检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Web应用防火墙是否支持IPv4和IPv6共存? WAF支持IPv4和IPv6共存,针对同一域名可以同时提供IPv6和IPv4的流量防护。 Web应用防火墙支持IPv6/IPv4双栈,针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务,
如果各子域名对应的服务器IP地址相同:配置防护的泛域名。例如:子域名a.example.com,b.example.com和c.example.com对应的服务器IP地址相同,可以直接添加泛域名*.example.com。 如果各子域名对应的服务器IP地址不相同:请将子域名按“单域名”方式逐条配置。
管理黑白名单IP地址组 添加黑白名单IP地址组 修改或删除黑白名单IP地址组 父主题: 对象管理
开启Cookie安全属性 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。 单击页面左上方的,选择“安全与合规 > Web应用防火墙 WAF”。 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。 在目标网站所在行的“域名”列中,单击目标网站,进入网站基本信息页面。 在“高级配置”栏中“
导出网站设置列表 在Web应用防火墙的网站设置页面,可以导出该账号下添加到WAF的所有网站设置信息。 前提条件 防护网站已接入WAF 导出网站设置列表 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。 单击页面左上方的,选择“安全与合规 > Web应用防火墙 WAF”。
配置攻击惩罚标准封禁访问者指定时长 当访问者的IP、Cookie或Params恶意请求被WAF拦截时,您可以通过配置攻击惩罚,使WAF按配置的攻击惩罚时长来自动封禁访问者。例如,访问者的源IP(192.168.1.1)为恶意请求,如果您配置了IP攻击惩罚拦截时长为500秒,该攻击
有回源IP。 图5 复制回源IP 打开源站服务器上的安全软件,将复制的IP段添加到白名单。 源站服务器部署在华为云ECS上,请参考源站服务器部署在ECS上,放行WAF回源IP进行操作。 源站服务器部署在华为云ELB上,请参考源站服务器部署在华为云ELB上,放行WAF回源IP进行操作。
调整策略,配置如图1所示。 图1 全路径防护 查看防护日志,对于攻击量大的IP,把IP加入黑名单,进行立即拦截。黑名单的配置请参见配置IP黑白名单规则。 父主题: 流量转发异常排查
前提条件 已添加防护网站且配置的“对外协议”包含HTTPS。 约束条件 防护网站的部署模式为“云模式-CNAME接入”,而且仅专业版和铂金版支持HTTP2协议。 支持HTTP2协议防护的区域,请参考功能总览。 开启HTTP2协议 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。
更多 > 解绑IPv4公网IP”,如图3所示。 图3 解绑公网ELB上绑定的EIP 在弹出的提示框中,单击“是”,将EIP从公网ELB上解绑。 在“负载均衡器”页面,内网ELB所在行“操作”列,选择“更多 > 绑定IPv4公网IP”。 在弹出的“绑定IPv4公网IP”对话框中,选择步骤
网站连接保护功能开放的区域,请参考功能总览。 开启熔断保护 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。 单击页面左上方的,选择“安全与合规 > Web应用防火墙 WAF”。 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。 在目标网站所在行的“域名”列中,单击目标网站,进入网站基本信息页面。
如何拦截4层链接对应的IP? 可通过精准访问防护规则拦截4层链接对应的IP,具体配置如下: 登录华为云WAF控制台,参考图1进入华为云WAF防护规则配置页面。 图1 防护规则配置页面入口 选择“精准访问防护”配置框,单击“添加规则”,配置如图2所示的规则。 图2 添加规则 单击“确定”。
用户自定义引用表的名字。 test 类型 路径:设置的防护路径,不包含域名。 User Agent:设置为需要防护的扫描器的用户代理。 IP:设置为需要防护的访问者IP地址。支持IPv4和IPv6两种格式的IP地址。 IPv4,例如:192.168.1.1 IPv6,例如:fe80:0000:0
日志配置管理 配置全量日志lts 查询lts配置信息 父主题: API
设置监控告警规则 通过设置WAF告警规则,用户可自定义监控目标与通知策略,设置告警规则名称、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数,帮助您及时了解WAF防护状况,从而起到预警作用。 前提条件 防护网站已接入WAF 设置监控告警规则 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。
选择“监听器”页签,单击“添加监听器”,配置监听器名称、前端协议/端口信息。 单击“下一步:配置后端分配策略”,配置后端分配策略。 单击“下一步:添加后端服务器”,并选择“IP类型后端(跨VPC后端)”页签。 单击“添加IP类型后端”,在弹出的弹框中,配置“IP类型后端IP”和“业务端口”。 “IP类型后端IP”:源站的IP地址。
网站设置 网站接入后推荐配置 网站管理
ps 具体的计费方式及标准请参考计费说明。 支持配置的最低TLS版本说明 WAF默认配置的最低TLS版本为“TLS v1.0”,为了确保网站安全,建议您根据业务实际需求进行配置,支持配置的最低TLS版本如表2所示。 表2 支持配置的最低TLS版本说明 场景 最低TLS版本(推荐)
原因三:域名/IP参数配置错误 查看域名基本信息,检查域名/IP参数是否正确。 如果域名/IP配置错误,删除该域名/IP后重新添加防护网站。 原因四:没有为独享模式实例配置负载均衡,配置的负载均衡未绑定弹性公网IP 为独享引擎实例配置负载均衡。 为弹性负载均衡绑定弹性公网IP。 原因五
更新证书不会影响业务,更换过程中会使用旧证书,更新成功后,自动切为新证书,新证书立刻生效。 同时更新后端服务器上的证书配置和WAF域名绑定证书的配置会影响网站访问业务,建议您在业务量少时进行更新。 更新网站绑定的证书 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。 单击页面左上方的,选择“安全与合规 >
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
