检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用Header字段转发关闭响应报文压缩 应用场景 客户端在请求头“Accept-Encoding”声明支持响应压缩,如 "Accept-Encoding: gzip" ;当响应经过WAF后,WAF 认为符合压缩标准,对其进行压缩。但事实上客户端在收到响应之后,客户端并不能自动解
23:59:59 ~ 2023/09/08 23:59:59 图1 包年包月计费 变更配置后对计费的影响 当前包年/包月WAF云模式版本的规格不满足您的业务需要时,您可以在WAF控制台发起变更规格操作,变更服务版本和扩展包数量,即可以升级或者降低WAF的版本,也可增加或者退订多余的域
修改独享模式域名配置 功能介绍 修改独享模式域名配置,在没有填入源站信息server的原始数据的情况下,则新的源站信息server会覆盖源站信息,而不是新增源站。此外,请求体可只传需要更新的部分。 调用方法 请参见如何调用API。 URI PUT /v1/{project_id}
创建独享模式域名 功能介绍 创建独享模式域名 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/premium-waf/host 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID,对应控制台用户名->我的凭证->项目列表->项目ID
当防护网站的源站地址配置为IPv4地址时,手动开启IPv6防护后,WAF将通过NAT64机制(NAT64是一种通过网络地址转换(NAT)形式促成IPv6与IPv4主机间通信的IPv6转换机制)将外部IPv6访问流量转化成对内的IPv4流量。WAF使用IPv4回源地址和源站发起连接。 图2 源站地址只有IPv4时
仅记录:发现攻击后只记录不阻断。 使用建议 如果您对自己的业务流量特征还不完全清楚,建议先切换到“仅记录”模式进行观察。一般情况下,建议您观察一至两周,然后分析仅记录模式下的攻击日志。 如果没有发现任何正常业务流量被拦截的记录,则可以切换到“拦截”模式启用拦截防护。 如果发现攻击日志中存在正常业务流量,
或该实例未接入业务。 ELB已开启HTTP/HTTPS健康检查。 ELB已关闭会话保持。 切换独享引擎实例安全组 当“实例类别”为“资源租户类”时,您可以切换独享引擎所属的安全组。切换安全组后,实例将受到该安全组访问规则的保护。 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。
更新云模式防护域名的配置 功能介绍 更新云模式防护域名配置,在没有填入源站信息server的原始数据的情况下,则新的源站信息server会覆盖源站信息,而不是新增源站。此外,请求体可只传需要更新的部分。 调用方法 请参见如何调用API。 URI PATCH /v1/{projec
本,默认停用此开关。 关于事件结构的关键字段详解,请参见事件结构和事件样例。 (可选)在新版事件列表页面,单击右上方的“返回旧版”按钮,可切换至旧版事件列表页面。 在旧版事件列表查看审计事件 登录管理控制台。 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务页面。
Administrator”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择除Web应用防火墙外(假设当前策略仅包含“WAF Administrator”)的任一服务,如果提示权限不足,表示“WAF
集群的几个C类IP地址(192.0.0.0~223.255.255.255)上。 一般情况下,在没有灾备切换或其他调度切换集群的场景下,回源IP不会变。且WAF后台做集群切换时,会探测源站安全组配置,确保不会因为安全组配置导致业务整体故障。 图1 回源IP 回源IP检测机制 回源
建议至少购买2个WAF实例,并将业务分别部署到WAF实例上。当业务部署多个WAF实例时,如果某个WAF实例发生故障时,WAF会自动将流量切换到其它正在运行的WAF实例上,确保业务正常运行。 前提条件 登录WAF控制台的账号必须具有“WAF Administrator”或者“WAF
云审计服务支持的WAF操作列表 云审计服务(Cloud Trace Service,CTS)记录了Web应用防火墙相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见云审计服务用户指南。 表1 云审计服务支持的WAF操作列表 操作名称 资源类型 事件名称 创建云模式域名 instance
5、30、60、120、360、720、1440;当通知类型为证书到期时,该参数表示每隔多长时间发送一次告警通知,支持的值1天、1周(需要转换成分钟)。 locale String 语言 times Integer 当通知类型为防护事件时,需要填写该参数。在该时间间隔内,当攻击次
Web应用防火墙支持自定义授权策略吗? 为什么Cookie中有HWWAFSESID或HWWAFSESTIME字段? 云模式、独享模式可以互相切换吗? 同一防护域名/IP可以添加到不同的账号进行防护吗? 什么是区域和可用区? Web应用防火墙可以跨区域使用吗? Web应用防火墙支持防护哪些区域?
查看独享模式域名配置 功能介绍 查看独享模式域名配置 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/premium-waf/host/{host_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String
通过LTS记录WAF全量日志 启用WAF全量日志功能后,您可以将攻击日志、访问日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的WAF日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 LTS对于采集的日志数据,通过海量日志
根据防护域名Id查询云模式防护域名详细信息 功能介绍 根据防护域名Id查询云模式防护域名详细信息 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/waf/instance/{instance_id} 表1 路径参数 参数 是否必选 参数类型 描述
WAF权限及授权项 如果您需要对您所拥有的WAF进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),如果华为账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用WAF服务的其它功能。
区域对应的项目中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问WAF时,需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
