检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
未配置子域名和TXT记录的影响? 如果在WAF中添加的域名,已使用了DDoS高防等相关代理产品,但是没有在DNS服务商处配置“子域名”和“TXT记录”,WAF将无法判断域名的所有权。 因此,为了防止其他用户提前将您的域名配置到Web应用防火墙上,干扰WAF对您的域名进行防护,请在
方向和出方向总流量的峰值,确保您选购的WAF所对应的业务带宽限制大于入、出方向总流量峰值中较大的值。 什么是流量? 流量指的是业务去掉攻击流量后的正常流量。例如,您需要将所有站点对外访问的流量都接入WAF进行防护,在正常访问(未遭受攻击)时,WAF将这些正常访问流量回源到源站EC
WAF检测后的正常流量转发回Web业务的源站服务器。 如果您已开通企业项目,您可以在“企业项目”下拉列表中选择您所在的企业项目,在该企业项目下添加防护网站。 方案概述 CNAME模式下,将网站接入WAF,就是实现将网站流量牵引到WAF进行检测,再将检测后的流量转发到源站的过程。网
WAF的业务QPS是指所有该WAF防护的域名、站点中正常业务流量的大小,单位为QPS。 购买WAF时,您需要提前考虑准备通过WAF配置防护的所有站点的日常入方向和出方向总流量的峰值,确保您选购的WAF所对应的业务带宽限制大于入、出方向总流量峰值中较大的值。 有关WAF各版本防护规格的详细介绍,请参见服务版本差异。
WAF云模式-ELB接入默认只支持云上业务,当您的源站服务器在云下时,需要通过NAT网关进行流量转发,将您的流量由华为云内网回源到源站的公网IP,再通过云模式-ELB接入方式将网站接入WAF,实现流量检测。 方案架构 图1 方案架构 资源与成本规划 表1 资源和成本规划 资源 资源说明
网站接入配置 未使用代理的网站通过CNAME方式接入WAF 使用DDoS高防和WAF提升网站全面防护能力 使用CDN和WAF提升网站防护能力和访问速度 使用独享WAF和7层ELB以防护任意非标端口 CDN回源OBS桶场景下连接WAF提升OBS安全防护 使用WAF、ELB和NAT网关防护云下业务
参见修改后端云服务器权重,在ELB管理控制台上,记录任一独享引擎实例的流量权重后,将该实例的流量权重设置为“0”。 新的请求不会转发到权重为0的后端。 待业务流量降下来后,升级独享引擎实例版本。 查看独享实例的云监控信息,“新建连接数”较小时(例如,小于5),说明业务流量已经降下来。 在WAF控制台的左侧导航树中,选择“系统管理
as Code一键式部署类最佳实践 表1 WAF最佳实践 分类 相关文档 网站接入配置 未使用代理的网站通过CNAME方式接入WAF 使用DDoS高防和WAF提升网站全面防护能力 使用CDN和WAF提升网站防护能力和访问速度 使用独享WAF和7层ELB以防护任意非标端口 CDN回源
AF再将流量转到源站,实现网站流量检测和攻击拦截。 图1 未使用代理配置原理图 方案优势 使网站流量经过WAF,WAF通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫
修改域名DNS解析设置 域名在接入WAF前未使用代理 到该域名的DNS服务商处,配置防护域名的别名解析。 域名在接入WAF前使用代理(DDoS高防、CDN等) 将使用的代理类服务(DDoS高防、CDN等)的回源地址修改为的目标域名的“CNAME”值。 一站式将网站接入WAF即可,具体操作请参见将网站接入WAF防护(云模式-ELB接入)。
您可以参考云服务器(ECS)管理控制台中的流量统计,或者通过您站点服务器上的其它监控工具来评估您的实际业务流量大小。 流量指的是业务去掉攻击流量后的正常流量。例如,您需要将所有站点对外访问的流量都接入WAF进行防护,在正常访问(未遭受攻击)时,WAF将这些正常访问流量回源到源站ECS实例;而当站
切换防护模式 网站接入WAF防护后,默认开启WAF防护,WAF会根据您配置的防护策略进行流量检测。如果大量的正常业务被拦截,比如大量返回418返回码,可以暂停防护。暂停防护后,WAF对所有的流量请求只转发不检测,日志也不会记录。 如果您已开通企业项目,您需要在“企业项目”下拉列表中
F,WAF检测并过滤恶意攻击流量后,将正常流量返回给源站,从而确保源站安全、稳定、可用。 WAF支持IPv6/IPv4双栈模式和NAT64机制,详细说明如下: Web应用防火墙支持IPv6/IPv4双栈,针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4
IPv6的接入地址,WAF默认在CNAME中增加IPv6地址解析,IPv6的所有访问请求将先流转到WAF,WAF检测并过滤恶意攻击流量后,将正常流量返回给源站,从而确保源站安全、稳定、可用。 当防护网站的源站地址配置为IPv6地址时,默认开启IPv6防护。WAF使用IPv6回源地址和源站发起连接。
网站访问示意图 流量访问说明如下: 用户在浏览器输入域名后,客户端会向DNS发送请求,查询域名解析地址。 DNS返回域名解析地址。 客户端通过EIP访问ELB。 ELB将流量镜像给WAF。 WAF检测后,将检测结果同步给ELB。 ELB根据WAF检测结果,将正常流量转发给源站服务器。
方案概述 独享模式下,将网站接入WAF后,网站流量会通过ELB传给WAF,经过WAF检测后,异常请求将被拦截,正常请求会通过WAF独享引擎回源IP转发到源站服务器。网站接入WAF后,流量访问示意图如图1所示。 图1 网站访问示意图 流量访问说明如下: 用户在浏览器输入域名后,客户端会向DNS发送请求,查询域名解析地址。
配置防护规则 配置CC攻击防护策略 通过黑白名单设置拦截网站恶意IP流量 05 实践 基于业务场景及客户需求的最佳实践,助您快速使用WAF防护您的网站。 防护Web业务 单独使用WAF的配置指导 同时部署DDoS高防和WAF的配置指导 同时部署CDN和WAF的配置指导 网站防护配置建议
Web应用防火墙是否支持IPv4和IPv6共存? WAF支持IPv4和IPv6共存,针对同一域名可以同时提供IPv6和IPv4的流量防护。 Web应用防火墙支持IPv6/IPv4双栈,针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务,Web应用防火墙支持NAT64机制(NA
护能力,配置原理图如图1所示。 图1 使用代理配置原理图 CDN+WAF配置后,流量被CDN加速后转发到WAF,WAF再将流量转到源站,在提升用户访问网站的响应速度与网站的可用性的同时,实现网站流量检测和攻击拦截。 相关配置说明如下: 云模式-CNAME接入 先将域名解析到CDN
端和服务器之间,网站所有访问请求将先流转到WAF,WAF检测过滤恶意攻击流量后,将正常流量返回给源站,从而确保源站安全、稳定、可用。 CFW可对全流量进行精细化管控,包括互联网边界防护,跨VPC,NAT流量防护,防止外部入侵、内部渗透攻击和从内到外的非法访问。 部署模式 WAF支持云模式、独享模式和ELB模式。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
