检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
IPv6防护 哪些版本支持IPv6防护? 如何测试在WAF中配置的源站IP是IPv6地址? 业务使用了IPv6,WAF中的源站地址如何配置? WAF如何解析/访问IPv6源站?
当防护网站成功接入WAF后,您可以使用接口测试工具模拟用户发起各类HTTP(S)请求,以验证配置的WAF防护规则是否生效,即验证配置防护规则的防护效果。本实践以Postman工具为例,说明如何验证全局白名单规则。 应用示例 例如,您的业务部署在“/product”路径下,由于生态开发,针对参数ID存在用户提交脚本或富文本格式(Rich
到DNS服务商处添加“子域名”,并为它配置“TXT记录”。具体的配置方法请参见未配置子域名和TXT记录的影响。 WAF会根据配置“子域名”和“TXT记录”判断域名的所有权属于哪个用户。 配置验证 完成如上配置后,您需要验证域名的CNAME是否配置成功。 在Windows操作系统中,选择“开始
Web应用防火墙可以配置会话Cookie吗? WAF不支持配置会话Cookie。 WAF可以通过配置CC攻击防护规则,限制单个Cookie字段特定路径(URL)的访问频率,精准识别CC攻击以及有效缓解CC攻击。例如,您可以通过配置CC攻击规则,使Cookie标识为name的用户在
用户标识:Cookie,Cooke键值配置为标识用户ID的字段。 限速条件:“字段”选择“路径”,“逻辑”和“内容”根据实际情况进行配置。 其他参数根据业务实际情况进行配置。 图2 业务Cookie配置 单击“确认”,完成配置。 使用HWWAFSESID基于路径配置CC限速 HWWAFSES
单击“确定”,完成DNS配置,等待DNS解析记录生效。 步骤三:配置CC攻击防护拦截大流量高频攻击 配置示例:您可以配置以下CC规则,当一个IP在30秒内访问当前域名下任意路径的次数超过1000次,则封禁该IP的请求10个小时。该规则可以作为一般中小型站点的预防性配置。 在左侧导航树中
议仅适用于客户端到WAF之间的访问,且“对外协议”必须包含HTTPS才能支持使用。 前提条件 已添加防护网站且配置的“对外协议”包含HTTPS。 约束条件 防护网站的部署模式为“云模式-CNAME接入”,而且仅专业版和铂金版支持HTTP2协议。 支持HTTP2协议防护的区域,请参考功能总览。
云模式服务器的源站地址可以配置成CNAME吗? 可以。如果服务器的源站地址配置为CNAME,添加域名后会多经历一层DNS解析,即先将CNAME解析为IP地址,DNS解析会增加时延,故推荐您将源站地址配置成公网IP地址。 添加域名的相关配置请参见添加防护域名。 父主题: 网站接入
等待URL请求保护。 前提条件 已添加防护网站。 已将独享引擎版本升级到最新版本,具体的操作请参见升级独享引擎实例。 约束条件 防护网站的部署模式为“独享模式”。 开启“熔断保护”前,必须将独享引擎实例版本升级到最新版本,否则开启后可能会对业务产生影响。 网站连接保护功能开放的区域,请参考功能总览。
户指南》。 有关WAF监控指标的详细介绍,请参见WAF监控指标说明。 与弹性负载均衡的关系 Web应用防火墙通过绑定弹性负载均衡(Elastic Load Balance ,以下简称ELB),使流量通过ELB后先发送给WAF检测,再发送给应用端,以提升防护性能和确保业务稳定运行。
优化服务器的相关配置,包括TCP网络参数的优化配置,ulimit相关参数设置等。 如果是云模式部署方式,如果使用了ELB负载均衡,建议在ELB上增加后端服务器组或创建新的ELB,支撑大量增长的业务量。 增加后端服务器组的详细操作,请参见添加后端云服务器(共享型)。 配置新ELB的操作,请参考步骤
哪些情况会造成WAF配置的防护规则不生效? 域名成功接入WAF后,正常情况下,域名的所有访问请求流量都会经过WAF检测并转发到服务器。但是,如果网站在WAF前使用了CDN,对于静态缓存资源的请求,由于CDN直接返回给客户端,请求没有到WAF,所以这些请求的安全策略不会生效。 WA
在“域名”列,单击目标域名的名称,进入域名配置页面。 选择“缓存配置”页签,单击“编辑”,系统弹出“配置缓存策略”对话框。 单击“添加”,添加两条缓存策略规则,如图2所示,相关参数说明如表1所示。 图2 “配置缓存策略”对话框 表1 配置静态URL缓存策略参数说明 参数 配置说明 类型 选择“全路径”。
AF防护(云模式-ELB接入)。 独享模式接入方式请参见将网站接入WAF防护(独享模式)。 在左侧导航树中,选择“网站设置”,进入网站设置列表。 在网站列表的左上角,单击“添加防护网站”。 选择“云模式-CNAME接入”并单击“开始配置”。 根据界面提示,配置网站信息,如表2所示。
从而将账户用户密码、信用卡数据和其他敏感信息泄露给黑客。 解决办法 建议您在TLS配置里,将“最低TLS版本”配置为“TLS v1.2”,“加密套件”配置为“加密套件2”,具体操作如请参见配置PCI DSS/3DS合规与TLS。 父主题: 证书/加密套件问题排查
从Web服务器上获取的结果返回给客户端。反向代理服务器安装在网站机房,代理Web服务器接收访问请求,并对访问请求进行转发。 反向代理可以防止外网对内网服务器的恶性攻击,缓存以减少内网服务器压力,还可以实现访问安全控制和负载均衡。 图2 Nginx转发原理 父主题: 产品咨询
添加域名时,防护网站端口需要和源站端口配置一样吗? 端口为实际防护网站的端口,源站端口是WAF转发客户端请求到服务器的业务端口。两者不用配置为一样,端口配置说明如下: “对外协议”选择“HTTP”时,WAF默认防护“80”标准端口的业务;“对外协议”选择“HTTPS”时,WAF默认防护“443”标准端口的业务。
选择“云模式-CNAME接入”并单击“开始配置”。 配置网站信息,各项参数配置与阿里云参数配置对照表如表2所示。 在阿里云控制台“接入管理 > CNAME接入”页面,在目标域名所在行的“操作”列,单击“编辑”,可查看各项配置信息。 图1 防护域名配置页面 表2 参数对应表 图1中参数编号
器,即防护域名的“对外协议”配置为“HTTPS”时,您可以通过为域名配置最低TLS版本和加密套件来确保网站安全。 通过ECS/ELB访问控制策略保护源站安全 介绍源站服务器部署在华为云弹性云服务器(以下简称ECS)、或华为云弹性负载均衡(以下简称ELB)时: 如何判断源站是否存在泄漏风险?
在添加防护网站页面,关键参数配置如表2。 其他参数的配置请参见添加防护域名(云模式-CNAME接入)。 表2 配置信息 配置项 配置说明 防护域名 填写步骤二:在OBS中绑定CDN加速域名中,绑定到OBS中的域名。 防护端口 填写需要防护的域名对应的业务端口。 服务器配置 对外协议:客户端
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
