检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
添加域名时,防护网站端口需要和源站端口配置一样吗? 端口为实际防护网站的端口,源站端口是WAF转发客户端请求到服务器的业务端口。两者不用配置为一样,端口配置说明如下: “对外协议”选择“HTTP”时,WAF默认防护“80”标准端口的业务;“对外协议”选择“HTTPS”时,WAF默认防护“443”标准端口的业务。
业务使用了IPv6,WAF中的源站地址如何配置? 如果域名已接入了WAF(源站地址配置为IPv4地址)进行防护,当业务开启了IPv6时,WAF中配置的源站地址可以保持原IPv4地址,也可以修改为IPv6地址。 WAF支持IPv6/IPv4双栈模式和NAT64机制,详细说明如下:
在“域名”列,单击目标域名的名称,进入域名配置页面。 选择“缓存配置”页签,单击“编辑”,系统弹出“配置缓存策略”对话框。 单击“添加”,添加两条缓存策略规则,如图2所示,相关参数说明如表1所示。 图2 “配置缓存策略”对话框 表1 配置静态URL缓存策略参数说明 参数 配置说明 类型 选择“全路径”。
在什么情况下使用Cookie区分用户? CC规则里“限速频率”和“放行频率”的区别? 配置“人机验证”CC防护规则后,验证码不能刷新,验证一直不通过,如何处理? 如何不拦截带有.js的文件? Web应用防火墙可以批量配置黑白名单吗? Web应用防火墙可以导入/导出黑白名单吗? 开启JS脚本反爬虫后,为什么客户端请求获取页面失败?
网站接入 如何在添加域名中配置防护域名? 添加域名时,防护网站端口需要和源站端口配置一样吗? 如何放行云模式WAF的回源IP段? 删除防护域名后CNAME记录会保留多久? 后端服务器配置多个源站地址时的注意事项? Web应用防火墙支持配置泛域名吗? Web应用防火墙支持防护中文域名吗?
如果您的源站部署了Nginx反向代理,可通过在Nginx反向代理配置Location信息,后端Web服务器即可通过类似函数获取客户的真实IP地址。 根据源站Nginx反向代理的配置,在Nginx反向代理的相应location位置配置如下内容,获取客户IP的信息。 1 2 3 4 Location ^ /<uri>
在左侧导航树中,选择“网站设置”,进入网站设置列表。 在网站列表的左上角,单击“添加防护网站”。 选择“云模式-CNAME接入”并单击“开始配置”。 根据界面提示,配置网站信息,如表2所示。 图3 基础信息配置 表2 重点参数说明 参数 参数说明 取值样例 防护域名 需要添加到WAF中防护的域名。 域名已完成备案
当防护网站成功接入WAF后,您可以使用接口测试工具模拟用户发起各类HTTP(S)请求,以验证配置的WAF防护规则是否生效,即验证配置防护规则的防护效果。本实践以Postman工具为例,说明如何验证全局白名单规则。 应用示例 例如,您的业务部署在“/product”路径下,由于生态开发,针对参数ID存在用户提交脚本或富文本格式(Rich
域名接入WAF后,为什么无法开启防护模式? 其他用户在WAF配置了同样的域名,导致域名所有权被另外一个用户占有了。此时,您需要前往您的DNS服务商处,添加一条“子域名”,并为该子域名配置一条“TXT记录”。 具体的配置方法请参见未配置子域名和TXT记录的影响?。 父主题: 网站接入
如果回显信息中的IP地址为2中的WAFIP地址,说明域名参数配置正确。 如果域名参数配置错误,删除该域名后重新添加防护网站。 原因四:未配置域名解析或代理回源地址 确认接入WAF的网站是否使用高防、CDN、云加速等代理。 是:确保网站的“是否使用七层代理”已配置为“是”。 将CDN等代理回源地址修改为WAF的“CNAME”。
} 原因三:源站IP误配置为WAF的回源IP或WAF前代理的IP 如果“源站地址”误配置为WAF的回源IP或WAF前代理的IP,会造成访问死循环,报523错误。 解决办法: 检测源站服务器的配置,将“源站地址”修改为正确的源站IP,具体操作请参见修改服务器配置信息。 图1 修改源站地址
js的文件? 您可以通过WAF的精准访问防护规则配置放行路径后缀为.js的文件,具体配置如下: 登录华为云WAF控制台,参考图1进入华为云WAF防护规则配置页面。 图1 防护规则配置页面入口 选择“精准访问防护”配置框,单击“添加规则”,配置如图2所示的规则。 图2 放行带.js的文件
Struts2远程代码执行漏洞(CVE-2021-31805)。 参考以下配置方法完成配置。 配置方法 购买WAF。 将网站域名添加到WAF中并完成域名接入,详细操作请参见添加防护域名。 将Web基础防护动作设置为“拦截”模式,详细操作请参见配置Web基础防护规则。 父主题: 产品咨询
从而将账户用户密码、信用卡数据和其他敏感信息泄露给黑客。 解决办法 建议您在TLS配置里,将“最低TLS版本”配置为“TLS v1.2”,“加密套件”配置为“加密套件2”,具体操作如请参见配置PCI DSS/3DS合规与TLS。 父主题: 证书/加密套件问题排查
防护域名的源站服务器配置信息 block_page 否 BlockPage object 告警页面配置,该参数为非必填参数。当需要配置自定义页面时,该参数的子字段都为必填参数 forward_header_map 否 Map<String,String> 字段转发配置,WAF会将添加
故障现象 添加防护域名时,无法添加域名,提示“非法的源站地址”。 可能原因 “源站地址”配置为内部保留的私网IP地址。 “防护对象”和“源站地址”配置成了一样。 处理建议 将“源站地址”配置为真实的源站IP地址(公网IP地址)或单独的回源域名(回源域名不能和“防护域名”相同)。 父主题:
创建地理位置控制规则 功能介绍 创建地理位置控制规则 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/waf/policy/{policy_id}/geoip 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String
如何处理Appscan等扫描器检测结果为Cookie缺失Secure/HttpOnly? Cookie是后端Web Server插入的,可以通过框架配置或set-cookie实现,其中,Cookie中配置Secure,HttpOnly有助于防范XSS等攻击获取Cookie,对于Cookie劫持有一定的防御作用。 A
core RCE漏洞的拦截情况 使用LTS配置WAF规则的拦截告警 源站安全配置 使用WAF提升客户端访问域名的通道安全 使用ECS/ELB访问控制策略保护源站安全 获取客户端真实IP 获取客户端真实IP 通过CES配置WAF指标异常告警 使用CES配置WAF指标异常告警 安全与治理 Web网站基础安全防护
在删除防护网站对话框中,确认删除防护网站。 云模式 未使用代理 确保已完成并勾选“已经在DNS服务商处将域名的CNAME删除并配置A记录到源站地址,或该域名业务已下线”。 勾选“强制删除WAF的接入CNAME”后,WAF不再检测业务域名解析配置,立即删除WAF的CNAME,如果业务域名解析未做修改,可能会导致业务异常。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
