-
如何处理“协议不受支持,客户端和服务器不支持一般 SSL 协议版本或加密套件”? - Web应用防火墙 WAF
如何处理“协议不受支持,客户端和服务器不支持一般 SSL 协议版本或加密套件”? 现象 域名接入WAF后,不能正常访问网站,提示“协议不受支持,客户端和服务器不支持一般 SSL 协议版本或加密套件”。 解决办法 建议您在TLS配置里,将“加密套件”切换为“默认加密套件”,具体操作请参见配置PCI
-
证书/加密套件问题排查 - Web应用防火墙 WAF
证书/加密套件问题排查 如何解决证书链不完整? 如何解决证书与密钥不匹配问题? 如何解决HTTPS请求在部分手机访问异常? 如何处理“协议不受支持,客户端和服务器不支持一般 SSL 协议版本或加密套件”? 如何解决“网站被检测到:SSL/TLS 存在Bar Mitzvah Attack漏洞”?
-
如何解决“网站被检测到:SSL/TLS 存在Bar Mitzvah Attack漏洞”? - Web应用防火墙 WAF
Attack漏洞是由RC4加密算法中一个问题所导致的。该问题能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户密码、信用卡数据和其他敏感信息泄露给黑客。 解决办法 建议您在TLS配置里,将“最低TLS版本”配置为“TLS v1.2”,“加密套件”配置为“加密套件2”,具体操作如请参见配置PCI
-
通过WAF提升客户端访问域名的通道安全 - Web应用防火墙 WAF
建议您以实际客户端环境测试的兼容情况为准,避免影响现网业务。 表3 加密套件不兼容的浏览器/客户端参考说明(TLS v1.0) 浏览器/客户端 默认加密套件 加密套件1 加密套件2 加密套件3 加密套件4 加密套件5 加密套件6 Google Chrome 63 /macOS High Sierra 10
-
如何解决证书链不完整? - Web应用防火墙 WAF
证书为例,手工构造完整的证书链步骤如下: 查看证书。单击浏览器前的锁,可查看证书状况。 图1 查看证书 查看证书链。单击“证书”,并选中“证书路径”页签,可单击证书名称查看证书状态,如图2所示。 图2 查看证书链 逐一将证书另存到本地。 选中证书名称,单击“详细信息”页签,如图3所示。
-
修改服务器配置信息 - Web应用防火墙 WAF
本信息页面。 在“源站服务器”栏中,单击“编辑”。 在“修改服务器信息”页面,根据需要修改服务器的各项配置以及已绑定的证书。 关于证书更新的详细内容可参见更新网站绑定的证书。 WAF支持配置多个后端服务器,如果需要增加后端服务器,可单击“添加”,增加服务器。 如果需要开启IPv6
-
配置PCI DSS/3DS合规与TLS - Web应用防火墙 WAF
WAF提供的TLS加密套件对于高版本的浏览器及客户端都可以兼容,不能兼容部分老版本的浏览器,以TLS v1.0协议为例,加密套件不兼容的浏览器及客户端参考说明如表3所示。 建议您以实际客户端环境测试的兼容情况为准,避免影响现网业务。 表3 加密套件不兼容的浏览器/客户端参考说明(TLS
-
Web应用防火墙可以配置会话Cookie吗? - Web应用防火墙 WAF
成。Cookie分为会话Cookie和持久性Cookie两种类型,详细说明如下: 会话Cookie 临时的Cookie,不包含到期日期,存储在内存中。当浏览器关闭时,Cookie将被删除。 持久性Cookie 包含到期日期,存储在磁盘中,当到达指定的到期日期时,Cookie将从磁盘中被删除。
-
将网站接入WAF防护(云模式-CNAME接入) - Web应用防火墙 WAF
成功导入的新证书,将添加到“证书管理”页面的证书列表中。 您也可以在CCM管理控制台购买证书并推送到WAF。有关CCM证书推送到WAF的详细操作,请参见推送证书到云产品。 须知: WAF当前仅支持PEM格式证书。如果证书为非PEM格式,请参考如何将非PEM格式的证书转换为PEM格式?将证书转换为PEM格式,再上传。
-
将网站接入WAF防护(独享模式) - Web应用防火墙 WAF
成功导入的新证书,将添加到“证书管理”页面的证书列表中。有关证书管理的操作,请参见上传证书。 您也可以在CCM管理控制台购买证书并推送到WAF。有关CCM证书推送到WAF的详细操作,请参见推送证书到云产品。 须知: WAF当前仅支持PEM格式证书。如果证书为非PEM格式,请参考如何将非PEM
-
将网站接入WAF防护(云模式-ELB接入) - Web应用防火墙 WAF
将网站接入WAF防护(云模式-ELB接入) 如果您的业务服务器部署在华为云,您可以使用云模式的ELB接入方式将网站的域名或IP添加到WAF进行防护。 通过SDK模块化的方式将WAF集成在ELB的网关中,WAF通过内嵌在网关中的SDK提取流量并进行检测和防护。 WAF将检测结果同步
-
个人数据保护机制 - Web应用防火墙 WAF
个人数据保护机制 为了确保网站访问者的个人数据(例如用户名、密码、手机号码等)不被未经过认证、授权的实体或者个人获取,WAF通过加密存储个人数据、控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露,保证您的个人数据安全。 收集范围 对于触发攻击告警的请求,WAF在事件日志
-
配置示例 - Web应用防火墙 WAF
com访问网站,网站返回正常内容,没有跳转,网站内容加密传输。 使用WAF做HTTPS卸载模式,如图10所示。 图10 使用WAF做HTTPS卸载模式 用户通过https://www.example.com访问网站,但是WAF到源站依然使用HTTP协议。 父主题: 将网站接入WAF防护(云模式-CNAME接入)
-
网站部署了反向代理服务器,如何配置WAF? - Web应用防火墙 WAF
网站部署了反向代理服务器,如何配置WAF? 如果网站部署了反向代理服务器,网站接入WAF后不会影响反向代理服务器。以云模式的CNAME接入将网站接入WAF后,WAF作为一个反向代理部署在客户端和服务器之间,服务器的真实IP被隐藏起来,Web访问者只能看到WAF的IP地址。 防护域
-
云模式服务器的源站地址可以配置成CNAME吗? - Web应用防火墙 WAF
云模式服务器的源站地址可以配置成CNAME吗? 可以。如果服务器的源站地址配置为CNAME,添加域名后会多经历一层DNS解析,即先将CNAME解析为IP地址,DNS解析会增加时延,故推荐您将源站地址配置成公网IP地址。 添加域名的相关配置请参见添加防护域名。 父主题: 网站接入
-
修改负载均衡算法 - Web应用防火墙 WAF
AF支持的算法如下: 源IP Hash:将某个IP的请求定向到同一个服务器。 加权轮询:所有请求将按权重轮流分配给源站服务器,权重越大,回源到该源站的几率越高。 Session Hash:将某个Session标识的请求定向到同一个源站服务器,请确保在域名添加完毕后配置攻击惩罚的流量标识,否则Session
-
认证鉴权 - Web应用防火墙 WAF
意思,拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头,从而通过身份认证,获得操作API的权限。 Token可通过调用获取用户Token接口获取,调用本服务API需要project级别的Token,即调用获取用户Token接口时,请求body中auth
-
如何解决“源站服务器CPU使用率高达100%”问题? - Web应用防火墙 WAF
如何解决“源站服务器CPU使用率高达100%”问题? 问题现象 网站遭受攻击,网站已接入WAF,但防护没起作用,源站服务器CPU使用率高达100%,怎么办? 可能原因 网站可能遭受了CC攻击。 当发现网站处理速度下降,网络带宽占用过高时,很有可能已经遭受CC攻击,此时可查看Web
-
后端服务器配置多个源站地址时的注意事项? - Web应用防火墙 WAF
仍然会转发流量给这个服务器IP,这样会导致部分业务受损。如果您希望服务器有健康性检查的功能,建议您将弹性负载均衡(ELB)和WAF搭配使用,ELB的相关配置请参见添加后端云服务器。ELB配置完成后,再将ELB的EIP作为服务器的IP地址,接入WAF,实现健康检查。 父主题: 网站接入
-
配置WAF到网站服务器的连接超时时间 - Web应用防火墙 WAF
到来自源站的响应,则认为连接超时。 WAF转发请求给源站的三个步骤如图1所示。 图1 WAF转发请求给源站 浏览器到WAF引擎的连接超时时长是120秒,该值取决于浏览器的配置,该值在WAF界面不可以手动设置。 WAF到客户源站的连接超时时长默认为30秒,该值可以手动设置,但仅“独