检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
图2 添加“放行”防护动作 开启地理位置访问控制。 图3 地理位置访问控制配置框 配置一条精准访问防护规则,拦截所有的请求。 图4 拦截所有访问请求 有关配置精准访问防护规则的详细介绍,请参见配置精准访问防护规则定制化防护策略。 清理浏览器缓存,在浏览器中访问“http://www
创建引用表对防护指标进行批量配置 该章节指导您创建引用表,即可对路径、User Agent、IP、Params、Cookie、Referer、Header等这些单一类型的防护指标进行批量配置,引用表能够被CC攻击防护规则、精准访问防护规则和网站反爬虫防护规则所引用。 当配置CC攻击防护规则、
environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"]
网站接入配置 未使用代理的网站通过CNAME方式接入WAF 使用DDoS高防和WAF提升网站全面防护能力 使用CDN和WAF提升网站防护能力和访问速度 使用独享WAF和7层ELB以防护任意非标端口 CDN回源OBS桶场景下连接WAF提升OBS安全防护 使用WAF、ELB和NAT网关防护云下业务
必须配置该标识。 jssessionid User标记 用于Params恶意请求的攻击惩罚功能。在选择Params拦截的攻击惩罚功能前,必须配置该标识。 name 单击“确认”,完成标记信息配置。 相关操作 配置攻击惩罚标准封禁访问者指定时长 父主题: 网站接入后推荐配置
约束条件 当“不检测模块”配置为“所有检测模块”时,通过WAF配置的其他所有的规则都不会生效,WAF将放行该域名下的所有请求流量。 当“不检测模块”配置为“Web基础防护模块”时,仅对WAF预置的Web基础防护规则和网站反爬虫的“特征反爬虫”拦截或记录的攻击事件可以配置全局白名单规则,防护规则相关说明如下:
配置示例 添加防护域名时,可根据您的业务场景参考以下示例进行配置。 示例一:80/443端口业务防护配置 示例二:客户端请求转发到不同的源站服务器 示例三:同一域名对应不同的防护端口 示例四:不同访问模式的协议配置规则 示例一:80/443端口业务防护配置 配置场景:需要防护域名对应的80或者443端口的业务。
WAF为了防止客户IPv6的业务中断,禁止关闭IPv6的开关,如果确定不需要IPv6防护,需要先修改服务器配置,在源站删除IPv6的配置,具体的操作方法请参见修改服务器配置信息。 开启IPv6防护 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。 单击页面左上方的,选择“安全与合规
阻断特定文件类型请求 配置示例-防盗链 通过配置Referer匹配字段的访问控制规则,您可以阻断特定网站的盗链。例如,您发现“https://abc.blog.com”大量盗用本站的图片,您可以配置精准访问防护规则阻断相关访问请求。 图7 防盗链 配置示例-单独放行指定IP的访问 配置两条精准
防护配置概述 本文介绍Web应用防火墙(Web Application Firewall,WAF)服务的防护策略的配置流程以及WAF引擎检测机制及规则的检测顺序。 防护规则概览 网站接入WAF防护后,您需要为网站配置防护策略。 表1 可配置的防护规则 防护规则 说明 参考文档 Web基础防护规则
查询告警通知配置 功能介绍 查询告警通知配置 调用方法 请参见如何调用API。 URI GET /v2/{project_id}/waf/alerts 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID,对应控制台用户名->我的凭证->项目列表->项目ID
配置网站反爬虫防护规则防御爬虫攻击 您可以通过配置网站反爬虫防护规则,防护搜索引擎、扫描器、脚本工具、其它爬虫等爬虫,以及自定义JS脚本反爬虫防护规则。 如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名配置防护策略。
Web应用防火墙可以批量配置黑白名单吗? WAF支持批量配置黑白名单。您可以通过添加地址组,批量设置IP/IP段黑白规则,阻断、仅记录或放行指定IP/IP段的访问请求。您也可以为每一个IP/IP段分别配置黑白名单规则。 IP地址组集中管理IP地址或网段,被黑白名单规则引用时可以批量设置IP/IP地址段。
如何测试在WAF中配置的源站IP是IPv6地址? 执行此操作前,请确认已在WAF中添加了域名并完成了域名接入。 假如已在WAF中添加域名www.example.com。通过以下方法可以测试配置的源站IP是否是IPv6地址: 在Windows中打开cmd命令行工具。 执行dig AAAA
配置防护策略 防护配置概述 配置Web基础防护规则防御常见Web攻击 配置智能访问控制规则精准智能防御CC攻击 配置CC攻击防护规则防御CC攻击 配置精准访问防护规则定制化防护策略 配置IP黑白名单规则拦截/放行指定IP 配置地理位置访问控制规则拦截/放行特定区域请求 配置威胁情
查询lts配置信息 功能介绍 查询lts配置信息 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/waf/config/lts 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID,对应控制台用户名->我的凭证->项目列表->项目ID
单击目标策略名称,进入目标策略的防护配置页面。 选择“智能访问控制”配置框,用户可根据自己的需要开启或关闭智能访问控制策略。 :开启状态。 :关闭状态。 单击“智能生成规则设置”,进入“智能生成规则设置”页面,参数配置参考表1。 图1 智能生成规则设置 表1 智能生成规则参数说明 规则 参数
源站安全配置 使用WAF提升客户端访问域名的通道安全 使用ECS/ELB访问控制策略保护源站安全
在左侧导航树中,选择“网站设置”,进入网站设置列表。 在网站列表的左上角,单击“添加防护网站”。 选择“云模式-CNAME接入”并单击“开始配置”。 根据界面提示,配置网站信息,如表2所示。 图2 基础信息配置 表2 重点参数说明 参数 参数说明 取值样例 防护域名 需要添加到WAF中防护的域名。 域名已完成备案
environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"]