检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
先选择全局白名单规则处理正常业务拦截问题。 证书/套件 绑定该域名的证书及加密套件。单击证书名称,可跳转到“证书管理”页面。 防护策略 显示通过WAF配置的防护策略总数。单击数字可跳转到规则配置页面,配置具体的防护规则,具体的配置方法参见配置防护策略。 源站IP/端口 客户端访问
如何解决“网站被检测到:SSL/TLS 存在Bar Mitzvah Attack漏洞”? SSL/TLS 存在Bar Mitzvah Attack漏洞是由RC4加密算法中一个问题所导致的。该问题能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户密码、信用卡数据和其他敏感信息泄露给黑客。
WAF当前仅支持PEM格式证书。 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目,则不能选择使用SCM推送的SSL证书。 拥有“SCM Administrator”和“SCM FullAccess”权限的账号才能选择SCM证书。 ELB限制 将网站以独享
源站端口:80 证书选择 “对外协议”设置为“HTTPS”时,需要选择证书。 如果您未创建证书,单击“导入新证书”,在“导入新证书”对话框,填写证书相关参数。更多信息,请参见上传证书。 成功导入的新证书,将同步添加到“证书管理”页面的证书列表。 如果已创建证书,在下拉框“已有证书”中选择正确、有效的证书。
使用WAF提升客户端访问域名的通道安全 应用场景 HTTPS协议是由TLS(Transport Layer Security,传输层安全性协议)+HTTP协议构建的可进行加密传输、身份认证的网络协议。当域名接入WAF时,如果客户端采用HTTPS协议请求访问服务器,即防护域名的“对外协议”配置为“HTTPS”时,您可以
如何处理“协议不受支持,客户端和服务器不支持一般 SSL 协议版本或加密套件”? 现象 域名接入WAF后,不能正常访问网站,提示“协议不受支持,客户端和服务器不支持一般 SSL 协议版本或加密套件”。 解决办法 建议您在TLS配置里,将“加密套件”切换为“默认加密套件”,具体操作请参见配置PCI
删除证书 功能介绍 删除证书 调用方法 请参见如何调用API。 URI DELETE /v1/{project_id}/waf/certificate/{certificate_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目I
查询证书 功能介绍 查询证书 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/waf/certificate/{certificate_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID,对
查询证书列表 功能介绍 查询证书列表 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/waf/certificate 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID,对应控制台用户名->我的凭证->项目列表->项目ID
String 证书id,通过查询证书列表接口(ListCertificates)接口获取证书id 对外协议为HTTP时不需要填写 对外协议HTTPS时为必填参数 certificatename 否 String 证书名 对外协议为HTTP时不需要填写 对外协议HTTPS时为必填参数
共享企业项目证书 如果您需要将该项目下的证书共享给其他企业项目使用,可参照本章节操作。 如果您已开通企业项目,您可以在“企业项目”下拉列表中选择您所在的企业项目,查看该企业项目下的证书信息。 前提条件 已在WAF控制台上传证书。 约束条件 通过CCM推送的SCM证书不支持企业项目内共享。
密传输。 使用WAF做HTTPS卸载模式,“对外协议”选择“HTTPS”,“源站协议”选择“HTTP”,如图6所示。 此场景下,客户端访问网站时,采用HTTPS协议加密传输,WAF转发请求到源站使用HTTP协议。 图6 使用WAF做HTTPS卸载模式 图6中红框内的参数配置是固定
通知类型 threat_alert_notice: 防护事件 cert_alert_notice: 证书到期 nearly_expired_time 否 String 提前通知天数,通知类型为证书到期通知需要填写该参数 is_all_enterprise_project 否 Boolean
WAF通过敏感数据加密保证用户流量中敏感数据的安全性。 传输中的数据保护 微服务间数据传输进行加密,防止数据在传输过程中泄露或被篡改。用户的配置数据传输采用安全协议HTTPS,防止数据被窃取。 数据完整性校验 WAF进程启动时,配置数据从配置中心获取而非直接读取本地文件。 数据隔离机制 租户区与管理面隔离,租
证书/加密套件问题排查 如何解决证书链不完整? 如何解决证书与密钥不匹配问题? 如何解决HTTPS请求在部分手机访问异常? 如何处理“协议不受支持,客户端和服务器不支持一般 SSL 协议版本或加密套件”? 如何解决“网站被检测到:SSL/TLS 存在Bar Mitzvah Attack漏洞”?
添加防护域名时,为什么无法选择SCM证书? 现象 在WAF中添加防护域名时,在证书下拉框中选择SCM证书时,提示“用户角色无权限访问该接口 scm cert download”。 原因 该用户使用的账号没有“SCM Administrator”和“SCM FullAccess”这两个权限。
修改。 使用AK/SK认证时,您可以基于签名算法使用AK/SK对请求进行签名,也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名功能,与服务提供的SDK不同,使用时请注意。 父主题: 如何调用API
如何解决HTTPS请求在部分手机访问异常? 问题现象 打开手机浏览器,访问防护域名,如果出现类似如图1所示的页面,则表示该手机上HTTPS请求访问异常。 图1 访问异常 原因 该问题是由于上传的证书链不完整, 解决办法 可参照如何解决证书链不完整?解决。 父主题: 证书/加密套件问题排查
String 证书id,通过查询证书列表接口(ListCertificates)接口获取证书id 对外协议为HTTP时不需要填写 对外协议HTTPS时为必填参数 certificatename 否 String 证书名 对外协议为HTTP时不需要填写 对外协议HTTPS时为必填参数
的EIP作为服务器的IP地址,接入WAF,实现健康检查。 Web应用防火墙是否支持SSL双向认证? 不支持。您可以在WAF上配置单向的SSL证书。 添加防护网站时,如果“对外协议”使用了HTTPS协议,您需要上传证书使证书绑定到防护网站。 Web应用防火墙支持基于应用层协议和内容的访问控制吗?
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
