WEB应用防火墙 WAF-步骤一:添加防护域名(云模式-CNAME接入):约束条件

时间:2024-04-11 11:17:53

约束条件

限制项

限制条件

域名 限制

  • WAF支持防护多级别单域名(例如,一级域名example.com,二级域名www.example.com等)和泛域名(例如,*.example.com)。
    须知:

    WAF支持添加“*”的泛域名,域名配置为“*”时,只能防护除80、443端口以外的非标端口。

    泛域名添加说明如下:
    • 如果各子域名对应的服务器IP地址相同:输入防护的泛域名。例如:子域名a.example.com,b.example.com和c.example.com对应的服务器IP地址相同,可以直接添加泛域名*.example.com。
    • 如果各子域名对应的服务器IP地址不相同:请将子域名按“单域名”方式逐条添加。
  • 同一防护域名不能重复添加到WAF云模式。

    同一个域名对应不同非标准端口视为不同的防护对象,例如www.example.com:8080和www.example.com:8081为两个不同的防护对象,且占用两个域名防护配额。如果您需要防护同一域名的多个端口,您需要将该域名和端口逐一添加到WAF。

  • 请确保域名经过ICP备案,WAF会检查域名备案情况,未备案域名将无法添加。

服务版本限制

  • 入门版不支持添加泛域名。
  • 仅专业版和铂金版支持IPv6防护、HTTP2协议、负载均衡算法。
  • 入门版、标准版“策略配置”只能选择“系统自动生成策略”。

证书限制

  • WAF当前仅支持PEM格式证书。
  • 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目,则不能选择使用SCM推送的SSL证书。
  • 拥有“SCM Administrator”“SCM FullAccess”权限的账号才能选择SCM证书。

WebSocket协议限制

WAF支持WebSocket协议,且默认为开启状态。
  • “对外协议”选择“HTTP”时,默认支持WebSocket
  • “对外协议”选择“HTTPS”时,默认支持WebSockets

HTTP2协议限制

HTTP2协议仅适用于客户端到WAF之间的访问,且“对外协议”必须包含HTTPS才支持使用。

  • “服务器配置”中至少有一条源站地址的“对外协议”配置为HTTPS,开启后才会生效。
  • 当客户端最大支持TLS 1.2时,HTTP2才生效。

账号限制

主账号可以查看子账号添加的域名,但子账号不能查看主账号添加的域名。

其他限制

将网站接入WAF后,网站的文件上传请求限制为10G。

support.huaweicloud.com/usermanual-waf/waf_01_0002.html