检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
工作原理 当用户访问使用CDN服务的网站时,本地DNS服务器通过CNAME方式将最终域名请求重定向到CDN服务。CDN通过一组预先定义好的策略(如内容类型、地理区域、网络负载状况等),将当时能够最快响应用户的CDN节点IP地址提供给用户,使用户可以以最快的速度获得网站内容。使用CDN后的HTTP请求处理流程如下。
如已配置OBS服务,云审计服务将事件转存至OBS桶中。用户也可以通过云审计服务的事件列表查看事件文件。云审计服务工作原理示意如图1所示。 图1 云审计服务工作原理示意图
或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和Cookie等各种内容。 WAF针对SQL注入攻击的检测原理 WAF针对SQL注入攻击的检测原理是检测SQL关键字、特殊符号、运算符、操作符、注释符的相关组合特征,并进行匹配。 SQL关键字(如 uni
本章节介绍在接入WAF前网站没有使用任何代理产品(如未使用DDoS高防、CDN等),如何通过云模式-CNAME接入方式将网站接入WAF进行防护,保障网站的安全性和可用性。 方案架构 当网站没有接入到WAF前,DNS直接解析到源站的IP。网站接入WAF后,需要把DNS解析到WAF的CNAM
WAF转发和Nginx转发有什么区别? WAF转发和Nginx转发的主要区别为Nginx是直接转发访问请求到源站服务器,而WAF会先检测并过滤恶意流量,再将过滤后的访问请求转发到源站服务器,详细说明如下: WAF转发 网站接入WAF后,所有访问请求将先经过WAF,WAF通过对HT
择一个服务版本。 有关支持购买WAF的区域说明,请参见Web应用防火墙支持防护哪些区域?。 原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域。 专业版和铂金版支持定制
数据库代理最佳实践 使用Hint语法实现RDS for MySQL读写分离 在读写分离权重分配体系之外,Hint可以作为另外一种SQL补充语法来指定相关SQL到主节点或只读节点执行。 Hint注释仅作为路由建议,非只读SQL、事务中的场景不能强制路由到只读节点。 使用MySQL命
方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等),确保业务持续可靠运行,配置原理图如图1所示。 图1 使用代理配置原理图 DDoS高防+WAF配置后,流量被DDoS高防转发到WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。 相关配置说明如下: 云模式-CNAME接入
独享模式:域名或IP(公网IP/私网IP),华为云的Web业务 CDN+WAF可以对华为云、非华为云或云下的域名进行联动防护,同时提升网站的响应速度和网站防护能力,配置原理图如图1所示。 图1 使用代理配置原理图 CDN+WAF配置后,流量被CDN加速后转发到WAF,WAF再将流量转到源站,在提升用户访问网站的响
-- 是否使用七层代理 是:使用了DDoS高防(七层代理)、CDN、云加速等Web代理产品。 否:没有使用七层代理。 须知: 选择“是”后,即在WAF前使用了七层代理,WAF将从配置的Header头中的相关字段获取用户真实访问IP,详见配置攻击惩罚的流量标识。 七层代理 高级配置。
要将该域名和端口逐一添加到WAF。 代理限制 如果WAF前有使用CDN、云加速等七层代理服务器,“是否使用七层代理”务必选择“是”,选择“是”后,WAF将从配置的Header头中字段中获取用户真实访问IP,详见配置攻击惩罚的流量标识。 证书限制 WAF当前仅支持PEM格式证书。
IP,客户端通过WAF IP访问WAF。如果存在代理: DNS返回的域名解析地址为代理IP,客户端通过代理IP访问代理。 代理通过WAF IP访问WAF。 WAF对流量进行检测后,拦截异常流量,使用回源IP(段)将正常流量转发到源站服务器。 接入流程 根据网站是否使用代理(例如高防、CDN、云加速等),您需要完成如下接入操作。
登录华为云管理控制台。 在控制台页面中选择“安全与合规 > Web应用防火墙 WAF”,进入Web应用防火墙控制台。 在页面右上角,单击“购买WAF实例”,进入购买页面,“WAF模式”选择“云模式”。 “区域”:根据防护业务的所在区域就近选择购买的WAF区域。 “版本规格”:选择“标准版”。 “扩
WAF获取真实IP是从报文中哪个字段获取到的? 根据WAF不同的接入模式判断从报文中的哪个字段来获取客户端的真实IP。 云模式-CNAME接入、独享模式接入 WAF引擎会根据防护规则确定是否代理转发请求去后端,如果WAF配置了基于IP的规则(比如黑白名单、地理位置、基于IP的精准
TTPS协议,WAF可以防护。 NTLM(New Technology LAN Manager,Windows NT LAN管理器)代理是Windows平台下HTTP代理的一种认证方式,其认证方式与Windows远程登录的认证方式是一样的,客户端(如浏览器)和代理之前需要三次握手才开始传递信息。
将网站接入WAF防护(云模式-CNAME接入) 将网站接入WAF防护(云模式-CNAME接入) 配置示例 父主题: 网站接入WAF
WAF支持的端口范围 Web应用防火墙(Web Application Firewall,简称WAF)支持防护标准端口和非标端口。您在网站接入配置中添加防护网站对应的业务端口,WAF将通过您设置的业务端口为网站提供流量的接入与转发服务。本文介绍WAF支持防护的标准端口和非标端口。
BypassWAF失败 检查防护状态后进行重试 400 WAF.00014006 proxy.config.error 代理配置错误 重新正确配置代理后重试 400 WAF.00014007 host.conflict 域名冲突 检查网站配置中是已存在域名 400 WAF.00014008
迁移工作原理 概述 迁移流程 数据识别与准备 数据迁移 数据安全与完整性保障
准备工作 创建rf_admin_trust委托(可选) 进入华为云官网,打开控制台管理界面,鼠标移动至个人账号处,打开“统一身份认证”菜单 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单,搜索“rf_admin_trust”委托 图3 委托列表 如果委托存在,则不用执行接下来的创建委托的步骤
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
