云服务器内容精选
-
404 Not Found错误排查思路和处理建议 网站接入WAF后,访问网站时出现404 Not Found错误,请参考图1进行排查处理。 图1 404错误排查思路 如果访问网站返回如图2所示页面,原因和处理建议说明如下: 图2 404页面 原因一:添加防护 域名 到WAF时,配置了非标准端口,例如配置了如图3所示的非标准端口业务,访问网站时未加端口用“https://www.example.com”或者“https://www.example.com:80”访问网站。 图3 非标准端口配置 处理建议:在访问链接后加上非标准端口,再次访问源站,如“https://www.example.com:8080”。 原因二:添加防护域名到WAF时,没有配置非标准端口,访问时使用了非标准端口或者“源站端口”配置的非标准端口,例如配置了如图4所示的防护业务,用“http://www.example.com:8080”访问网站。 图4 未配置非标准端口 没有配置非标准端口的情况下,WAF默认防护80/443端口的业务。其他端口的业务不能正常访问,如果您需要防护其他非标准端口的业务,请重新进行域名配置。 处理建议:直接访问网站域名,如“https://www.example.com”。 原因三:域名解析错误。 处理建议: 如果该域名已添加到WAF进行防护,参照域名解析重新完成域名接入的操作,使流量经过WAF进行转发。 如果该域名未添加到WAF进行防护,需要在DNS服务商处将域名解析到源站的IP。 原因四:用户 多个域名 走同个WAF集群回源到同一个后端HTTPS源站+端口,由于WAF回源是长连接复用的,后端源站节点无法分辨是哪个域名(nginx通过Host和SNI分辨),会有一定几率出现A域名的请求转发到B域名的后端,所以会出现404。 处理建议:修改域名在WAF的后端配置,不同的域名走不同的源站端口进行规避。 如果访问网站时,返回的不是图2所示的404页面,原因和处理建议说明如下: 原因:网站页面不存在或已删除。 处理建议:请排查网站问题。
-
步骤四:配置黑白名单设置规则拦截恶意IP 在左侧导航树中,选择“防护策略”,进入“防护策略”页面。 单击目标策略名称,进入目标策略的防护配置页面。 选择“黑白名单设置”配置框,开启黑白名单设置策略。 :开启状态。 :关闭状态。 在“黑白名单设置”规则配置列表上方,单击“添加规则”,按照如图2所示进行配置。 IP/IP段或地址组:IP/IP段。如果您需要拦截多个IP,可选择“地址组”。 IP/IP段:根据实际情况配置需要拦截的IP或IP段。 防护动作:拦截。 图2 拦截指定IP 单击“确认”,完成配置。
-
步骤二:将防护网站通过ELB接入方式添加到WAF 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。 在网站列表左上角,单击“添加防护网站”。 选择“云模式-ELB接入”,并单击“开始配置”。 在“添加域名”页面,配置信息如图1所示。 ELB(负载均衡器):选择的ELB,需要确认防护网站对应的服务器地址已添加到该ELB。 ELB监听器:“所有监听器”。 防护域名:需要通过WAF防护的域名或IP,以处以“www.example.com”为例。 策略配置:系统自动生成策略。 图1 域名配置信息 单击“确认”。
-
准备工作 在购买 Web应用防火墙 之前,请先 注册华为账号 并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证,请忽略此步骤。 请保证账户有足够的资金,以免购买Web应用防火墙失败。具体操作请参见账户充值。 请确保已为账号赋予相关WAF权限。具体操作请参见创建用户组并授权使用WAF。 表1 WAF系统角色 系统角色/策略名称 描述 类别 依赖关系 WAF Administrator Web应用防火墙服务的管理员权限。 系统角色 依赖Tenant Guest和Server Administrator角色。 Tenant Guest:全局级角色,在全局项目中勾选。 Server Administrator:项目级角色,在同项目中勾选。 WAF FullAccess Web应用防火墙服务的所有权限。 系统策略 无。 WAF ReadOnlyAccess Web应用防火墙的只读访问权限。 系统策略
-
各版本支持的功能特性 云模式各个版本、独享模式适用的安全功能特性如表3所示,请您根据业务需求选择对应的服务版本。其中,云模式支持入门版、标准版、专业版和铂金版,您可以通过变更WAF云模式版本和规格从较低版本升级到任一更高版本,以满足更多防护功能需求。 云模式的专业版和铂金版支持定制非标准端口,您可以提交工单申请开通定制的非标准端口。 标识说明: √:表示在当前版本中支持。 ×:表示在当前版本中不支持。 -:表示不涉及,通过ELB实现。ELB支持的功能特性详见弹性负载均衡功能特性对比。 表3 安全功能特性 功能模板 云模式-CNAME接入 云模式-ELB接入 独享模式 入门版 标准版 专业版 铂金版 域名/QPS/规则扩展包 × √ √ √ √(与CNAME接入共用配额) × 域名备案检查 √ √ √ √ × × 支持添加泛域名 × √ √ √ √ √ 非80、443标准端口防护 × √ √ √ - √ 非80、443标准端口定制 × × √ √ - × 批量灵活配置防护策略 √(仅支持批量配置全局白名单规则) × √ √ √ √ 为防护策略批量配置适用的防护域名 × × √ √ √ √ 支持IPv6防护 须知: 支持IPv6防护的版本,请参考哪些版本支持IPv6防护? × × √ √ - × 常见的Web应用攻击防护,包括SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等 √ √ √ √ √ √ 云端自动更新最新0Day漏洞防护规则,及时下发0Day漏洞虚拟补丁 √ √ √ √ √ √ Webshell检测 √ √ √ √ √ √ 深度检测,同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸检测 √ √ √ √ √ √ header全检测,对请求里header中所有字段进行攻击检测 √ √ √ √ √ √ CC攻击防护 × √ √ √ √ √ 精准访问防护 × √(不支持全检测) √ √ √ √ 引用表管理 × × √ √ √ √ IP黑白名单设置,支持批量导入IP地址/IP地址段 × √ √ √ √ √ 支持对指定国家、省份的IP自定义访问控制 × × √ √ √ √ 网页防篡改 × √ √ √ × √ 检测并拦截搜索引擎、扫描器、脚本工具、其它爬虫等爬虫行为 × × √ √ √ √ 检测并拦截JS脚本反爬虫检测行为 × × √ √ × √ 防敏感信息泄露 × × √ √ × √ 全局白名单规则 √ √ √ √ √ √ 隐私屏蔽 × √ √ √ √ √ 资源建议 - - - - - 使用独享实例时,建议在 云监控 ( CES )服务配置资源监控及告警:建议CPU使用率不超过70%,内存使用率不超过80% 说明: 当业务请求较大或自定义防护策略复杂时,会增加对CPU、内存的消耗;极端情况下,性能指标会有较大波动。建议根据业务模型压测后,做好性能规格的评估。
-
各版本支持的业务规格 WAF各个模式适用的业务规格如表2所示。其中,购买云模式时您可以选择购买域名扩展包、QPS扩展包和规则扩展包,以满足更多域名、更大流量的防护需求,也可以购买额外的扩展包或者通过变更WAF云模式版本和规格从较低版本升级到任一更高版本。 购买了云模式标准版、专业版或铂金版,才支持使用ELB接入的方式,其业务规格与购买的云模式版本的对应规格一致。 扩展包限制和规格说明如下: 一个域名包支持10个域名,限制仅支持1个一级域名和与一级域名相关的子域名或泛域名。 一个QPS扩展包的QPS限制和带宽限制: 对于部署在华为云的Web应用 业务带宽:50Mbit/s 每秒钟的请求量:1000QPS(Queries Per Second,例如一个HTTP GET请求就是一个Query) 对于未部署在华为云的Web应用 业务带宽:20Mbit/s 每秒钟的请求量:1000QPS(Queries Per Second,例如一个HTTP GET请求就是一个Query) 一个规则扩展包包含10条IP黑白名单防护规则。 域名个数为一级域名(例如,example.com)、单域名/二级域名等子域名(例如,www.example.com)和泛域名(例如,*.example.com)的总数。例如,标准版支持防护10个域名,可以添加1个一级域名和9个与其相关的子域名或泛域名。 同一个域名对应不同端口视为不同的域名,例如www.example.com:8080和www.example.com:8081视为两个不同的域名,将占用两个不同的域名防护额度。 WAF支持上传的证书套数和WAF支持防护的域名的个数相同。例如,购买了标准版WAF(支持防护10个域名)、1个独享版WAF(支持防护2,000个域名)和域名扩展包(20个域名),WAF可以防护2,030个域名,则WAF支持上传2,030套证书。 表2 适用的业务规格 业务规格 入门版 标准版 专业版 铂金版 独享模式 正常业务请求峰值 100 QPS业务请求 6,000 回源长连接(每域名) 2,000 QPS业务请求 6,000回源长连接(每域名) 5,000 QPS业务请求 6,000 回源长连接(每域名) 10,000 QPS业务请求 6,000 回源长连接(每域名) 以下数据为单实例规格: WAF实例规格选择WI-500,参考性能: HTTP业务:建议QPS 5,000;极限QPS 10,000 HTTPS业务:建议QPS 4,000;极限QPS 8,000 Websocket业务:支持最大并发连接5,000 最大回源长连接:60,000 WAF实例规格选择WI-100,参考性能: HTTP业务:建议QPS 1,000;极限QPS 2,000 HTTPS业务:建议QPS 800;极限QPS 1,600 Websocket业务:支持最大并发连接1,000 最大回源长连接:60,000 须知: 极限值为实验室测试值,高敏感业务请以实际业务测试数据为准。实际QPS与业务请求数据大小、自定义防护规则种类及数量相关 业务带宽阈值(源站服务器部署在华为云) 10Mbit/s 100Mbit/s 200Mbit/s 300Mbit/s WAF实例规格选择WI-500,参考性能: 吞吐量:500 Mbps WAF实例规格选择WI-100,参考性能: 吞吐量:100 Mbps 业务带宽阈值(源站服务器未部署在华为云) 10Mbit/s 30Mbit/s 50Mbit/s 100Mbit/s - 域名个数 10个(支持1个一级域名) 10个(支持1个一级域名) 50个(支持5个一级域名) 80个(支持8个一级域名) 2,000个(支持2,000个一级域名) 回源IP(单个防护域名支持的回源服务器IP个数) 10个 20个 50个 80个 - 支持的端口个数 说明: 云模式的专业版和铂金版支持定制非标准端口,您可以提交工单申请开通定制的非标准端口。 标准端口:2个(80,443) 标准端口:2个(80,443) 非标准端口:可任意使用WAF支持的端口列表中的端口,不限制数量。 标准端口:2个(80,443) 非标准端口:可任意使用WAF支持的端口列表中的端口,不限制数量。 标准端口:2个(80,443) 非标准端口:可任意使用WAF支持的端口列表中的端口,不限制数量。 标准端口:2个(80,443) 非标准端口:可任意使用WAF支持的端口列表中的端口,不限制数量。 CC攻击防护峰值 - 100,000QPS 200,000QPS 1,000,000QPS WAF实例规格选择WI-500,参考性能: 防护峰值:20,000QPS WAF实例规格选择WI-100,参考性能: 防护峰值:4,000QPS CC攻击防护规则 - 20条 50条 100条 100条 精准访问防护规则 - 20条 50条 100条 100条 引用表规则 - - 50条 100条 100条 IP黑白名单规则 - 1000条 2000条 5000条 1000条 地理位置封禁规则 - - 50条 100条 100条 网页防篡改规则 - 20条 50条 100条 100条 网站反爬虫规则 - - 50条 100条 100条 防敏感信息泄露 - - 50条 100条 100条 全局白名单规则 1000条 1000条 1000条 1000条 1000条 隐私屏蔽规则 - 20条 50条 100条 100条 安全报告模板 5个 5个 10个 20个 20个
-
云模式和独享模式使用说明 请您根据业务需求选择使用云模式-CNAME接入、云模式-ELB接入或独享模式,三种模式的部署架构如图1所示,主要差异说明如表1所示。 图1 部署架构 表1 各模式使用说明 项目 云模式 独享模式 CNAME接入 ELB接入 计费方式 包周期(包年/包月) 购买了云模式标准版、专业版或铂金版后,支持使用ELB接入,域名、QPS、规则扩展包的配额与云模式的CNAME接入方式共用。 按需计费 服务版本 入门版 标准版 专业版 铂金版 - - 使用场景 业务服务器部署在华为云、非华为云或线下。 各服务版本推荐使用的场景说明如下: 入门版 个人网站防护 标准版 中小型网站,对业务没有特殊的安全需求 专业版 中型企业级网站或服务对互联网公众开放,关注数据安全且具有高标准的安全需求 铂金版 中大型企业网站,具备较大的业务规模,或是具有制定个性化防护的安全需求 业务服务器部署在华为云。 大型企业网站,对业务稳定性有较高要求的安全防护需求。 业务服务器部署在华为云。 大型企业网站,具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。 防护对象 域名 域名 IP地址 域名 IP地址 优势 弹性扩容能力强,通过升级规格可以扩容防护能力 可以防护华为云、非华为云和云下的Web业务 支持IPv6防护 不改变业务架构,水平扩展防护能力 旁路部署,业务零影响 可靠性高 当WAF发生故障时,流量将直接通过ELB发送给后端,不影响客户正常业务。 部署灵活 独享引擎实例资源由用户独享 可以满足大规模流量攻击场景防护需求 独享引擎实例部署在VPC内,网络链路时延低
-
防护域名限制 通过云模式-CNAME接入方式接入的域名,请确保域名已经过ICP备案,WAF会检查域名备案情况,未备案域名将无法添加。 同一防护对象不能重复添加到WAF。 同一个域名对应不同非标准端口视为不同的防护对象,例如www.example.com:8080和www.example.com:8081为两个不同的防护对象,且占用两个域名防护配额。如果您需要防护同一域名的多个端口,您需要将该域名和端口逐一添加到WAF。
-
ELB限制 将网站以独享模式接入WAF时,仅支持与独享型ELB配置使用。有关ELB类型的详细介绍,请参见共享型弹性负载均衡与独享型负载均衡的功能区别。 2023年4月之前的独享引擎版本,不支持与独享ELB网络型配合使用。因此,如果您使用了独享ELB网络型(TCP/UDP)负载均衡,请确认独享WAF实例已升级到最新版本(2023年4月及之后的版本)。 将网站以云模式-ELB接入WAF时,仅支持与独享型ELB配套使用,且ELB“规格”必须为“应用型(HTTP/HTTPS)”,不支持“网络型(TCP/UDP)”的独享型的ELB。
-
服务版本限制 同一账号在同一个大区域只能选择一个服务版本。 以“华东区域”为例,同一账号在华东-上海一、华东-上海二只能选购一个WAF版本。 原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域。 服务版本选择: 购买了云模式标准版、专业版或铂金版后,才支持使用“云模式-ELB接入”方式。 使用独享模式WAF时,建议WAF独享引擎实例与源站在同一个VPC中,如果WAF独享引擎实例与源站不在同一个VPC中,可通过对等连接打通两个VPC之间网络。
-
与企业管理的关系 企业中有多个项目,多个项目的资源需要分开结算,且分属不同人员进行管理。同时项目可以单独启动或停止,对其他项目没有影响。企业管理可以针对企业中的每个项目,分别建立企业项目,管理各自的资源,并且针对不同的企业项目,设置不同的人员进行管理。 Web应用防火墙支持企业管理,您可以将Web应用防火墙上的资源按照企业项目进行管理,并设置每个企业项目的用户权限。 目前华北-乌兰察布一区域不支持企业管理功能。
-
计费示例 以包年/包月计费模式为例,假设您在2023/07/08 15:50:04购买了Web应用防火墙云模式的专业版,并分别购买了一个域名扩展包、QPS扩展包和规则扩展包。购买时长为一个月,并在到期前手动续费1个月,则: 第一个计费周期为:2023/07/08 15:50:04 ~ 2023/08/08 23:59:59 第二个计费周期为:2023/08/08 23:59:59 ~ 2023/09/08 23:59:59 图2 包年包月计费
-
计费说明 如您需要快速了解WAF服务的具体价格,请参见WAF价格详情。 图1 WAF的计费方式 表1 计费项信息 购买模式 计费模式 计费项目 计费说明 云模式 包周期(包年/包月) 服务版本(必选) 按购买的服务版本:入门版、标准版、专业版、铂金版计费。 各服务版本支持的业务规格和功能,请参见服务版本差异。 域名扩展包(可选) 按购买的个数计费。 QPS扩展包 (可选) 按购买的个数计费。 规则扩展包(可选) 按购买的个数计费。 购买时长 提供包月和包年的购买模式。 独享模式 按需计费 实例个数 按实际使用时长计费。 内容安全检测服务 包周期(按月/按年) 文本安全监测 按购买的检测类型计费。 按需计费 内容安全单次检测 一次性计费
-
WAF计费模式概述 Web应用防火墙云模式支持包年/包月(预付费)计费方式,独享模式支持按需计费(后付费)计费方式。如您需要快速了解WAF服务不同计费模式的具体价格,请参见WAF价格详情。 包周期(包年/包月):云模式计费模式,使用越久越便宜。包周期计费按照订单的购买周期来进行结算。 按需计费:独享模式计费模式,这种购买方式比较灵活,可以即开即停。 实例从创建成功开始计费到删除实例时结束计费,按实际使用时长(精确到秒)计费。 云模式的ELB接入方式需要提交工单申请开通后才能使用,支持使用的Region请参考功能总览。 购买了云模式标准版、专业版或铂金版后,才支持使用ELB接入方式,域名、QPS、规则扩展包的配额与云模式的CNAME接入方式共用,且ELB接入方式的业务规格与购买的云模式版本的对应规格一致。 表1 计费模式之间的区别 计费模式 包年/包月 按需计费 付费方式 预付费 后付费 计费周期 按订单的购买周期计费。 独享模式:秒级计费,按小时结算。 内容安全检测服务:一次性计费。 适用计费项 云模式:服务版本、域名扩展包、QPS扩展包、规则扩展包 内容安全检测服务:文本安全检测 独享模式:实例个数 内容安全检测服务:检测次数 适用场景 适用于可预估资源使用周期的场景,价格比按需计费模式更优惠。对于长期使用者,推荐该方式。 适用于WAF防护需求波动的场景,可以随时开通,随时删除。 父主题: 计费模式
-
成本优化 成本控制 企业可以在成本中心的“预算管理”页面创建精细粒度的预算来管理成本和使用量,在实际或预测超过预算阈值时,自动发送通知给指定消息接收人。企业还可以创建预算报告,定期将指定预算进展通知给指定消息接收人。 例如:企业需要创建一个WAF的季度成本预算,每季度预算金额为20000元,当预测金额高于预算金额的80%时发送预算告警。那么,创建的预算如下: 图4 预算基本信息 图5 设置成本范围 图6 设置提醒 详细介绍请参见使用预测和预算来跟踪成本和使用量。 资源优化 成本中心可以通过监控WAF服务的历史消费情况和资源使用情况,为客户提供资源的空闲识别和优化建议,寻找节约成本的机会。您还可以根据成本分析阶段的分析结果识别成本偏高的资源,通过 云监控服务 监控资源的使用情况,确定成本偏高的原因,然后采取针对性的优化措施。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
