检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
、Session标识或User标识,实现IP、Cookie或Params恶意请求的攻击惩罚功能。 配置Header字段转发:添加Header字段后,WAF会将该字段插入到Header中,转发给源站,用以标记请求。 修改拦截返回页面:自定义触发WAF拦截时的返回页面。 根据防护需求
/v1/{project_id}/premium-waf/instance 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID,对应控制台用户名->我的凭证->项目列表->项目ID 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id
在左侧导航树中,单击“网站设置”,进入“网站设置”页面。 在网站列表左上角,单击“添加防护网站”。 选择“云模式-CNAME接入”并单击“开始配置”。 基础信息配置,如图2所示,参数说明如表1所示。 图2 基础信息配置 表1 基础信息参数说明 参数 参数说明 取值样例 防护域名 需要
持有一定的防御作用。 Appscan扫描器在扫描网站后发现客户站点没有向扫描请求Cookie中插入HttpOnly Secure等安全配置字段将记录为安全威胁。 前提条件 已添加防护网站且部署模式为“独享模式”或“云模式-CNAME接入”。 约束条件 “云模式-ELB接入”不支持该功能。
ayload的方式而定: 第一种是通过在参数提交中携带攻击载荷。此时,“header全检测”可以不开启拦截。 第二种是在header自定义字段中携带攻击载荷。此时,“header全检测”必须开启拦截模式,才可以拦截此类攻击。 第二种攻击方式对第一种有依赖,所以是否要开启“head
Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击,并支持深度反逃逸识别、对请求里header中所有字段进行攻击检测、Shiro解密检测、Webshell检测。 操作导航:在“防护策略”页面,单击策略名称,进入“防护配置”页面,选择“Web基
Web应用防火墙提供的是几层防护? Web应用防火墙提供的是七层(物理层、数据链路层、网络层、传输层、会话层、表示层和应用层)防护。 Web应用防火墙如何拦截请求内容? WAF对请求的首部和body体都会进行检测。例如body的表单、xml、json等数据都会被WAF检测,WAF通过检测对不符合防护规则的请求内容进行拦截。
接入Web应用防火墙的域名需要备案吗? Web应用防火墙支持自定义授权策略吗? 为什么Cookie中有HWWAFSESID或HWWAFSESTIME字段? 云模式、独享模式可以互相切换吗? 同一防护域名/IP可以添加到不同的账号进行防护吗? 什么是区域和可用区? Web应用防火墙可以跨区域使用吗?
认”的拦截返回页面,您也可以根据自己的需要,配置“自定义”或者“重定向”的拦截返回页面。 如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名修改拦截返回页面。 前提条件 防护网站已接入WAF 约束条件 防护网站部署
入、命令注入、跨站脚本、XXE注入、表达式注入攻击、SSRF、本地文件包含、远程文件包含、网站木马、恶意爬虫、会话固定漏洞攻击、反序列化漏洞、远程命令执行、信息泄露、拒绝服务、源码/数据泄露。 根据实际业务情况,开启“检测范围”中的检测项。 表3 检测项说明 检测项 说明 深度检测
QPS是单个进程每秒请求服务器的成功次数。 QPS = 请求数/秒(req/sec ) “安全总览”页面中QPS的计算方式说明如表1所示。 表1 QPS取值说明 时间段 QPS平均取值说明 QPS峰值取值说明 “昨天”、“今天” 间隔1分钟,取1分钟内的平均值 间隔1分钟,取1分钟内的最大值
解决办法: 梳理流量图,将用户流量绕过多余WAF,具体操作如下: 登录WAF管理控制台。 在左侧导航树中,选择“网站设置”,进入网站设置列表。 找到出现523问题的防护网站,保留一个配置,删除多余的防护网站,具体操作请参见删除防护网站。 防止删除网站后造成业务中断,在删除网站前,需要完成以下操作:
添加黑白名单IP地址组 IP地址组集中管理IP地址或网段,被黑白名单规则引用时可以批量设置IP/IP地址段。 如果您已开通企业项目,您可以在“企业项目”下拉列表中选择您所在的企业项目,为该企业项目添加IP/IP段地址组。 前提条件 已成功购买WAF。 约束条件 云模式仅专业版和铂金版支持IPv6地址/IPv6地址段。
场景提供详细的方案描述和操作指南,以帮助您使用WAF快速防护网站。 WAF最佳实践 Solution as Code一键式部署类最佳实践 表1 WAF最佳实践 分类 相关文档 网站接入配置 未使用代理的网站通过CNAME方式接入WAF 使用DDoS高防和WAF提升网站全面防护能力
/v1/{project_id}/waf/certificate 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID,对应控制台用户名->我的凭证->项目列表->项目ID 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id
数据保护技术 WAF通过多种数据保护手段和特性,保证通过WAF的数据安全可靠。 表1 WAF的数据保护手段和特性 数据保护手段 简要说明 静态数据保护 WAF通过敏感数据加密保证用户流量中敏感数据的安全性。 传输中的数据保护 微服务间数据传输进行加密,防止数据在传输过程中泄露或被
WAF”,进入“安全总览”页面。 在左侧导航树中,选择“系统管理 > 独享引擎”,进入“独享引擎”页面。 图1 独享引擎列表 查看独享引擎实例信息,如表1所示。 表1 独享引擎实例关键参数说明 参数 说明 示例 实例名 创建实例时自动生成的名称。 - 防护网站 实例当前防护的网站。 www
在左侧导航树中,选择“网站设置”,进入“网站设置”页面。 在网站列表左上角,单击“添加防护网站”。 选择“独享模式接入”并单击“开始配置”。 基础信息配置,如图2所示,参数说明如表1所示。 图2 基础信息配置 表1 基本信息参数说明 参数 参数说明 取值样例 防护对象 防护的域名
现。 成本标签不会应用于激活标签之前产生的成本。激活前已产生的成本数据,如果仍需要基于标签分析,可以导出账单明细,基于账单明细中的资源标签字段进行处理分析。 为WAF资源添加标签。 在购买WAF实例页面,可以选择已经创建的预定义标签。 图3 添加标签 通过成本标签查看成本数据。
程,快速使用WAF。 图1 网站接入WAF的操作流程图-云模式(CNAME接入) 表1 域名接入WAF操作流程说明 操作步骤 说明 添加防护域名 配置域名、协议、源站等相关信息。 WAF回源IP加白 如果您的源站服务器安装了其他安全软件或防火墙,建议您配置只允许来自WAF的访问请
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
