检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
object 超时配置 flag 否 HostFlag object 配置独享防护域名合规认证开关 forward_header_map 否 Map<String,String> 字段转发配置,WAF会将添加的字段插到header中,转给源站;Key不能跟nginx原生字段重复。Value支持的值包括:
也不支持添加服务器。 应用场景 WAF默认配置的最低TLS版本为“TLS v1.0”,为了确保网站安全,建议您根据业务实际需求进行配置,支持配置的最低TLS版本如表1所示。 表1 支持配置的最低TLS版本说明 场景 最低TLS版本(推荐) 防护效果 网站安全性能要求很高(例如,银
客户端采用HTTPS协议请求访问服务器,即防护域名的“对外协议”配置为“HTTPS”时,您可以通过为域名配置最低TLS版本和加密套件来确保网站安全。 通过ECS/ELB访问控制策略保护源站安全 介绍源站服务器部署在华为云弹性云服务器(以下简称ECS)、或华为云弹性负载均衡(以下简称ELB)时:
Web应用防火墙可以批量配置黑白名单吗? WAF支持批量配置黑白名单。您可以通过添加地址组,批量设置IP/IP段黑白规则,阻断、仅记录或放行指定IP/IP段的访问请求。您也可以为每一个IP/IP段分别配置黑白名单规则。 IP地址组集中管理IP地址或网段,被黑白名单规则引用时可以批量设置IP/IP地址段。
单击“立即购买”。 确认配置信息,根据界面提示完成创建操作。 步骤二:为创建的ELB配置监听器 在目标负载均衡器所在行的“名称”列,单击目标负载均衡器名称。 选择“监听器”页签,单击“添加监听器”,配置监听器名称、前端协议/端口信息。 单击“下一步:配置后端分配策略”,配置后端分配策略。
查看CFW的访问控制策略,排查是否配置了拦截WAF的回源IP 在CFW上将WAF的回源IP放行,具体操作请参见配置访问控制策略 当网站的后端配置了多个服务器,其中某个源站不通时,请参照以下操作步骤,检查网站的服务器是否配置正确。 修改服务器信息,大约需要2分钟同步生效。 登录管理控制台。
如何测试在WAF中配置的源站IP是IPv6地址? 执行此操作前,请确认已在WAF中添加了域名并完成了域名接入。 假如已在WAF中添加域名www.example.com。通过以下方法可以测试配置的源站IP是否是IPv6地址: 在Windows中打开cmd命令行工具。 执行dig AAAA
查询lts配置信息 功能介绍 查询lts配置信息 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/waf/config/lts 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID,对应控制台用户名->我的凭证->项目列表->项目ID
配置防护策略 防护配置概述 配置Web基础防护规则防御常见Web攻击 配置智能访问控制规则精准智能防御CC攻击 配置CC攻击防护规则防御CC攻击 配置精准访问防护规则定制化防护策略 配置IP黑白名单规则拦截/放行指定IP 配置地理位置访问控制规则拦截/放行特定区域请求 配置威胁情
配置防敏感信息泄露规则避免敏感信息泄露 您可以添加两种类型的防敏感信息泄露规则: 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理,防止用户的敏感信息(身份证号、电话号码(11位中国境内的手机号码)、电子邮箱)泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。
网站接入后推荐配置 配置PCI DSS/3DS合规与TLS 开启IPv6防护 开启HTTP2协议 配置WAF到网站服务器的连接超时时间 开启熔断保护功能保护源站安全 配置攻击惩罚的流量标识 配置Header字段转发 修改拦截返回页面 开启Cookie安全属性 父主题: 网站设置
配置全量日志lts 功能介绍 配置全量日志lts,该接口可用来开启与关闭waf全量日志以及配置日志组和日志流。日志组id和日志流id可前往云日志服务获取。配置的日志流id要属于所配置的日志组。 调用方法 请参见如何调用API。 URI PUT /v1/{project_id}/w
查询告警通知配置 功能介绍 查询告警通知配置 调用方法 请参见如何调用API。 URI GET /v2/{project_id}/waf/alerts 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID,对应控制台用户名->我的凭证->项目列表->项目ID
操作导航:在“防护策略”页面,单击策略名称,进入“防护配置”页面,选择“Web基础防护”区域,选择“拦截”或者“仅记录”模式,开启所有的检测项。具体的操作请参见配置Web基础防护规则。 自定义防护策略(自由组合防护配置规则):防护配置规则的自由组合配置,为您的网站定制适合的防护策略,全方位的防护您的网站。
更新告警通知配置 功能介绍 更新告警通知配置 调用方法 请参见如何调用API。 URI PUT /v2/{project_id}/waf/alert/{alert_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户项目ID alert_id
防护网站已接入WAF 系统影响 防护网站“部署模式”为“云模式-CNAME接入”时,如果要删除的防护网站已经接入Web应用防火墙,在删除防护网站前,请您先到DNS服务商处将域名重新解析,指向源站服务器IP地址,否则该域名的流量将无法切回服务器,影响正常访问。 勾选“强制删除WAF的
Not Acceptable 服务器生成的响应无法被客户端所接受。 407 Proxy Authentication Required 用户必须首先使用代理服务器进行验证,这样请求才会被处理。 408 Request Timeout 请求超出了服务器的等待时间。 409 Conflict
防护场景 参考文档 云模式-CNAME接入 业务服务器部署在华为云、非华为云或线下 防护对象:域名 将网站接入WAF防护(云模式-CNAME接入) 云模式-ELB接入 业务服务器部署在华为云。 大型企业网站,对业务稳定性有较高要求的安全防护需求。 防护对象:域名/IP 将网站接入WAF防护(云模式-ELB接入)
Second)即每秒钟的请求量,例如一个HTTP GET请求就是一个Query。请求次数是间隔时间内请求的总量。 QPS是单个进程每秒请求服务器的成功次数。 QPS = 请求数/秒(req/sec ) “安全总览”页面中QPS的计算方式说明如表1所示。 表1 QPS取值说明 时间段
网站接入 如何在添加域名中配置防护域名? 添加域名时,防护网站端口需要和源站端口配置一样吗? 如何放行云模式WAF的回源IP段? 删除防护域名后CNAME记录会保留多久? 后端服务器配置多个源站地址时的注意事项? Web应用防火墙支持配置泛域名吗? Web应用防火墙支持防护中文域名吗?
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
