检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
给这个服务器IP,这样会导致部分业务受损。如果您希望服务器有健康性检查的功能,建议您将弹性负载均衡(ELB)和WAF搭配使用,ELB的相关配置请参见添加后端云服务器。ELB配置完成后,再将ELB的EIP作为服务器的IP地址,接入WAF,实现健康检查。 父主题: 网站接入
云模式的CNAME接入只能基于域名进行防护 在WAF中配置的源站IP只支持公网IP。例如,源站服务器部署了华为云弹性负载均衡(Elastic Load Balance,简称ELB)时,只要ELB(经典型、共享型或独享型)有公网IP,云模式就可以对域名进行防护。 独享模式和云模式的ELB接入可以对域名或IP进行防护
网站管理 查看网站基本信息 导出网站设置列表 切换防护模式 修改负载均衡算法 更换网站绑定的防护策略 更新网站绑定的证书 修改服务器配置信息 查看防护网站的云监控信息 批量跨企业项目迁移域名 删除防护网站 父主题: 网站设置
扩展字段,用于保存防护域名的一些配置信息。 flag Flag object 特殊标识,用于前端使用 mode String 云模式elb接入域名返回此字段:elb-shared loadbalancer_id String 云模式elb接入域名返回此字段,表示负载均衡器(ELB)id listener_id
原因三:域名/IP参数配置错误 查看域名基本信息,检查域名/IP参数是否正确。 如果域名/IP配置错误,删除该域名/IP后重新添加防护网站。 原因四:没有为独享模式实例配置负载均衡,配置的负载均衡未绑定弹性公网IP 为独享引擎实例配置负载均衡。 为弹性负载均衡绑定弹性公网IP。 原
打开源站服务器上的安全软件,将复制的IP段添加到白名单。 源站服务器部署在华为云ECS上,请参考源站服务器部署在ECS上,放行WAF回源IP进行操作。 源站服务器部署在华为云ELB上,请参考源站服务器部署在华为云ELB上,放行WAF回源IP进行操作。 如果您同时使用了华为云云防火墙(
配置示例 添加防护域名时,可根据您的业务场景参考以下示例进行配置。 示例一:80/443端口业务防护配置 示例二:客户端请求转发到不同的源站服务器 示例三:同一域名对应不同的防护端口 示例四:不同访问模式的协议配置规则 示例一:80/443端口业务防护配置 配置场景:需要防护域名对应的80或者443端口的业务。
选择“云模式-ELB接入”,并单击“开始配置”。 在“添加防护网站”页面,配置信息如图1所示。 ELB(负载均衡器):选择的ELB,需要确认防护网站对应的服务器地址已添加到该ELB。 ELB监听器:“所有监听器”。 防护域名:需要通过WAF防护的域名或IP,此处以“www.example.com”为例。 策略配置:系统自动生成策略。
内置Web基础防护规则ID。 防护动作 防护配置中设置的防护动作,包含:拦截、仅记录、人机验证、不匹配等。 人机验证:CC防护规则中,“防护动作”支持配置“人机验证”。即当访问的请求频率超过设定的“限速频率”后将弹出验证码提示,输入正确的验证码,请求将不受访问限制。 不匹配:配置网页防篡改、防敏感信息
WAF为了防止客户IPv6的业务中断,禁止关闭IPv6的开关,如果确定不需要IPv6防护,需要先修改服务器配置,在源站删除IPv6的配置,具体的操作方法请参见修改服务器配置信息。 开启IPv6防护 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。 单击页面左上方的,选择“安全与合规
必须配置该标识。 jssessionid User标记 用于Params恶意请求的攻击惩罚功能。在选择Params拦截的攻击惩罚功能前,必须配置该标识。 name 单击“确定”,完成标记信息配置。 相关操作 配置攻击惩罚标准封禁访问者指定时长 父主题: 网站接入后推荐配置
源站安全配置 使用WAF提升客户端访问域名的通道安全 使用ECS/ELB访问控制策略保护源站安全
www.example.com/index.html”静态页面配置了网页防篡改规则,则WAF将防护“/index.html”的网页以及这个网页关联的相关资源。 即如果请求中Referer请求头的值中的URL路径与您配置的防篡改路径一致,如“/index.html” ,则该请求命中的资源(结尾为png、jpg、
企业项目下的域名配置PCI DSS/3DS合规与TLS。 前提条件 已添加防护网站且配置的“对外协议”包含HTTPS。 约束条件 防护网站的部署模式为“云模式-CNAME接入”或“独享模式”。 如果您使用“云模式-ELB接入”方式接入网站,需要在ELB控制界面配置TLS安全策略实现加密通信。
如何测试在WAF中配置的源站IP是IPv6地址? 执行此操作前,请确认已在WAF中添加了域名并完成了域名接入。 假如已在WAF中添加域名www.example.com。通过以下方法可以测试配置的源站IP是否是IPv6地址: 在Windows中打开cmd命令行工具。 执行dig AAAA
Web应用防火墙可以批量配置黑白名单吗? WAF支持批量配置黑白名单。您可以通过添加地址组,批量设置IP/IP段黑白规则,阻断、仅记录或放行指定IP/IP段的访问请求。您也可以为每一个IP/IP段分别配置黑白名单规则。 IP地址组集中管理IP地址或网段,被黑白名单规则引用时可以批量设置IP/IP地址段。
面。 单击目标策略名称,进入目标策略的防护配置页面。 选择“隐私屏蔽”配置框,用户可根据自己的需要开启或关闭隐私屏蔽策略。 :开启状态。 :关闭状态。 在“隐私屏蔽”规则配置列表的左上方,单击“添加规则”。 添加隐私屏蔽规则,根据表1配置参数。 图1 添加隐私屏蔽规则 表1 添加隐私屏蔽规则参数说明
通过“云模式-ELB接入”方式添加网站时,ELB配置的监听器中使用的“前端协议”为TCP、UDP、QUIC时,使用该规则不生效。 关闭智能“生成CC防护规则”,智能CC生成的所有规则同步删除。 关闭智能“生成精准防护规则”,智能精准防护规则生成的所有规则同步删除。 配置智能访问控制规则
配置攻击惩罚标准封禁访问者指定时长 当访问者的IP、Cookie或Params恶意请求被WAF拦截时,您可以通过配置攻击惩罚,使WAF按配置的攻击惩罚时长来自动封禁访问者。例如,访问者的源IP(192.168.1.1)为恶意请求,如果您配置了IP攻击惩罚拦截时长为500秒,该攻击
实例。 约束条件 云模式入门版不支持该功能。 通过“云模式-ELB接入”方式添加网站时,ELB配置的监听器中使用的“前端协议”为TCP、UDP、QUIC时,使用该规则不生效。 WAF支持批量导入黑白名单,如果您需要配置多个IP/IP地址段规则,请添加地址组,详细操作请参见添加黑白名单IP地址组。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
