續全面提升自主創新能力與核心競爭力，在Web應用安全領域持續深耕創新，不斷加大對安全技術的研究投入，向客戶提供綜合性的應用安全防御能力，為業務的安全、平穩運行保駕護航。