检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
见创建用户组并授权使用WAF。 依赖服务的权限设置 如果IAM用户需要在WAF Console控制台拥有相应功能的查看或使用权限,请确认已经对该用户所在的用户组设置了WAF Administrator、WAF FullAccess或WAF ReadOnlyAccess策略的权限,再按照如表1增加依赖服务的角色或策略。
Web应用防火墙支持配置泛域名吗? 在WAF中添加防护的域名时,您可以根据业务需求配置单域名或泛域名,说明如下: 入门版不支持添加泛域名。 单域名 配置待防护的单域名。例如:www.example.com。 泛域名 配置泛域名可以使泛域名下的多级域名经过WAF防护。 如果各子域名对应的服务器I
stance_id的域名下的两个源站服务器,第一个源站服务器的IP地址是x.x.x.x,端口号是80,源站地址是ipv4的,源站权重是1,客户端请求访问防护域名源站服务器的协议和WAF转发客户端请求到防护域名源站服务器的协议都是HTTP协议;第二个源站服务器的IP地址是x.x.x
DSS/3DS合规后,将不支持修改“对外协议”,也不支持添加服务器。 应用场景 WAF默认配置的最低TLS版本为“TLS v1.0”,为了确保网站安全,建议您根据业务实际需求进行配置,支持配置的最低TLS版本如表1所示。 表1 支持配置的最低TLS版本说明 场景 最低TLS版本(推荐) 防护效果
配置完成后,单击“保存”,添加的攻击惩罚标准展示在列表中。 相关操作 如果需要修改添加的攻击惩罚标准,可单击待修改的攻击惩罚标准所在行的“修改”,修改该标准的拦截时长。 如果需要删除添加的攻击惩罚标准,可单击待删除的攻击惩罚标准所在行的“删除”,删除该标准。 配置示例-Cookie拦截攻击惩罚 假如防护域名“www
防护网站已接入WAF 约束条件 防护网站部署模式为“云模式-ELB接入”时,不支持“重定向”模板。 “自定义”的拦截返回页面支持配置text/html、text/xml和application/json三种页面类型的页面内容。 “重定向”地址的根域名必须和当前被防护的域名(包括泛域名)保持一致。例如,被防护的域名为www
企业项目下域名配置防护策略。 工作原理 当WAF接收到正常的访问请求时,直接将缓存的网页返回给Web访问者,加速请求响应。 如果攻击者篡改了网站的静态网页,WAF将缓存的未被篡改的网页返回给Web访问者,保证Web访问者访问的是正确的页面。 WAF将对页面路径下的所有相关资源进行防护。例如,对“www
路径设置为“/”时,表示防护网站所有路径。 配置的“路径”的“内容”不能包含特殊字符(<>*)。 “User Agent”:设置为需要防护的扫描器的用户代理。 -- Mozilla/5.0 (Windows NT 6.1) “IP”:设置为需要防护的访问者IP地址。 支持IPv4和IPv6两种格式的IP地址。 须知:
单击管理控制台左上角的,选择区域或项目。 单击页面左上方的,选择“安全与合规 > Web应用防火墙 WAF”。 在左侧导航树中,选择“防护策略”,进入“防护策略”页面。 单击目标策略名称,进入目标策略的防护配置页面。 选择“Web基础防护”配置框,用户可根据自己的需要开启或关闭Web基础防护策略。
防护端口 需要防护的域名对应的业务端口。 标准端口 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、源站地址、源站端口和权重。 对外协议:客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议:Web应用防火墙转发客户端请求的协议类型。包括
在目标网站所在行的“域名”列中,单击目标网站,进入网站基本信息页面。 在“高级配置”区域,单击“日志记录响应体字节长度”处的,配置响应体字节长度(配置范围为1~8192 Bytes)后,单击“确定”。 图1 配置日志记录响应体字节长度 配置完成后,WAF新记录的防护事件详情中,就会展示符合响应字节长度的响应体详情。
“全部域名”:默认防护当前策略下绑定的所有域名。 “指定域名”:选择策略绑定的防护域名或手动输入泛域名对应的单域名。 指定域名 防护域名 “防护方式”选择“指定域名”时,需要配置此参数。 需要手动输入当前策略下绑定的需要防护的泛域名对应的单域名,且需要输入完整的域名。 单击“添加”,支持配置多个域名。 www
Request 服务器未能处理请求。 401 Unauthorized 被请求的页面需要用户名和密码。 403 Forbidden 对被请求页面的访问被禁止。 404 Not Found 服务器无法找到被请求的页面。 405 Method Not Allowed 请求中指定的方法不被允许。
配置防护策略 防护配置概述 配置Web基础防护规则防御常见Web攻击 配置智能访问控制规则精准智能防御CC攻击 配置CC攻击防护规则防御CC攻击 配置精准访问防护规则定制化防护策略 配置IP黑白名单规则拦截/放行指定IP 配置地理位置访问控制规则拦截/放行特定区域请求 配置威胁情
关闭状态。 在“黑白名单设置”配置列表的左上方,单击“添加规则”。 在弹出的对话框中,添加黑白名单规则,如图1和图2所示,参数说明如表1所示。 将IP配置为仅记录后,来自该IP的访问,WAF将根据防护规则进行检测并记录该IP的防护事件数据。 其他的IP将根据配置的WAF防护规则进行检测。
您可以通过Web应用防火墙服务对不再防护的网站执行删除操作。 删除云模式的CNAME方式接入的防护网站前,请您先到DNS服务商处将域名重新解析,指向源站服务器IP地址,否则该域名的流量将无法切回服务器,影响正常访问。 防护网站删除后,如果需要再次添加到WAF中进行防护,需要重新按照网站接入WAF的操作完成域名接入。
有关WAF防护流程的详细介绍,请参见配置引导。 Web应用防火墙是否支持文件缓存? WAF只缓存配置了网页防篡改的静态网页,用于将缓存的未被篡改的网页返回给Web访问者,以达到防篡改的目的。 如果您需要缓存所有的网站内容,可以选择部署CDN,WAF部署在CDN和源站之间,具体的配置方式请参见同时部署CDN和WAF的配置指导。
单击管理控制台左上角的,选择区域或项目。 单击页面左上方的,选择“安全与合规 > Web应用防火墙 WAF”。 在左侧导航树中,选择“防护策略”,进入“防护策略”页面。 单击目标策略名称,进入目标策略的防护配置页面。 选择“智能访问控制”配置框,用户可根据自己的需要开启或关闭智能访问控制策略。
购买WAF独享模式 如果您的业务服务器部署在华为云,您可以通过购买WAF独享引擎实例对重要的域名或仅有IP的Web服务进行防护。购买独享引擎实例后,您还需要为实例配置弹性负载均衡,弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力,同时通过消除单点故障提升应用系统的可用性。 独享模式支持按需计费模式,按使用时长收费。
“检测类型”选择“内容安全单次检测”时,下单后的7个工作日内出报告。 “检测类型”选择“文本安全监测”时,下单后的检测周期(1个月)后的7个工作日内出报告。 步骤一:购买内容安全检测 购买内容安全检测,配置“检测类型”和“检测对象”,可对“检测对象”对应的文本类型进行安全检测。 支持批量购买