检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
防护端口 需要防护的域名对应的业务端口。 标准端口 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、源站地址、源站端口和权重。 对外协议:客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议:Web应用防火墙转发客户端请求的协议类型。包括
源站返回给WAF的响应状态码。 access_log.method string 请求方法 请求行中的请求类型。通常为“GET”或“POST”。 access_log.http_host string 请求的服务器域名 浏览器的地址栏中输入的地址,域名或IP地址。 access_log
demo.com”的云模式防护域名,该域名的客户端请求访问防护域名源站服务器的协议是“HTTPS”,WAF转发客户端请求到防护域名源站服务器的协议是“HTTP”,源站地址是“ipv4”,源站服务器的IP地址是“x.x.x.x”,WAF转发客户端请求到源站服务的业务端口是"7443
如果提示“重定向次数过多”,一般是由于您在服务器后端配置了HTTP强制跳转HTTPS,在WAF上只配置了一条HTTPS(对外协议)到HTTP(源站协议)的转发,强制WAF将用户的请求进行跳转,所以造成死循环。 可在WAF中修改服务器信息,配置两条HTTP(对外协议)到HTTP(
原因三:源站IP误配置为WAF的回源IP或WAF前代理的IP 如果“源站地址”误配置为WAF的回源IP或WAF前代理的IP,会造成访问死循环,报523错误。 解决办法: 检测源站服务器的配置,将“源站地址”修改为正确的源站IP,具体操作请参见修改服务器配置信息。 图1 修改源站地址 父主题: 流量转发异常排查
选择地址组 当“IP/IP段或地址组” 选择“地址组”时需要设置该参数,在下拉列表框中选择已添加的地址组。您也可以单击“添加地址组”创建新的地址组,详细操作请参见添加黑白名单IP地址组。 groupwaf 防护动作 拦截:IP地址或IP地址段设置的是黑名单且需要拦截,则选择“拦截”。
了解华为云Web应用防火墙的功能特性和应用场景,有助于您更准确地匹配实际业务,更快速地完成域名接入,让您的业务高效上云。 产品介绍 什么是WAF 功能特性 产品优势 应用场景 03 入门 购买WAF后,您可以将您的网站业务接入WAF即开启WAF防护,并根据您的业务场景配置适用的防护策略。 开启WAF防护
独享引擎”,进入“独享引擎”页面。 图5 独享引擎列表 在独享引擎列表的“IP地址”栏,获取所有创建的独享引擎对应的子网IP地址。 单击页面左上方的,选择“计算 > 弹性云服务器”。 在目标ECS所在行的“名称/ID”列中,单击目标ECS实例名称,进入ECS实例的详情页面。 选择“安全组”页签,单击“更改安全组”。
WAF支持导入黑白名单,您可以在添加黑白名单规则时选择通过“地址组”方式导入黑白名单。WAF不支持导出黑白名单。 IP地址组集中管理IP地址或网段,被黑白名单规则引用时可以批量设置IP/IP地址段。 有关配置黑白名单的详细操作,请参见配置黑白名单规则。 父主题: 防护规则
其他参数根据业务需要进行配置。 为1中创建的负载均衡添加监听器,详细操作请参见添加HTTP监听器或添加HTTPS监听器。 创建后端服务器组。 “所属负载均衡器”:选择“关联已有”,并在下拉框中选择1中创建的负载均衡器。 后端服务器配置为5中需要添加到WAF中的网站对应的服务器地址。 执行以下命令,测试业务联通性是否正常。
xx.xx.xx.xx代表源站服务器的源站IP地址,yy代表源站服务器的源站端口,xx.xx.xx.xx和yy必须是同一个服务器的源站地址和端口。 执行curl命令的主机需要满足以下条件: 网络通信正常。 已安装curl命令。Windows操作系统的主机需要手动安装curl,其他操作系统自带curl。
WAF支持批量配置黑白名单。您可以通过添加地址组,批量设置IP/IP段黑白规则,阻断、仅记录或放行指定IP/IP段的访问请求。您也可以为每一个IP/IP段分别配置黑白名单规则。 IP地址组集中管理IP地址或网段,被黑白名单规则引用时可以批量设置IP/IP地址段。 有关配置黑白名单规则的详细操作,请参见配置黑白名单规则。
example.com的业务都是8080端口的业务,则“防护域名”直接配置为单域名“www.example.com”。 如果各子域名对应的服务器IP地址相同:输入防护的泛域名。例如:a.example.com、b.example.com和c.example.com对应的服务器IP地址相同,则“防护域名”可配置为泛域名“*
如何放行云模式WAF的回源IP段? 删除防护域名后CNAME记录会保留多久? 后端服务器配置多个源站地址时的注意事项? Web应用防火墙支持配置泛域名吗? Web应用防火墙支持防护中文域名吗? 泛域名和单域名都接入WAF,WAF如何转发访问请求? 添加域名时提示“非法的源站地址”,如何处理?
议。仅HTTP协议支持防护8080端口,因此,添加的两条服务器地址中的“对外协议”都配置为HTTP,具体配置如图2所示。 图2 客户端请求转发到不同的源站服务器 图2中红框内的参数配置是固定的配置,其他参数配置根据实际情况进行配置。 此场景下,访问网站时,域名后必须加端口号进行访
WAF如何解析/访问IPv6源站? 当防护网站的源站地址配置为IPv6地址时,WAF直接通过IPv6地址访问源站。WAF默认在CNAME中增加IPv6地址解析,IPv6的所有访问请求将先流转到WAF,WAF检测并过滤恶意攻击流量后,将正常流量返回给源站,从而确保源站安全、稳定、可用。
域名接入Web应用防火墙后,能通过IP访问网站吗? 域名接入到Web应用防火墙后,可以直接在浏览器的地址栏输入源站IP地址进行访问。但是这样容易暴露您的源站IP,使攻击者可以绕过Web应用防火墙直接攻击您的源站。 Web应用防火墙(Web Application Firewall,WAF),
ance_id的域名下的两个源站服务器,第一个源站服务器的IP地址是x.x.x.x,端口号是80,源站地址是ipv4的,源站权重是1,客户端请求访问防护域名源站服务器的协议和WAF转发客户端请求到防护域名源站服务器的协议都是HTTP协议;第二个源站服务器的IP地址是x.x.x.x
云审计服务支持的WAF操作列表 云审计服务(Cloud Trace Service,CTS)记录了Web应用防火墙相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见云审计服务用户指南。 表1 云审计服务支持的WAF操作列表 操作名称 资源类型 事件名称 创建云模式域名 instance
防护端口 需要防护的域名对应的业务端口。 标准端口 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、源站地址、源站端口和权重。 对外协议:客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议:Web应用防火墙转发客户端请求的协议类型。包括
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
