检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
“云模式”仅专业版、铂金版支持手动设置连接超时时长。 WAF不支持手动设置浏览器到WAF引擎的连接超时时长,仅支持配置WAF到客户源站的连接超时时长。 开启后不支持关闭。 支持配置网站连接超时时间的区域,请参考功能总览。 配置WAF到网站服务器的连接超时时间 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。
本信息页面。 在“源站服务器”栏中,单击“编辑”。 在“修改服务器信息”页面,根据需要修改服务器的各项配置以及已绑定的证书。 关于证书更新的详细内容可参见更新网站绑定的证书。 WAF支持配置多个后端服务器,如果需要增加后端服务器,可单击“添加”,增加服务器。 如果需要开启IPv6
登录管理控制台。 单击管理控制台左上角的,选择区域或项目。 单击页面左上方的,选择“计算 > 弹性云服务器 ECS”。 在目标ECS所在行的“名称/ID”列中,单击目标ECS实例名称,进入ECS实例的详情页面。 选择“安全组”页签,单击“更改安全组”。 单击安全组ID,进入安全组基本信息页面。
方案概述 应用场景 当客户发现网站处理速度下降,网络带宽占用过高时,很有可能已经遭受CC攻击,此时可查看Web服务器的访问日志或网络连接数量,如果访问日志或网络连接数量显著增加,则可确定已遭受CC攻击,可以按照以下策略进行配置,利用WAF阻断CC攻击,保障网站业务的正常运行。 W
服务器的访问日志或网络连接数量,如果访问日志或网络连接数量显著增加,则可确定遭受CC攻击。 解决办法 确认WAF的防护策略的配置规则都开启了拦截模式。 配置一条“路径”包含“/”的CC策略对网站的全路径进行防护,限速频率设置严格一些,观察请求流量,确认攻击是否缓减,并根据防护效果调整策略,配置如图1所示。
连接超时时长是多少,是否可以手动设置该时长? 浏览器到WAF引擎的连接超时时长默认是120秒,该值取决于浏览器的配置,该值在WAF界面不可以手动设置。 WAF到客户源站的连接超时时长默认为30秒,该值可以在WAF界面手动设置,但仅“独享模式”和“云模式”的专业版、铂金版支持手动设置连接超时时长。
仍然会转发流量给这个服务器IP,这样会导致部分业务受损。如果您希望服务器有健康性检查的功能,建议您将弹性负载均衡(ELB)和WAF搭配使用,ELB的相关配置请参见添加后端云服务器。ELB配置完成后,再将ELB的EIP作为服务器的IP地址,接入WAF,实现健康检查。 父主题: 网站接入
填写需要防护的域名对应的业务端口。 服务器配置 对外协议:客户端请求访问服务器的协议类型。包括HTTP、HTTPS两种协议类型。 源站协议:Web应用防火墙转发客户端请求的协议类型。包括HTTP、HTTPS两种协议类型。 源站地址:填写网站对应的源站服务器的公网IP地址或源站域名,用于
已安装curl命令。Windows操作系统的主机需要手动安装curl,其他操作系统自带curl。 将新购买的独享引擎实例添加到ELB的后端服务器上。 以添加共享型后端服务器为例说明,添加后端服务器操作步骤如下。 单击页面左上方的,选择“安全与合规 > Web应用防火墙”,进入“安全总览”页面。 在左侧导航树中,选择“系统管理
压缩选项),而源站服务器可能不支持压缩。 连接复用 WAF与源站服务器之间会复用socket连接,这样会降低源站服务器与WAF之间的带宽消耗。 攻击请求 攻击请求被WAF拦截,而这种请求不会消耗源站服务器的带宽。 其他异常请求 如果源站服务器存在超时,无法连接等情况,这种情况不会消耗源站务器的带宽。
在“熔断保护”所在行,单击,开启熔断保护。 图1 熔断保护 根据业务需要,在各参数所在行,单击,配置“宕机保护”和“连接保护”参数值,并单击保存设置,参数说明如表1所示。 表1 连接保护参数说明 参数 参数说明 示例 宕机保护 502/504数量阈值 每30s累加的502/504数量阈值 1000
云模式服务器的源站地址可以配置成CNAME吗? 可以。如果服务器的源站地址配置为CNAME,添加域名后会多经历一层DNS解析,即先将CNAME解析为IP地址,DNS解析会增加时延,故推荐您将源站地址配置成公网IP地址。 添加域名的相关配置请参见添加防护域名。 父主题: 网站接入
所有回源IP。 图5 复制回源IP 打开源站服务器上的安全软件,将复制的IP段添加到白名单。 源站服务器部署在华为云ECS上,请参考源站服务器部署在ECS上,放行WAF回源IP进行操作。 源站服务器部署在华为云ELB上,请参考源站服务器部署在华为云ELB上,放行WAF回源IP进行操作。
000 回源长连接(每域名) - 标准版 2,000 QPS 6,000回源长连接(每域名) 100,000QPS 专业版 5,000 QPS业务请求 6,000 回源长连接(每域名) 200,000QPS 铂金版 10,000 QPS业务请求 6,000 回源长连接(每域名) 1
图3 Web应用防火墙的回源IP网段 打开源站服务器上的安全软件,将复制的IP段添加到白名单。 源站服务器部署在华为云ECS上,请参考源站服务器部署在ECS上,放行WAF回源IP进行操作。 源站服务器部署在华为云ELB上,请参考源站服务器部署在华为云ELB上,放行WAF回源IP进行操作。
Security,传输层安全性协议)+HTTP协议构建的可进行加密传输、身份认证的网络协议。当域名接入WAF时,如果客户端采用HTTPS协议请求访问服务器,即防护域名的“对外协议”配置为“HTTPS”时,您可以通过为域名配置最低TLS版本和加密套件来确保网站安全,详细说明如下: 最低TLS版本
在目标域名所在行的“域名”列中,单击目标域名,进入域名基本信息页面。 在“源站服务器”栏中,单击编辑,进入“修改服务器信息”页面,单击“添加”,新增后端服务器。 图9 服务器配置 将“源站地址”设置为ELB的弹性公网IP地址。 单击“确定”,服务器信息修改成功。 父主题: 流量转发异常排查
接入WAF防护后,您需要在源站服务器上设置放行创建的独享引擎实例对应的子网IP,不然可能会出现网站打不开或打开极其缓慢等情况。 根据您的源站服务器部署位置,选择以下方式进行操作。 回源到ECS 回源到ELB 如果您的源站服务器直接部署在华为云ECS上,请参考以下操作步骤设置安全组规则,放行独享模式回源IP。
访问流量回源到源站ECS实例;而当站点遭受攻击(CC攻击或DDoS攻击)时,WAF将异常流量拦截、过滤后,将正常流量回源到源站ECS实例。因此,您在云服务器(ECS)管理控制台中查看您源站ECS实例的入方向及出方向的流量就是正常的业务流量。如果存在多个源站ECS实例,则需要统计所
Websocket业务:支持最大并发连接5,000 最大回源长连接:60,000 WAF实例规格选择WI-100,参考性能: HTTP业务:建议1,000QPS;极限2,000QPS HTTPS业务:建议800QPS;极限1,600QPS Websocket业务:支持最大并发连接1,000 最大回源长连接:60