检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
您在设置CC攻击防护规则、精准访问防护规则或全局白名单规则时,需要在规则中配置条件字段,定义要匹配的请求特征。本文介绍了规则匹配条件支持使用的字段及其释义。 什么是条件字段 条件字段指需要WAF检测的请求特征。您在设置CC攻击防护规则、精准访问防护规则或配置全局白名单规则时,通过定义条件字段,指定要检测的
单击目标策略名称,进入目标策略的防护配置页面。 在“精准访问防护”配置框中,开启防护规则。 图5 精准访问防护配置框 在精准访问防护规则页面左上角,单击“添加规则”。 在弹出的“添加精准访问防护规则”对话框中,添加如图6所示防护规则,阻断所有请求。 因为配置精准防护白名单放行的优先级要高
源站端口:80 证书选择 “对外协议”设置为“HTTPS”时,需要选择证书。 如果您未创建证书,单击“导入新证书”,在“导入新证书”对话框,填写证书相关参数。更多信息,请参见上传证书。 成功导入的新证书,将同步添加到“证书管理”页面的证书列表。 如果已创建证书,在下拉框“已有证书”中选择正确、有效的证书。
如何解决证书与密钥不匹配问题? 在DDos高防控制台、WAF控制台上传HTTPS证书后,收到证书和密钥不匹配的提示。 解决方案 可能的原因 修复建议 您上传的证书与私钥内容不匹配 执行以下命令,分别查看证书和私钥文件的MD5值: openssl x509 -noout -modulus
线路设置 当防护网站部署模式为“云模式-CNAME接入”时,您可以配置防护域名流量经过的线路。 该功能为公测功能,需提交工单申请开通。 前提条件 防护网站的部署模式为“云模式-CNAME接入”。 约束条件 目前仅华北-北京一区域支持该功能。 只有铂金版才能使用该功能。 操作步骤 登录管理控制台。
在“域名”列,单击目标域名的名称,进入域名配置页面。 选择“缓存配置”页签,单击“编辑”,系统弹出“配置缓存策略”对话框。 单击“添加”,添加两条缓存策略规则,如图2所示,相关参数说明如表1所示。 图2 “配置缓存策略”对话框 表1 配置静态URL缓存策略参数说明 参数 配置说明 类型 选择“全路径”。
未配置子域名和TXT记录的影响? 如果在WAF中添加的域名,已使用了DDoS高防等相关代理产品,但是没有在DNS服务商处配置“子域名”和“TXT记录”,WAF将无法判断域名的所有权。 因此,为了防止其他用户提前将您的域名配置到Web应用防火墙上,干扰WAF对您的域名进行防护,请在
本信息”页面。 选择“监听器”页签后,单击“添加监听器”,配置监听器信息,“前端端口”配置为您想防护的端口,如此处配置为“9876”。 图2 配置监听器信息 单击“下一步:配置后端分配策略”,配置后端服务器组。 图3 配置后端服务器组 “分配策略类型”选择“加权轮询算法”时,请关
接。此处,需要配置一个独立的后端子网,与前端子网配置的不同。 如果前后端子网配置一样,通过NAT进行流量转发时,可能会造成转发混乱。 其他参数:根据业务实际情况进行选择。 关于创建独享型负载均衡器的详细操作请参见创建独享型负载均衡器。 单击“立即购买”。 确认配置信息,根据界面提示完成创建操作。
退订后重购WAF,原配置数据可以保存吗? 通过包年/包月购买WAF云模式,退订WAF后,当重购的WAF与原WAF不在同一区域,原WAF配置数据将不能保存。 通过包年/包月方式重购的WAF与原WAF在同一区域 原WAF上的配置数据可以保存24小时。 退订WAF后,WAF将暂停防护域
在目标网站所在行的“域名”列中,单击目标网站,进入网站基本信息页面。 在“高级配置”栏中“人机验证状态码”列单击,设置“人机验证状态码”并单击“确定”后完成配置。 父主题: 网站接入后推荐配置
Web应用防火墙支持配置泛域名吗? 在WAF中添加防护的域名时,您可以根据业务需求配置单域名或泛域名,说明如下: 入门版不支持添加泛域名。 单域名 配置待防护的单域名。例如:www.example.com。 泛域名 配置泛域名可以使泛域名下的多级域名经过WAF防护。 如果各子域名
Web应用防火墙可以配置会话Cookie吗? WAF不支持配置会话Cookie。 WAF可以通过配置CC攻击防护规则,限制单个Cookie字段特定路径(URL)的访问频率,精准识别CC攻击以及有效缓解CC攻击。例如,您可以通过配置CC攻击规则,使Cookie标识为name的用户在
添加域名时,防护网站端口需要和源站端口配置一样吗? 端口为实际防护网站的端口,源站端口是WAF转发客户端请求到服务器的业务端口。两者不用配置为一样,端口配置说明如下: “对外协议”选择“HTTP”时,WAF默认防护“80”标准端口的业务;“对外协议”选择“HTTPS”时,WAF默认防护“443”标准端口的业务。
云模式服务器的源站地址可以配置成CNAME吗? 可以。如果服务器的源站地址配置为CNAME,添加域名后会多经历一层DNS解析,即先将CNAME解析为IP地址,DNS解析会增加时延,故推荐您将源站地址配置成公网IP地址。 添加域名的相关配置请参见添加防护域名。 父主题: 网站接入
当鼠标移到目标证书的名称后时,单击,您可以修改证书的名称。 如果证书正在使用中,请先解除域名和证书的绑定关系,否则无法修改证书名称。 在目标证书所在行的“操作”列中,单击“查看”,您可以查看证书的证书文件和证书私钥信息。 在目标证书所在行的“操作”列中,单击“应用”,您可以将证书绑定到对应的域名。
哪些情况会造成WAF配置的防护规则不生效? 域名成功接入WAF后,正常情况下,域名的所有访问请求流量都会经过WAF检测并转发到服务器。但是,如果网站在WAF前使用了CDN,对于静态缓存资源的请求,由于CDN直接返回给客户端,请求没有到WAF,所以这些请求的安全策略不会生效。 WA
在添加防护网站页面,关键参数配置如表2。 其他参数的配置请参见添加防护域名(云模式-CNAME接入)。 表2 配置信息 配置项 配置说明 防护域名 填写步骤二:在OBS中绑定CDN加速域名中,绑定到OBS中的域名。 防护端口 填写需要防护的域名对应的业务端口。 服务器配置 对外协议:客户端
本章节介绍了源站服务器部署在华为云弹性云服务器(以下简称ECS)时或华为云弹性负载均衡(以下简称ELB)后面时,如何判断源站存在泄漏风险,以及如何配置访问控制策略保护源站安全。 网站已接入WAF进行安全防护后,无论您是否配置源站保护,都不影响正常业务的转发。没有配置源站保护可能导致攻
等待URL请求保护。 前提条件 已添加防护网站。 已将独享引擎版本升级到最新版本,具体的操作请参见升级独享引擎实例。 约束条件 防护网站的部署模式为“独享模式”。 开启“熔断保护”前,必须将独享引擎实例版本升级到最新版本,否则开启后可能会对业务产生影响。 网站连接保护功能开放的区域,请参考功能总览。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
