华为云用户手册

  • 参数描述 参数 是否必须 类型 描述 page 是 String 用于定义scheme功能,取值为launch。 nonce 是 String 入会身份鉴权的nonce。 nonce获取方式说明:首先调用服务器登录鉴权API“执行App ID鉴权”获取到token;然后调用服务器API“获取页面免登录跳转的nonce信息”获取nonce,详见FAQ。 nonce必须传入有效值,否则登录失败。nonce获取之后,只能使用一次。
  • 参数描述 参数 是否必须 类型 描述 page 是 String 用于定义scheme功能,取值为launch。 nonce 是 String 入会身份鉴权的nonce。 nonce获取方式说明:首先调用服务器登录鉴权API“执行App ID鉴权”获取到token;然后调用服务器API“获取页面免登录跳转的nonce信息”获取nonce,详见FAQ。 nonce必须传入有效值,否则登录失败。nonce获取之后,只能使用一次。
  • 代码示例 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Uri.Builder builder = new Uri.Builder() .scheme("cloudlink") .authority("welinksoftclient") .path("h5page") .appendQueryParameter("page","joinConfByLink") .appendQueryParameter("server_url",serverAddress) .appendQueryParameter("port",portString) .appendQueryParameter("conf_id",confId) .appendQueryParameter("enter_code",enterCode) .appendQueryParameter("name",name) .appendQueryParameter("open_mic",String.valueOf(openMic)) .appendQueryParameter("open_camera",String.valueOf(openCamera)); Intent intent = new Intent(); intent.setData(Uri.parse(url)); startActivity(intent);
  • 链接格式 1 cloudlink://welinksoftclient/h5page?page=LoginAndJoinConf&server_url=meeting.huaweicloud.com&port=8443&conf_id=12345&enter_code=12345&name=Tom&open_mic=true&open_camera=false&nonce=Ey************************************pQ
  • 参数描述 参数 是否必须 类型 描述 page 是 String 用于定义scheme功能,取值为LoginAndJoinConf。 server_url 否 String 服务器地址,为空使用华为云会议默认服务器地址 中国站:meeting.huaweicloud.com 国际站:intl.meeting.huaweicloud.com port 否 String 服务器端口,为空使用华为云会议默认端口 conf_id 是 String 会议ID enter_code 否 String 会议密码 name 是 String 会议中的显示名称 open_mic 否 String 是否开启麦克风,true开启,false关闭,不填默认关闭 open_camera 否 String 是否开启摄像头,true开启,false关闭,不填默认关闭 nonce 是 String 入会身份鉴权的nonce 若希望以主持人身份入会,enter_code必须传入主持人密码。若希望以来宾身份入会,当会议要求来宾密码时,enter_code必须传入来宾密码,会议不要求来宾密码时,可以不传。 nonce获取方式说明:首先调用服务器登录鉴权API“执行App ID鉴权”获取到token;然后调用服务器API“获取页面免登录跳转的nonce信息”获取nonce,详见FAQ。 nonce必须传入有效值,否则入会失败。nonce获取之后,只能使用一次。
  • SDK代码示例自动生成 API Explorer 提供API检索及平台调试,支持全量快速检索、可视化调试、帮助文档查看、在线咨询。 您只需要在API Explorer中修改接口参数,即可自动生成对应的代码示例。同时,可在 集成开发环境 CloudIDE中完成代码的构建、调试、运行等操作。 表1提供了各个云服务支持的SDK列表,您可以在GitHub仓库查看SDK更新历史、获取安装包以及查看指导文档,参照进行进阶配置。 表1 SDK列表 编程语言 github地址 指导文档 视频指导 JAVA huaweicloud-sdk-java-v3 Java SDK使用指导 Java SDK视频指导 PYTHON huaweicloud-sdk-python-v3 Python SDK使用指导 Python SDK视频指导 .NET huaweicloud-sdk-net-v3 .Net SDK使用指导 - GO huaweicloud-sdk-go-v3 Go SDK使用指导 -
  • 发布和修改License自动部署商品 关于商品发布流程,商家可参考如下指导文档: 如需发布License类商品,可参考:发布License类商品操作指导。 如需最终上架为License自动部署的商品,只需要在商品规格处,关联自动部署的软件包资产,操作流程如下: ① 进入发布或者修改商品的编辑页面,在商品规格处,选择“应用资产”。 ② 如涉及不同规格版本,请选择对应版本的应用资产,一个应用资产可以被多个规格关联。 ③ 规格关联资产后,提交商品审核,云商店运营审核通过后即可。 父主题: 自动部署接入指南
  • 接口说明 按周期售卖的商品,用户试用转正、续费、退续费后,云商店调用该接口,更新实例的到期日期。 用户进行商品转正、续费下单或退订续费周期后,云商店将调用该接口请求商家执行业务变更,商家接口需要执行将到期日进行更新,并返回通知云商店。 商家需要保障更新实例接口通畅,如调用失败,将可能导致用户的业务被释放的风险。 请及时关注商家信息中客服邮箱以及云商店账号绑定的邮箱的通知,收到调用失败通知邮件及时处理接口异常。 云商店会对接口异常的情况做监控,如SaaS商品频繁出现因接口异常的情况,云商店将对该商品做下架处理。 商品更新实例流程如下图所示:
  • 接入流程 SaaS类商品接入云商店的流程如下图所示: 流程说明如下: 申请入驻云商店,成为商家。 云商店运营人员审核公司的资质信息。 准备生产接口服务器,根据本接入指南开发生产接口。 在卖家中心调试生产接口,参考接口调试。 在卖家中心完成安全 漏洞扫描 。 在卖家中心创建应用凭证,参考应用凭证申请。 在卖家中心申请测试账号。 SDK账密或WEB场景的界面登录。 验证登录成功。 加入联营计划,成为联营商家。 在卖家中心申请发布商品。 云商店运营人员审批通过后,产品发布为联营商品。 在卖家中心自助管理生产接口通知消息。 联营SaaS类商品接入可参考《联营SaaS类商品接入视频指导》。 父主题: 联营SaaS类商品接入指南 V1.0
  • 变更配置后对计费的影响 如果您在购买按需计费实例后变更了实例配置,会产生一个新订单并开始按新配置的价格计费,旧订单自动失效。 如果您在一个小时内变更了实例配置,将会产生多条计费信息。每条计费信息的开始时间和结束时间对应不同配置在该小时内的生效时间。 例如,您在9:00:00购买了一个按需计费实例,实例规格为 2 vCPUs 4GB,并在9:30:00升配为4 vCPUs 8GB,那么在9:00:00 ~ 10:00:00间会产生两条计费信息。 第一条对应9:00:00 ~ 9:30:00,实例规格按照 2 vCPUs 4GB计费。 第二条对应9:30:00 ~ 10:00:00,实例规格按照4 vCPUs 8GB计费。
  • 计费周期 按需计费实例按秒计费,每一个小时整点结算一次费用(以UTC+8时间为准),结算完毕后进入新的计费周期。计费的起点以RDS实例创建成功的时间点为准,终点以实例删除时间为准。 云数据库RDS实例创建需要一定时长,计费的起点是创建成功的时间点,而非创建时间。您可以在任务中心页签查看对应实例的这两个时间,创建成功的时间点对应任务中心的“即时任务”的“结束时间”。 例如,您在8:45:30成功购买了一个按需计费的RDS实例,相关资源包括计算资源(vCPU和内存)和存储资源,然后在8:55:30将其删除,则计费周期为8:00:00 ~ 9:00:00,在8:45:30 ~ 8:55:30间产生费用,该计费周期内的计费时长为600秒。
  • 适用计费项 按需计费包含以下计费项。 标 * 的计费项为必选计费项。 表1 计费项说明 计费项 计费说明 * 实例规格 对所选的实例规格进行计费,包括vCPU和内存。 * 存储空间 对数据库存储空间进行计费。 * 备份空间 RDS提供了部分免费存储空间,用于存放您的备份数据,其总容量约为您购买存储容量的100%。 备份存储用量超过存储空间的100%,超出部分将按照备份计费标准收费,计费方式为按需计费(每小时扣费一次),不足一小时按照实际使用时长收费。 * 镜像费用(仅SQL Server) SQL Server引擎云市场镜像费用。 跨区域备份(可选) RDS支持将备份文件存放到另一个区域存储,开通跨区域备份会产生额外费用,对数据库存储空间和跨Region备份流量进行计费。存储空间按需计费(每小时扣费一次),不足一小时按照实际使用时长收费。跨Region备份流量按存储空间大小计费。 公网带宽(可选) RDS实例支持公网访问,公网访问会产生带宽流量费;RDS数据库实例在云内部网络产生的流量不计费。 秒级监控(可选,仅MySQL) RDS为您免费提供监控频率为60秒/次的监控服务,开通秒级监控会产生额外费用,且计费方式为按需计费(每小时扣费一次),不足一小时按照实际使用时长收费。 数据库代理(可选,仅MySQL) RDS支持通过一个读写分离的连接地址实现读写请求的自动转发,开通数据库代理会产生额外费用。 部署到专属计算集群(可选) RDS支持部署到专属计算集群,会产生额外服务费。
  • 计费说明 云数据库RDS的计费项由实例规格费用、存储空间费用、备份空间费用组成。具体内容如表1所示。 标 * 的计费项为必选计费项。 表1 云数据库RDS计费项 计费项 计费项说明 适用的计费模式 计费公式 * 实例规格 计费因子:vCPU、内存和实例类型,不同规格的实例类型提供不同的计算和存储能力。 包年/包月、按需计费 实例规格单价 x 购买时长 实例规格单价请参见RDS价格详情中的各引擎价格。 * 存储空间 计费因子:存储空间,按统一标准进行计费。 包年/包月、按需计费 存储空间单价 x 存储容量 x 购买时长 存储空间单价请参见RDS价格详情中的“存储空间”价格。 * 备份空间 计费因子:备份空间,按统一标准进行计费。 按需计费 备份空间单价 x 备份收费容量 x 计费时长 存储空间单价请参见RDS价格详情中的“备份空间计费信息”。 说明: 计费时长:备份超过免费空间大小的使用时长。 * 镜像费用(仅SQL Server) 计费因子:云市场镜像,按统一标准进行计费。 包年/包月、按需计费 镜像单价 x 购买时长 镜像单价请参见RDS价格详情中的SQL Server引擎镜像价格。 跨区域备份(可选) 计费因子:存储空间,按统一标准进行计费。 按需计费 存储空间单价 x 存储容量 x 购买时长 存储空间单价:0.0009 元/GB/小时 计费因子:跨Region备份流量,按统一标准进行计费。 按存储容量计费 跨Region备份流量单价 x 存储容量 跨Region备份流量单价:0.5 元/GB 公网带宽(可选) 如有互联网访问需求,您需要购买弹性公网IP。 计费因子:带宽费、流量费和IP保有费。 包年/包月计费模式支持按带宽计费方式,收取带宽费。 按需计费模式支持按带宽计费、按流量计费和加入共享带宽三种计费方式,分别收取带宽费+IP保有费、流量费+IP保有费、带宽费+IP保有费。 包年/包月、按需计费 带宽费支持使用带宽加油包抵扣,流量费支持使用共享流量包抵扣。 按固定带宽值计费 公网带宽单价请参见弹性公网IP价格详情。 秒级监控(可选,仅MySQL) 计费因子:秒级监控,按统一标准进行计费。 按需计费 秒级监控单价 x 计费时长 秒级监控单价请参见设置秒级监控。 说明: 计费时长:开启秒级监控(1秒和5秒)的使用时长。 数据库代理(可选,仅MySQL) 计费因子:代理规格(vCPU和内存)、代理节点数量。 包年/包月、按需计费 代理规格单价 x 购买时长 x 代理节点数量 代理规格单价请参见RDS价格详情中的数据库代理价格。 部署到专属计算集群(可选) 计费因子:按内存大小收取服务费。 包年/包月、按需计费 服务费单价 x 内存大小 x 购买时长 服务费单价请参见RDS价格详情中的“RDS部署到专属计算集群服务费价格”。
  • 关于即将下线 域名 下线策略功能的公告 华为云CDN服务将于UTC+8时间2024年3月06日下线域名下线策略功能,此功能下线后,账号欠费进入保留期后逻辑变动如下: 表1 欠费处理流程 2024年3月06日之前 2024年3月06日之后 账号欠费进入保留期后,CDN将根据您设置的域名下线策略执行,可选配置如下: 停用域名:域名被下线时,CDN会将您的域名状态调整为“停用”,停止 CDN加速 服务。域名停用后将无法正常访问,但域名配置信息仍会保留(仅限保留期内),待您的账号核销欠款后,CDN会为您重新启用加速域名。 解析回源:域名被下线时,您的域名会解析回主源站,最终域名状态调整为“停用”,停止CDN加速服务。解析回源后域名配置信息仍会保留(仅限保留期内),待您的账号核销欠款后,CDN会重新将域名解析回CDN节点并提供加速服务。 说明: 加速域名被执行下线策略30天后,华为云CDN将不再提供“解析回源”服务,您的加速域名将无法被访问。 停用域名:账号欠费进入保留期后,CDN将删除加速域名的CNAME解析,此时将无法访问域名。 说明: 如果您的账号之前设置的域名下线策略为解析回源,将继续执行该策略。如需修改,请提交工单申请。 业务恢复方法:缴清欠款且当前账户额度充足后,CDN会为您自动启用域名。
  • 背景信息 Notebook使用涉及到计费,具体收费项如下: 处于“运行中”状态的Notebook,会消耗资源,产生费用。根据您选择的资源不同,收费标准不同,价格详情请参见产品价格详情。当您不需要使用Notebook时,建议停止Notebook,避免产生不必要的费用。 创建Notebook时,如果选择使用云硬盘EVS存储配置,云硬盘EVS会一直收费,建议及时停止并删除Notebook,避免产品不必要的费用。 在创建Notebook时,默认会开启自动停止功能,在指定时间内停止运行Notebook,避免资源浪费。 只有处于“运行中”状态的Notebook,才可以执行打开、停止操作。 一个账户最多创建10个Notebook。
  • 修订记录 发布日期 修改说明 2024-06-30 第七十三次正式发布。 增加: 将防护网站从其他云迁移到华为云WAF 2024-05-15 第七十二次正式发布。 文档架构调整。 2024-05-09 第七十一次正式发布。 增加: CDN回源OBS桶场景下连接WAF提升OBS安全防护 2024-03-30 第七十次正式发布。 修改: 使用DDoS高防和WAF提升网站全面防护能力 通过Header字段转发关闭响应报文压缩 使用Postman工具模拟业务验证全局白名单规则 源站安全配置 2024-02-01 第六十九次正式发布。 修改: 使用DDoS高防和WAF提升网站全面防护能力 通过IP限速限制网站访问频率 通过Cookie字段限制网站访问频率 使用WAF阻止爬虫攻击 使用CDN和WAF提升网站防护能力和访问速度 使用独享WAF和7层ELB以防护任意非标端口 通过Header字段转发关闭响应报文压缩 2024-01-05 第六十八次正式发布。 修改: 通过LTS查询并分析WAF访问日志 通过LTS分析Spring core RCE漏洞的拦截情况 通过LTS配置WAF规则的拦截告警 2023-11-30 第六十七次正式发布。 架构调整 新增: 网站防护配置建议 CC攻击常见场景防护配置 修改: 使用DDoS高防和WAF提升网站全面防护能力 通过IP限速限制网站访问频率 通过Cookie字段限制网站访问频率 使用WAF阻止爬虫攻击 使用CDN和WAF提升网站防护能力和访问速度 使用独享WAF和7层ELB以防护任意非标端口 2023-11-15 第六十六次正式发布。 修改通过WAF提升客户端访问域名的通道安全。 2023-11-06 第六十五次正式发布。 修改使用DDoS高防和WAF提升网站全面防护能力。 2023-08-11 第六十四次正式发布。 增加通过Header字段转发关闭响应报文压缩。 2023-06-30 第六十三次正式发布。 修改获取客户端真实IP。 2023-06-07 第六十二次正式发布。 修改“独享引擎实例升级配置”。 2023-06-02 第六十一次正式发布。 修改通过E CS /ELB访问控制策略保护源站安全。 2023-03-03 第六十次正式发布。 修改: 使用CDN和WAF提升网站防护能力和访问速度 使用DDoS高防和WAF提升网站全面防护能力 2023-01-31 第五十九次正式发布。 修改“独享引擎实例升级配置”。 2022-12-26 第五十八次正式发布。 新增: Solution as Code一键式部署类最佳实践 2022-10-25 第五十七次正式发布。 修改如下章节: 独享引擎实例升级配置 2022-09-30 第五十六次正式发布。 增加使用独享WAF和7层ELB以防护任意非标端口。 2022-09-06 第五十五次正式发布。 修改如下章节: 使用CDN和WAF提升网站防护能力和访问速度 使用DDoS高防和WAF提升网站全面防护能力 2022-08-11 第五十四次正式发布。 增加以下最佳实践: 通过业务Cookie和HWWAFSESID联合配置限制恶意抢购、下载 2022-07-26 第五十三次正式发布。 修改通过WAF和HSS提升网页防篡改能力章节。 2022-07-06 第五十二次正式发布。 全局计数功能上线,修改如下章节: 使用WAF防护CC攻击 使用CDN和WAF提升网站防护能力和访问速度 使用DDoS高防和WAF提升网站全面防护能力 2022-07-04 第五十一次正式发布。 全局白名单功能上线,修改如下章节: 使用Postman工具模拟业务验证全局白名单规则 2022-06-06 第五十次正式发布。 修改如下章节: 获取客户端真实IP 使用DDoS高防和WAF提升网站全面防护能力 2022-05-23 第四十九次正式发布。 增加通过WAF和HSS提升网页防篡改能力。 修改获取客户端真实IP章节。 2022-05-17 第四十八次正式发布。 修改使用DDoS高防和WAF提升网站全面防护能力章节。 2022-05-05 第四十七次正式发布。 修改获取客户端真实IP,增加了约束条件。 2022-04-19 第四十六次正式发布。 增加如下两个最佳实践: 通过LTS分析Spring core RCE漏洞的拦截情况 通过LTS配置WAF规则的拦截告警 2022-04-01 第四十五次正式发布。 增加Java Spring框架远程代码执行高危漏洞最佳实践。 2022-02-11 第四十三次正式发布。 获取客户端真实IP,增加了Apache服务器为2.4及以上版本如何获取源站IP的方法。 2021-12-22 第四十二次正式发布。 新增通过LTS查询并分析WAF访问日志。 2021-12-02 第四十一次正式发布。 新增使用Postman工具模拟业务验证全局白名单规则。 通过WAF提升客户端访问域名的通道安全,优化内容描述。 2021-10-21 第四十次正式发布。 使用CDN和WAF提升网站防护能力和访问速度,优化内容描述。 2021-10-12 第三十九次正式发布。 通过WAF提升客户端访问域名的通道安全,优化内容描述。 2021-09-22 第三十八次正式发布。 新增“独享引擎实例升级配置”。 2021-08-19 第三十七次正式发布。 使用CDN和WAF提升网站防护能力和访问速度,更新界面截图。 2021-07-29 第三十六次正式发布。 使用CDN和WAF提升网站防护能力和访问速度、使用DDoS高防和WAF提升网站全面防护能力,补充接入成功生效条件。 2021-07-20 第三十五次正式发布。 修改管理控制台入口。 2021-06-25 第三十四次正式发布。 未使用代理的网站通过CNAME方式接入WAF,优化内容描述。 2021-06-08 第三十三次正式发布。 使用CDN和WAF提升网站防护能力和访问速度,优化前提条件描述。 使用DDoS高防和WAF提升网站全面防护能力,优化前提条件描述。 2021-05-20 第三十二次正式发布。 使用DDoS高防和WAF提升网站全面防护能力,补充独享模式的配置策略。 2021-05-14 第三十一次正式发布。 使用CDN和WAF提升网站防护能力和访问速度,补充独享模式的配置策略。 2021-04-08 第三十次正式发布。 未使用代理的网站通过CNAME方式接入WAF,优化内容描述。 2021-03-19 第二十九次正式发布。 通过WAF提升客户端访问域名的通道安全,优化内容描述。 2020-11-27 第二十八次正式发布。 通过ECS/ELB访问控制策略保护源站安全,优化内容描述。 获取客户端真实IP,优化内容描述。 2020-11-20 第二十七次正式发布。 通过WAF提升客户端访问域名的通道安全,优化内容描述。 使用WAF阻止爬虫攻击,优化内容描述。 2020-08-17 第二十六次正式发布。 获取客户端真实IP,优化内容描述。 2020-05-14 第二十五次正式发布。 通过WAF提升客户端访问域名的通道安全,优化内容描述。 2020-04-16 第二十四次正式发布。 优化内容描述。 2020-04-02 第二十三次正式发布。 更新界面截图。 2020-02-14 第二十一次正式发布。 新增Apache Dubbo反序列化漏洞。 2020-01-03 第二十次正式发布。 获取客户端真实IP,修改标题。 2019-12-19 第十九次正式发布。 使用CDN和WAF提升网站防护能力和访问速度,优化内容描述。 2019-12-16 第十八次正式发布。 操作入口连环图更新。 2019-12-05 第十七次正式发布。 获取客户端真实IP,优化内容描述。 2019-10-21 第十六次正式发布。 通过WAF提升客户端访问域名的通道安全,优化内容描述。 CC攻击防御最佳实践,优化内容描述。 使用DDoS高防和WAF提升网站全面防护能力,优化内容描述。 使用CDN和WAF提升网站防护能力和访问速度,优化内容描述。 2019-09-06 第十五次正式发布。 新增开源组件Fastjson拒绝服务漏洞。 2019-09-04 第十四次正式发布。 未使用代理的网站通过CNAME方式接入WAF,优化内容描述。 2019-08-30 第十三次正式发布。 使用CDN和WAF提升网站防护能力和访问速度,优化内容描述。 2019-08-27 第十二次正式发布。 使用WAF阻止爬虫攻击,优化内容描述。 2019-08-01 第十一次正式发布。 新增使用CDN和WAF提升网站防护能力和访问速度。 2019-07-12 第十次正式发布。 新增开源组件Fastjson远程代码执行漏洞。 2019-06-21 第九次正式发布。 新增获取客户端真实IP。 2019-06-04 第八次正式发布。 新增WAF接入配置最佳实践。 2019-05-16 第七次正式发布。 新增通过ECS/ELB访问控制策略保护源站安全。 2019-05-05 第六次正式发布。 通过WAF提升客户端访问域名的通道安全,优化内容描述。 2019-04-28 第五次正式发布。 新增通过WAF提升客户端访问域名的通道安全。 2019-04-23 第四次正式发布。 新增Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)。 CC攻击防御最佳实践,优化内容描述。 使用WAF阻止爬虫攻击,优化内容描述。 2018-11-08 第三次正式发布。 短描述和关键字的设置。 2018-10-15 第二次正式发布。 根据界面变化更新了截图和描述。 2018-05-11 第一次正式发布。
  • 使用业务Cookie(或者用户ID)基于路径配置CC限速 登录管理控制台,将您的网站成功接入到WAF。 云模式添加域名的方法:添加防护域名(云模式-CNAME接入)。 独享模式添加域名的方法:添加防护网站(独享模式)。 在目标域名所在行的“防护策略”栏中,单击“已开启N项防护”,进入“防护策略”页面。 在“CC攻击防护”配置框中,确认“CC攻击防护”的状态为开启。 图1 CC防护规则配置框 在“CC攻击防护”规则配置页面左上角,单击“添加规则”。 根据业务情况,使用业务Cookie(或者用户id)基于路径配置CC限速,参考如图2进行配置。 根据实际情况配置以下参数。 图2 业务Cookie配置 单击“确认”,完成配置。
  • 使用HWWAFSESID基于路径配置CC限速 登录管理控制台,将您的网站成功接入到WAF。 云模式添加域名的方法:添加防护域名(云模式-CNAME接入)。 独享模式添加域名的方法:添加防护网站(独享模式)。 在目标域名所在行的“防护策略”栏中,单击“已开启N项防护”,进入“防护策略”页面。 在“CC攻击防护”配置框中,确认“CC攻击防护”的“状态”为“开启”。 图3 CC防护规则配置框 图4 CC防护规则配置框 在“CC攻击防护”规则配置页面左上角,单击“添加规则”。 根据业务情况,使用HWWAFSESID基于路径配置CC限速,参考如图5进行配置。 “用户标识”:选择“Cookie”,配置为“HWWAFSESID”。 其他参数根据业务实际情况进行配置。 图5 HWWAFSESID配置 单击“确认”,完成配置。
  • 应用场景 网站已接入 Web应用防火墙 (Web Application Firewall,简称WAF)进行安全防护后,您可以通过设置源站服务器的访问控制策略,只放行WAF回源IP段,防止黑客获取您的源站IP后绕过WAF直接攻击源站。 本章节介绍了源站服务器部署在华为云弹性云服务器(以下简称ECS)时或华为云弹性负载均衡(以下简称ELB)后面时,如何判断源站存在泄漏风险,以及如何配置访问控制策略保护源站安全。 网站已接入WAF进行安全防护后,无论您是否配置源站保护,都不影响正常业务的转发。没有配置源站保护可能导致攻击者在源站IP暴露的情况下,绕过WAF直接攻击您的源站。 如果在ECS前使用了NAT网关做转发,也需要设置ECS入方向规则在ECS的安全组配置只允许放行WAF的回源IP地址段,保护源站安全。
  • 如何判断源站存在泄露风险 您可以在非华为云环境直接使用Telnet工具连接源站公网IP地址的业务端口(或者直接在浏览器中输入访问Web应用的IP),查看是否建立连接成功。 如果可以连通 表示源站存在泄露风险,一旦黑客获取到源站公网IP就可以绕过WAF直接访问。 如果无法连通 表示当前不存在源站泄露风险。 例如,测试已接入WAF防护的源站IP对外开放的443端口是否能成功建立连接,显示如图1所示类似信息,说明端口可连通,表示该源站存在泄露风险。 图1 测试源站泄露风险
  • 应用场景 随着数字化应用的逐步深入,很多企业业务都通过Web应用来承载,如企业官网网站、网上商城、远程办公系统等,一般都直接暴露在互联网上,极易成为黑客攻击的目标,根据历史数据分析,约75%的信息安全攻击都是针对Web应用的,同时Web应用及组件的漏洞也较多,历史上就爆发过著名的Log4J漏洞,对大部分Web应用都产生了深远的影响。 本章节介绍在接入WAF前网站没有使用任何代理产品(如未使用DDoS高防、CDN等),如何通过云模式-CNAME接入方式将网站接入WAF进行防护,保障网站的安全性和可用性。
  • 步骤二:将网站信息添加到WAF 在左侧导航树中,选择“网站设置”,进入网站设置列表。 在网站列表的左上角,单击“添加防护网站”。 选择“云模式-CNAME接入”并单击“开始配置”。 根据界面提示,配置网站信息,如表2所示。 图2 基础信息配置 表2 重点参数说明 参数 参数说明 取值样例 防护域名 需要添加到WAF中防护的域名。 域名已完成备案 支持单域名(例如,一级域名example.com,二级域名www.example.com等)和泛域名(例如,*.example.com)。 www.example.com 防护端口 需要防护的域名对应的业务端口。 标准端口 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、源站地址、源站端口和权重。 对外协议:客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议:Web应用防火墙转发客户端请求的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站地址:客户端访问的网站服务器的公网IP地址(一般对应该域名在DNS服务商处配置的A记录)或者域名(一般对应该域名在DNS服务商处配置的CNAME)。 源站端口:WAF转发客户端请求到服务器的业务端口。 权重:负载均衡算法将按权重将请求分配给源站。 对外协议:HTTP 源站协议:HTTP 源站地址:IPv4 XXX .XXX.1.1 源站端口:80 代理情况 在WAF前使用了其他代理产品。 此处选择“无代理”。 无代理 单击“下一步”,根据界面提示,完成WAF回源IP加白、本地验证的操作。 图3 添加域名完成
  • 资源与成本规划 表1 资源和成本规划 资源 资源说明 每月费用 云日志 服务 计费模式:按需计费 每天新增日志量:10GB/天 日志存储时长:7天 具体的计费方式及标准请参考计费说明。 Web应用防火墙 云模式-标准版: 计费模式:包年/包月 域名数量:10个防护域名(最多支持1个一级域名) QPS配额:2,000QPS业务请求 支持带宽峰值:云内100Mbps/云外30Mbps 独享模式: 计费模式:按需计费 域名数量:2,000个(支持2,000个一级域名) WAF实例规格选择WI-500,参考性能: HTTP业务:建议QPS 5,000;极限QPS 10,000 HTTPS业务:建议QPS 4,000;极限QPS 8,000 Websocket业务:支持最大并发连接5,000 最大回源长连接:60,000 WAF实例规格选择WI-100,参考性能: HTTP业务:建议QPS 1,000;极限QPS 2,000 HTTPS业务:建议QPS 800;极限QPS 1,600 Websocket业务:支持最大并发连接1,000 最大回源长连接:60,000 具体的计费方式及标准请参考计费说明。
  • 步骤二:将网站信息添加到WAF 此处以云模式-CNAME接入为例进行介绍。 云模式-ELB接入方式请参见将网站接入WAF防护(云模式-ELB接入)。 独享模式接入方式请参见将网站接入WAF防护(独享模式)。 在左侧导航树中,选择“网站设置”,进入网站设置列表。 在网站列表的左上角,单击“添加防护网站”。 选择“云模式-CNAME接入”并单击“开始配置”。 根据界面提示,配置网站信息,如表3所示。 图1 基础信息配置 表3 重点参数说明 参数 参数说明 取值样例 防护域名 需要添加到WAF中防护的域名。 域名已完成备案 支持单域名(例如,一级域名example.com,二级域名www.example.com等)和泛域名(例如,*.example.com)。 www.example.com 防护端口 需要防护的域名对应的业务端口。 标准端口 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、源站地址、源站端口和权重。 对外协议:客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议:Web应用防火墙转发客户端请求的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站地址:客户端访问的网站服务器的公网IP地址(一般对应该域名在DNS服务商处配置的A记录)或者域名(一般对应该域名在DNS服务商处配置的CNAME)。 源站端口:WAF转发客户端请求到服务器的业务端口。 权重:负载均衡算法将按权重将请求分配给源站。 对外协议:HTTP 源站协议:HTTP 源站地址:IPv4 XXX .XXX.1.1 源站端口:80 代理情况 在WAF前使用了其他代理产品。 七层代理 单击“下一步”,根据界面提示,完成WAF回源IP加白、本地验证和修改域名DNS解析设置的操作。 图2 添加域名完成
  • 资源与成本规划 表1 资源和成本规划 资源 资源说明 每月费用 OBS桶 计费模式:包年/包月 资源包类型:标准存储多AZ包 规格:100G 购买数量:1 具体的计费方式及标准请参考计费说明。 CDN 计费模式:按需计费 支持使用资源包 具体的计费方式及标准请参考计费说明。 Web应用防火墙 云模式-标准版: 计费模式:包年/包月 域名数量:10个防护域名(最多支持1个一级域名) QPS配额:2,000QPS业务请求 支持带宽峰值:云内100Mbps/云外30Mbps 具体的计费方式及标准请参考计费说明。
  • 应用场景 当您的网站域名开启了华为云CDN加速,且回源到华为云对象存储 OBS(Object Storage Service,OBS)时,如果该网站存在一定的Web攻击风险,我们推荐您组合使用CDN、OBS和Web 应用防火墙 WAF(Web Application Firewall),将开启CDN加速的域名接入WAF,实现OBS的安全防护。本文介绍如何为业务同时部署CDN、OBS、WAF。 本实践建立在已将域名添加到CDN用于内容加速,并将请求回源到OBS桶(此时,域名DNS解析指向CDN的CNAME地址,源站为OBS域名),如何使网站流量经过WAF进行防护。
  • 生效条件 当“接入状态”为“已接入”,表示域名/IP接入成功。 WAF每隔一小时就会自动检测防护网站的 接入状态,当WAF统计防护网站在5分钟内达到20次访问请求时,将认定该防护网站已成功接入WAF。 WAF默认只检测两周内新增或更新的域名的接入状态,如果域名创建时间在两周前,且最近两周内没有任何修改,您可以在“接入状态”栏,单击,手动刷新接入状态。 如果域名接入失败,即域名接入状态为“未接入”,请参考域名/IP接入状态显示“未接入”,如何处理?排查处理。
  • 步骤二:将网站信息添加到WAF 此处以云模式-CNAME接入为例进行介绍。 云模式-ELB接入方式请参见将网站接入WAF防护(云模式-ELB接入)。 独享模式接入方式请参见将网站接入WAF防护(独享模式)。 在左侧导航树中,选择“网站设置”,进入网站设置列表。 在网站列表的左上角,单击“添加防护网站”。 选择“云模式-CNAME接入”并单击“开始配置”。 根据界面提示,配置网站信息,如表3所示。 图2 基础信息配置 表3 重点参数说明 参数 参数说明 取值样例 防护域名 需要添加到WAF中防护的域名。 域名已完成备案 支持单域名(例如,一级域名example.com,二级域名www.example.com等)和泛域名(例如,*.example.com)。 www.example.com 防护端口 需要防护的域名对应的业务端口。 标准端口 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、源站地址、源站端口和权重。 对外协议:客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议:Web应用防火墙转发客户端请求的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站地址:客户端访问的网站服务器的公网IP地址(一般对应该域名在DNS服务商处配置的A记录)或者域名(一般对应该域名在DNS服务商处配置的CNAME)。 源站端口:WAF转发客户端请求到服务器的业务端口。 权重:负载均衡算法将按权重将请求分配给源站。 对外协议:HTTP 源站协议:HTTP 源站地址:IPv4 XXX .XXX.1.1 源站端口:80 代理情况 在WAF前使用了其他代理产品。 此处选择“七层代理”。 七层代理 单击“下一步”,根据界面提示,完成WAF回源IP加白、本地验证的操作。 图3 添加域名完成
  • 资源与成本规划 表1 资源和成本规划 资源 资源说明 每月费用 CDN 计费模式:按需计费 支持使用资源包 具体的计费方式及标准请参考计费说明。 Web应用防火墙 云模式-标准版: 计费模式:包年/包月 域名数量:10个防护域名(最多支持1个一级域名) QPS配额:2,000QPS业务请求 支持带宽峰值:云内100Mbps/云外30Mbps 独享模式: 计费模式:按需计费 域名数量:2,000个(支持2,000个一级域名) WAF实例规格选择WI-500,参考性能: HTTP业务:建议QPS 5,000;极限QPS 10,000 HTTPS业务:建议QPS 4,000;极限QPS 8,000 Websocket业务:支持最大并发连接5,000 最大回源长连接:60,000 WAF实例规格选择WI-100,参考性能: HTTP业务:建议QPS 1,000;极限QPS 2,000 HTTPS业务:建议QPS 800;极限QPS 1,600 Websocket业务:支持最大并发连接1,000 最大回源长连接:60,000 具体的计费方式及标准请参考计费说明。
  • 方案架构 当用户访问使用CDN服务的网站时,本地DNS服务器通过CNAME方式将最终域名请求重定向到CDN服务。CDN通过一组预先定义好的策略(如内容类型、地理区域、网络负载状况等),将当时能够最快响应用户的CDN节点IP地址提供给用户,使用户可以以最快的速度获得网站内容。 CDN支持的对象:域名,华为云、非华为云或云下的Web业务 Web应用防火墙通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。 WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式,各部署模式支持防护的对象说明如下: 云模式-CNAME接入:域名,华为云、非华为云或云下的Web业务 云模式-ELB接入:域名或IP,华为云的Web业务 独享模式:域名或IP,华为云的Web业务 CDN+WAF可以对华为云、非华为云或云下的域名进行联动防护,同时提升网站的响应速度和网站防护能力,配置原理图如图1所示。 图1 使用代理配置原理图 CDN+WAF配置后,流量被CDN加速后转发到WAF,WAF再将流量转到源站,在提升用户访问网站的响应速度与网站的可用性的同时,实现网站流量检测和攻击拦截。 相关配置说明如下: 云模式-CNAME接入 先将域名解析到CDN,再修改CDN源站信息,将源站域名修改为WAF的“CNAME”,同时,为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您到DNS服务商处添加一条WAF的子域名和TXT记录。 云模式-ELB接入 先将域名解析到CDN,再修改CDN源站信息,将源站IP修改为ELB模式实例所绑定ELB的弹性公网IP。 独享模式 先将域名解析到CDN,再修改CDN源站信息,将源站IP修改为WAF独享引擎实例配置弹性负载均衡绑定的弹性公网IP。
共100000条