-
WAF转发和Nginx转发有什么区别? - Web应用防火墙 WAF
Proxy)方式转发。反向代理服务器接受客户端访问请求后,直接将访问请求转发给Web服务器,并将从Web服务器上获取的结果返回给客户端。反向代理服务器安装在网站机房,代理Web服务器接收访问请求,并对访问请求进行转发。 反向代理可以防止外网对内网服务器的恶性攻击,缓存以减少内网服务器压力,还可以实现访问安全控制和负载均衡。
-
使用WAF阻止爬虫攻击 - Web应用防火墙 WAF
以下负面影响: 网络爬虫会根据特定策略尽可能多的“爬过”网站中的高价值信息,占用服务器带宽,增加服务器的负载 恶意用户利用网络爬虫对Web服务发动DoS攻击,可能使Web服务资源耗尽而不能提供正常服务 恶意用户利用网络爬虫抓取各种敏感信息,造成网站的核心数据被窃取,损害企业经济利益
-
相关概念 - Web应用防火墙 WAF
会影响业务的安全。 服务端请求伪造 一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。SSRF形成的原因是服务端提供了从其他服务器应用获取数据的功能,在用户可控的情况下,未对目标地址进行过滤与限制,导致此漏洞的产生。 网站后门
-
如何放行云模式WAF的回源IP段? - Web应用防火墙 WAF
单击页面左上方的,选择“网络 > 弹性负载均衡 ELB”。 在目标ELB所在行的“监听器”列中,单击监听器名称,进入监听器的详情页面。 在目标监听器所在行的“访问控制”列,单击“设置”。 图5 监听器列表 在弹出的对话框中,“访问控制”选择“白名单”。 单击“创建IP地址组”,将步骤
-
仅放行通过WAF的访问请求,如何配置? - Web应用防火墙 WAF
仅放行通过WAF的访问请求,如何配置? 您可以在源站服务器上配置只放行WAF回源IP的访问控制策略,即仅允许通过WAF的请求访问到源站,防止黑客获取源站IP后绕过WAF直接攻击源站,以确保源站安全、稳定、可用。 放行WAF回源IP的访问控制策略操作说明如下: 源站服务器配置放行WAF回源IP的访问控制策略。
-
删除防护域名时应该注意哪些事项? - Web应用防火墙 WAF
防护网站“部署模式”为“云模式”时,如果要删除的防护网站已经接入Web应用防火墙,在删除防护网站前,请您先到DNS服务商处将域名重新解析,指向源站服务器IP地址,否则该域名的流量将无法切回服务器,影响正常访问。 勾选“强制删除WAF的接入CNAME”后,WAF不再检测业务域名解析配置,立即删除
-
为什么WAF显示的流量大小与源站上显示的不一致? - Web应用防火墙 WAF
WAF默认开启压缩,客户端(如浏览器)与WAF之间进行通信的网页可能被压缩(依赖浏览器压缩选项),而源站服务器可能不支持压缩。 连接复用 WAF与源站服务器之间会复用socket连接,这样会降低源站服务器与WAF之间的带宽消耗。 攻击请求 攻击请求被WAF拦截,而这种请求不会消耗源站服务器的带宽。 其他异常请求
-
删除防护网站 - Web应用防火墙 WAF
删除防护网站 您可以通过Web应用防火墙服务对不再防护的网站执行删除操作。 删除云模式的CNAME方式接入的防护网站前,请您先到DNS服务商处将域名重新解析,指向源站服务器IP地址,否则该域名的流量将无法切回服务器,影响正常访问。 防护网站删除后,如果需要再次添加到WAF中进行防
-
如何排查404/502/504错误? - Web应用防火墙 WAF
refused”表示源站不通,不能正常访问网站,请执行步骤 8。 在浏览器中输入“http://源站地址:源站端口”进行检测。 如果可以访问,表示网站访问正常。 如果不能访问,表示源站不通,不能正常访问网站,请执行步骤 8。 检测服务器是否运行正常。 如果运行不正常,请尝试重启服务器。 504 Gateway Timeout错误排查思路和处理建议
-
购买WAF独享模式 - Web应用防火墙 WAF
购买WAF独享模式 如果您的业务服务器部署在华为云,您可以通过购买WAF独享引擎实例对重要的域名或仅有IP的Web服务进行防护。购买独享引擎实例后,您还需要为实例配置弹性负载均衡,弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力,同时通过消除单点故障提升应用系统的可用性。
-
常规问题汇总 - Web应用防火墙 WAF
Web应用防火墙支持漏洞检测吗? WAF的网站反爬虫防护功能可以对第三方漏洞攻击等威胁进行检测和拦截。在配置网站反爬虫防护规则时,如果您开启了扫描器,WAF将对扫描器爬虫,如OpenVAS、Nmap等进行检测。 有关网站反爬虫防护规则的详细操作,请参见配置网站反爬虫防护规则。 Web应用防火墙是否支持Exchange里的相关协议?
-
一个独享WAF实例可以接入多个ELB吗? - Web应用防火墙 WAF
一个独享WAF实例可以接入多个ELB吗? 多个ELB可以共用一个WAF独享引擎实例,将独享WAF实例添加到对应的ELB后端服务器组即可。 将网站以独享模式接入WAF的具体操作请参见网站接入WAF(独享模式)。 父主题: 网站接入
-
将网站接入WAF防护(独享模式) - Web应用防火墙 WAF
华为云ELB按流量单独计费。有关ELB的计费详情,请参见ELB价格详情。 为负载均衡添加监听器,详细操作请参见添加HTTP监听器或添加HTTPS监听器。 添加监听器时,相关参数的配置说明如下: “前端端口”:客户端与负载均衡监听器建立流量分发连接的端口,可配置为任意端口,此处建议配置为WAF中配置的源站端口。
-
域名接入WAF后,漏扫工具为什么扫不到用户真实的业务? - Web应用防火墙 WAF
Bypass后,该域名的请求直接到达其后端服务器,不再经过WAF,此时需要先放通源站业务的安全策略端口,才能保证模式切换后,业务运行正常。 方案二:将网站IP添加到漏洞扫描工具进行扫描。以漏洞管理服务为例,将网站IP添加到漏洞管理服务进行扫描,具体操作请参见添加网站。 父主题:
-
哪些情况会造成WAF配置的防护规则不生效? - Web应用防火墙 WAF
哪些情况会造成WAF配置的防护规则不生效? 域名成功接入WAF后,正常情况下,域名的所有访问请求流量都会经过WAF检测并转发到服务器。但是,如果网站在WAF前使用了CDN,对于静态缓存资源的请求,由于CDN直接返回给客户端,请求没有到WAF,所以这些请求的安全策略不会生效。 父主题:
-
开源组件Fastjson远程代码执行漏洞 - Web应用防火墙 WAF
测到开源组件Fastjson存在远程代码执行漏洞,此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用,可直接获取服务器权限,危害严重。 影响的版本范围 漏洞影响的产品版本包括:Fastjson 1.2.51以下的版本,不包括Fastjson 1.2.51版本。
-
开源组件Fastjson远程代码执行漏洞 - Web应用防火墙 WAF
测到开源组件Fastjson存在远程代码执行漏洞,此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用,可直接获取服务器权限,危害严重。 影响的版本范围 漏洞影响的产品版本包括:Fastjson 1.2.51以下的版本,不包括Fastjson 1.2.51版本。
-
创建云模式防护域名 - Web应用防火墙 WAF
您可以通过调用企业项目管理服务(EPS)的查询企业项目列表接口(ListEnterpriseProject)查询企业项目id 请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token,通过调用IAM服务获取用户Toke
-
单独使用云模式WAF接入网站的配置指导 - Web应用防火墙 WAF
CNAME-将域名指向另外一个域名”,可参照CNAME接入完成配置。 有关DNS云解析服务的记录集类型和规则的详细介绍,请参见记录集类型及配置规则。 CNAME接入 如果您之前在DNS云解析服务上添加的域名主机记录的“类型”是“CNAME-将域名指向另外一个域名”,请参照以下操作步骤接入WAF。
-
如何在本地测试Web应用防火墙? - Web应用防火墙 WAF
把业务流量切到WAF之前,为了确保WAF转发正常,建议您先通过本地验证确保一切配置正常。 进行此操作前,确保添加的防护域名(例如:www.example5.com)的源站服务器协议、地址、端口配置正确,如果“对外协议”类型选择了“HTTPS”,也必须确保上传证书的证书文件和私钥正确。 具体的操作步骤请参见本地验证。