检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
开源组件Fastjson远程代码执行漏洞 2019年07月12日,华为云应急响应中心检测到开源组件Fastjson存在远程代码执行漏洞,此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用,可直接获取服务器权限,危害严重。 影响的版本范围 漏洞影响的产品版本包括:Fastjson
查询告警通知配置 功能介绍 查询告警通知配置 调用方法 请参见如何调用API。 URI GET /v2/{project_id}/waf/alerts 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID,对应控制台用户名->我的凭证->项目列表->项目ID
Java Spring框架远程代码执行高危漏洞 Spring是一款主流的Java EE轻量级开源框架,面向服务器端开发设计。近日,Spring框架被曝出可导致RCE远程代码执行的漏洞,该漏洞攻击面较广,潜在危害严重,对JDK 9及以上版本皆有影响。 漏洞名称 Spring框架RCE
企业项目下的域名配置PCI DSS/3DS合规与TLS。 前提条件 已添加防护网站且配置的“对外协议”包含HTTPS。 约束条件 防护网站的部署模式为“云模式-CNAME接入”或“独享模式”。 如果您使用“云模式-ELB接入”方式接入网站,需要在ELB控制界面配置TLS安全策略实现加密通信。
必须配置该标识。 jssessionid User标记 用于Params恶意请求的攻击惩罚功能。在选择Params拦截的攻击惩罚功能前,必须配置该标识。 name 单击“确定”,完成标记信息配置。 相关操作 配置攻击惩罚标准封禁访问者指定时长 父主题: 网站接入后推荐配置
操作导航:在“防护策略”页面,单击策略名称,进入“防护配置”页面,选择“Web基础防护”区域,选择“拦截”或者“仅记录”模式,开启所有的检测项。具体的操作请参见配置Web基础防护规则。 自定义防护策略(自由组合防护配置规则):防护配置规则的自由组合配置,为您的网站定制适合的防护策略,全方位的防护您的网站。
防护配置概述 本文介绍Web应用防火墙(Web Application Firewall,WAF)服务的防护策略的配置流程以及WAF引擎检测机制及规则的检测顺序。 防护规则概览 网站接入WAF防护后,您需要为网站配置防护策略。 表1 可配置的防护规则 防护规则 说明 参考文档 Web基础防护规则
查询lts配置信息 功能介绍 查询lts配置信息 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/waf/config/lts 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID,对应控制台用户名->我的凭证->项目列表->项目ID
包含分为本地文件包含和远程文件包含,说明如下: 当被包含的文件在服务器本地时,称为本地文件包含。 当被包含的文件在第三方服务器时,称为远程文件包含。 文件包含漏洞是指通过函数包含文件时,由于没有对包含的文件名进行有效的过滤处理,被攻击者利用从而导致了包含了Web根目录以外的文件进
标准端口 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、源站地址、源站端口和权重。 对外协议:客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议:Web应用防火墙转发客户端请求的协议类型。包括“HTTP”、“HTTPS”两种协议类型。
配置网站反爬虫防护规则防御爬虫攻击 您可以通过配置网站反爬虫防护规则,防护搜索引擎、扫描器、脚本工具、其它爬虫等爬虫,以及自定义JS脚本反爬虫防护规则。 如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名配置防护策略。
阻断特定文件类型请求 配置示例-防盗链 通过配置Referer匹配字段的访问控制规则,您可以阻断特定网站的盗链。例如,您发现“https://abc.blog.com”大量盗用本站的图片,您可以配置精准访问防护规则阻断相关访问请求。 图7 防盗链 配置示例-单独放行指定IP的访问 配置两条精准
配置全量日志lts 功能介绍 配置全量日志lts,该接口可用来开启与关闭waf全量日志以及配置日志组和日志流。日志组id和日志流id可前往云日志服务获取。配置的日志流id要属于所配置的日志组。 调用方法 请参见如何调用API。 URI PUT /v1/{project_id}/w
String 证书id,通过查询证书列表接口(ListCertificates)接口获取证书id 对外协议为HTTP时不需要填写 对外协议HTTPS时为必填参数 certificatename 否 String 证书名 对外协议为HTTP时不需要填写 对外协议HTTPS时为必填参数
卡数据和其他敏感信息泄露给黑客。 解决办法 建议您在TLS配置里,将“最低TLS版本”配置为“TLS v1.2”,“加密套件”配置为“加密套件2”,具体操作如请参见配置PCI DSS/3DS合规与TLS。 父主题: 证书/加密套件问题排查
配置防护策略 防护配置概述 配置Web基础防护规则防御常见Web攻击 配置智能访问控制规则精准智能防御CC攻击 配置CC攻击防护规则防御CC攻击 配置精准访问防护规则定制化防护策略 配置IP黑白名单规则拦截/放行指定IP 配置地理位置访问控制规则拦截/放行特定区域请求 配置威胁情
源站安全配置 使用WAF提升客户端访问域名的通道安全 使用ECS/ELB访问控制策略保护源站安全
约束条件 当“不检测模块”配置为“所有检测模块”时,通过WAF配置的其他所有的规则都不会生效,WAF将放行该域名下的所有请求流量。 当“不检测模块”配置为“Web基础防护模块”时,仅对WAF预置的Web基础防护规则和网站反爬虫的“特征反爬虫”拦截或记录的攻击事件可以配置全局白名单规则,防护规则相关说明如下:
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另
ps 具体的计费方式及标准请参考计费说明。 支持配置的最低TLS版本说明 WAF默认配置的最低TLS版本为“TLS v1.0”,为了确保网站安全,建议您根据业务实际需求进行配置,支持配置的最低TLS版本如表2所示。 表2 支持配置的最低TLS版本说明 场景 最低TLS版本(推荐)
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
