云服务器内容精选
-
约束条件 准备以独享模式接入WAF的网站已经使用独享型ELB(Elastic Load Balance)作为负载均衡。有关ELB类型的详细介绍,请参见共享型弹性负载均衡与独享型负载均衡的功能区别。 2023年4月之前的独享引擎版本,不支持与独享ELB网络型配合使用。因此,如果您使用了独享ELB网络型(TCP/UDP)负载均衡,请确认独享WAF实例已升级到最新版本(2023年4月及之后的版本),独享引擎版本详情请参见独享引擎版本迭代。 如果WAF前有使用CDN、云加速等七层代理服务器,“是否已使用代理”务必选择“七层代理”,选择“七层代理”后,WAF将从配置的Header头中字段中获取用户真实访问IP,详见配置攻击惩罚的流量标识。 证书限制: WAF当前仅支持PEM格式证书。 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目,则不能选择使用SCM推送的SSL证书。 拥有“SCM Administrator”和“SCM FullAccess”权限的账号才能选择SCM证书。 “防护对象”配置为“*”时,只能防护除80、443端口以外的非标端口。
-
导入新证书 当“对外协议”设置为“HTTPS”时,可以导入新证书。 单击“导入新证书”,打开“导入新证书”对话框。然后输入“证书名称”,并将证书内容和私钥内容粘贴到对应的文本框中。 图4 导入新证书 Web应用防火墙 将对私钥进行加密保存,保障证书私钥的安全性。 WAF当前仅支持PEM格式证书。如果证书为非PEM格式,请参考表2在本地将证书转换为PEM格式,再上传。 表2 证书转换命令 格式类型 转换方式 CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。 PFX 提取私钥命令,以“cert.pfx”转换为“key.pem”为例。 openssl pkcs12 -in cert.pfx -nocerts -out key.pem -nodes 提取证书命令,以“cert.pfx”转换为“cert.pem”为例。 openssl pkcs12 -in cert.pfx -nokeys -out cert.pem P7B 证书转换,以“cert.p7b”转换为“cert.cer”为例。 openssl pkcs7 -print_certs -in cert.p7b -out cert.cer 将“cert.cer”证书文件直接重命名为“cert.pem”。 DER 提取私钥命令,以“privatekey.der”转换为“privatekey.pem”为例。 openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem 提取证书命令,以“cert.cer”转换为“cert.pem”为例。 openssl x509 -inform der -in cert.cer -out cert.pem 执行openssl命令前,请确保本地已安装openssl。 如果本地为Windows操作系统,请进入“命令提示符”对话框后,再执行证书转换命令。 单击“确认”,上传证书。
-
验证独享WAF和ELB是否都正常工作 转发测试 curl -kv -H "Host: {添加到WAF的防护对象}" {ELB对外协议}://{ELB私网的IP}:{ELB监听端口} 如果 ELB 添加了 EIP,可以使用任意公网机器直接进行测试。 curl -kv -H “Host: {添加到WAF的防护对象}” {ELB对外协议}://{ELB公网的IP}:{ELB监听端口} 例如: curl -kv -H “Host: a.example.com” http://192.168.X.Y curl -kv -H “Host: a.example.com” http://100.10.X.X 返回码为200则说明转发成功。 在确保独享引擎工作正常的情况下,如果转发失败,则优先检查ELB配置是否有误(如果ELB健康检查异常可先关闭ELB健康检查再重新执行以上的操作)。 攻击拦截测试 确保网站对应策略已开启基础防护的拦截模式。 执行以下命令: curl -kv -H "Host: {添加到WAF的防护对象}" {ELB对外协议}://{ELB私网的IP}:{ELB监听端口} --data “id=1 and 1=’1” 如果ELB添加了EIP ,可以使用任意公网机器直接进行测试。 curl -kv -H "Host: {添加到WAF的防护对象}" {ELB对外协议}://{ELB公网的IP}:{ELB监听端口} --data “id=1 and 1=’1” 例如: curl -kv -H “Host: a.example.com” http:// 192.168.0.2 --data “id=1 and 1=’1” curl -kv -H “Host: a.example.com” http:// 100.10.X.X --data “id=1 and 1=’1” 返回码为418则说明拦截成功,独享WAF、ELB均工作正常。
-
(可选)单独验证独享WAF是否正常工作 创建一台与独享WAF实例在同一VPC下的E CS 用于发送请求。 通过1中创建的ECS向独享WAF发送请求。 转发测试 curl -kv -H "Host: {添加到WAF的防护对象}" {服务器配置中的对外协议}://{独享WAF的IP}:{防护对象端口} 例如: curl -kv -H "Host: a.example.com" http://192.168.0.1 返回码为 200 则说明转发成功。如果转发未成功,请参见如何排查404/502/504错误?进行排查。 攻击拦截测试。 确保网站对应策略已开启基础防护的拦截模式。 执行以下命令: curl -kv -H "Host: {添加到WAF的防护对象}" {服务器配置中的对外协议}://{独享WAF的IP}:{防护对象端口} --data “id=1 and 1=’1” 例如: curl -kv -H “Host: a.example.com” http:// 192.168.X.X --data “id=1 and 1=’1” 返回码为 418 则说明拦截成功,独享WAF工作正常。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格