检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
浏览器直达服务器,中间可能部署有CDN、WAF、高防等代理服务器(架构为“用户 > CDN/WAF/高防等代理服务 > 源站服务器”)。以WAF为例,部署示意图如图1所示。 图1 部署WAF原理图 当网站没有接入到WAF前,DNS直接解析到源站的IP,用户直接访问服务器。 当网站
否则访问网站时会出现404错误。 81 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、VPC、源站地址和源站端口。 对外协议:客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议:网站服务器支持的协议类型。也是Web应用防火墙转发客
false:不使用代理 true:使用代理 timestamp Long 创建防护域名的时间 paid_type String 套餐付费模式,默认值为prePaid。prePaid:包周期款模式;postPaid:按需模式。 flag Flag object 特殊标识,用于前端使用 waf_type
www.example.com 防护端口 需要防护的域名对应的业务端口。 标准端口 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、源站地址、源站端口和权重。 对外协议:客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议:Web应用防
www.example.com 防护端口 需要防护的域名对应的业务端口。 标准端口 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、源站地址、源站端口和权重。 对外协议:客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议:Web应用防
于后续功能扩展,用户可忽略 true:使用独享ip false:不使用独享ip paid_type String 套餐付费模式,默认值为prePaid。prePaid:包周期款模式;postPaid:按需模式。 web_tag String 网站名称,对应WAF控制台域名详情中的网站名称
测到开源组件Fastjson存在远程代码执行漏洞,此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用,可直接获取服务器权限,危害严重。 影响的版本范围 漏洞影响的产品版本包括:Fastjson 1.2.51以下的版本,不包括Fastjson 1.2.51版本。
测到开源组件Fastjson存在远程代码执行漏洞,此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用,可直接获取服务器权限,危害严重。 影响的版本范围 漏洞影响的产品版本包括:Fastjson 1.2.51以下的版本,不包括Fastjson 1.2.51版本。
创建防护策略 功能介绍 创建防护策略,系统会在生成策略时配置一些默认的配置项,如果需要修改策略的默认配置项需要通过调用更新防护策略接口实现 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/waf/policy 表1 路径参数 参数 是否必选 参数类型
访问流量回源到源站ECS实例;而当站点遭受攻击(CC攻击或DDoS攻击)时,WAF将异常流量拦截、过滤后,将正常流量回源到源站ECS实例。因此,您在云服务器(ECS)管理控制台中查看您源站ECS实例的入方向及出方向的流量就是正常的业务流量。如果存在多个源站ECS实例,则需要统计所
域名接入WAF后,为什么无法开启防护模式? 其他用户在WAF配置了同样的域名,导致域名所有权被另外一个用户占有了。此时,您需要前往您的DNS服务商处,添加一条“子域名”,并为该子域名配置一条“TXT记录”。 具体的配置方法请参见未配置子域名和TXT记录的影响?。 父主题: 网站接入
求进行检测。 接入方式 防护场景 参考文档 云模式-CNAME接入 业务服务器部署在华为云、非华为云或线下 防护对象:域名 将网站接入WAF防护(云模式-CNAME接入) 云模式-ELB接入 业务服务器部署在华为云。 大型企业网站,对业务稳定性有较高要求的安全防护需求。 防护对象:域名/IP
在“域名”列,单击目标域名的名称,进入域名配置页面。 选择“缓存配置”页签,单击“编辑”,系统弹出“配置缓存策略”对话框。 单击“添加”,添加两条缓存策略规则,如图2所示,相关参数说明如表1所示。 图2 “配置缓存策略”对话框 表1 配置静态URL缓存策略参数说明 参数 配置说明 类型 选择“全路径”。
false:不使用代理 true:使用代理 timestamp Long 创建防护域名的时间 paid_type String 套餐付费模式,默认值为prePaid。prePaid:包周期款模式;postPaid:按需模式。 flag Flag object 特殊标识,用于前端使用 waf_type
当网站的部署架构如图1所示时(即独享引擎实例后端部署了内网ELB),将EIP从公网ELB上解绑,然后再绑定到内网ELB上,使业务请求绕过WAF,直接到达源站。 图1 独享模式部署架构(独享引擎实例后端部署了内网ELB) 当网站的部署架构如图2所示时(即独享引擎实例后端未部署内网ELB),将公网ELB上添加的独享引擎实
查看CFW的访问控制策略,排查是否配置了拦截WAF的回源IP 在CFW上将WAF的回源IP放行,具体操作请参见配置访问控制策略 当网站的后端配置了多个服务器,其中某个源站不通时,请参照以下操作步骤,检查网站的服务器是否配置正确。 修改服务器信息,大约需要2分钟同步生效。 登录管理控制台。
如何处理Appscan等扫描器检测结果为Cookie缺失Secure/HttpOnly? Cookie是后端Web Server插入的,可以通过框架配置或set-cookie实现,其中,Cookie中配置Secure,HttpOnly有助于防范XSS等攻击获取Cookie,对于Cookie劫持有一定的防御作用。 A
2019年09月03日,华为云安全团队检测到应用较广的开源组件Fastjson的多个版本出现拒绝服务漏洞。攻击者利用该漏洞,可构造恶意请求发给使用了Fastjson的服务器,使其内存和CPU耗尽,最终崩溃,造成用户业务瘫痪。目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。
WAF对其他云服务有诸多依赖关系,因此在您开启IAM系统策略授权后,在WAF Console控制台的各项功能需要配置相应的服务权限后才能正常查看或使用,依赖服务的权限配置均基于您已设置了IAM系统策略授权的WAF FullAccess或WAF ReadOnlyAccess策略权限,
2019年09月03日,华为云安全团队检测到应用较广的开源组件Fastjson的多个版本出现拒绝服务漏洞。攻击者利用该漏洞,可构造恶意请求发给使用了Fastjson的服务器,使其内存和CPU耗尽,最终崩溃,造成用户业务瘫痪。目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
