检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
后端服务器配置多个源站地址时的注意事项? 同一个域名在后端配置多个源站地址时,请注意: 域名对应的业务端口为非标准端口 对外协议、源站协议和源站端口必须都相同 域名对应的业务端口为标准端口 对外协议、源站协议和源站端口可不相同 添加域名时,WAF支持添加多个服务器IP,多个服务器之
云模式服务器的源站地址可以配置成CNAME吗? 可以。如果服务器的源站地址配置为CNAME,添加域名后会多经历一层DNS解析,即先将CNAME解析为IP地址,DNS解析会增加时延,故推荐您将源站地址配置成公网IP地址。 添加域名的相关配置请参见添加防护域名。 父主题: 网站接入
修改服务器配置信息 当您以“云模式-CNAME接入”或“独享模式”添加防护网站后,如果需要修改防护网站的服务器信息或者需要添加服务器信息时,可以修改服务器配置信息。 本章节可对以下场景提供指导: 修改服务器信息。 云模式-CNAME接入:修改对外协议、源站协议、源站地址、源站端口
云模式仅专业版、铂金版支持手动设置连接超时时长。 WAF不支持手动设置浏览器到WAF引擎的连接超时时长,仅支持配置WAF到客户源站的连接超时时长。 开启后不支持关闭。 支持配置网站连接超时时间的区域,请参考功能总览。 配置WAF到网站服务器的连接超时时间 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。
如何处理“协议不受支持,客户端和服务器不支持一般 SSL 协议版本或加密套件”? 现象 域名接入WAF后,不能正常访问网站,提示“协议不受支持,客户端和服务器不支持一般 SSL 协议版本或加密套件”。 解决办法 建议您在TLS配置里,将“加密套件”切换为“默认加密套件”,具体操作请参见配置PCI
添加域名时提示“非法的源站地址”,如何处理? 故障现象 添加防护域名时,无法添加域名,提示“非法的源站地址”。 可能原因 “源站地址”配置为内部保留的私网IP地址。 “防护对象”和“源站地址”配置成了一样。 处理建议 将“源站地址”配置为真实的源站IP地址(公网IP地址)或单独的回源域名(回源域名不能和“防护域名”相同)。
error_msg String 下游服务报错信息 请求示例 更新项目id为project_id,地址组id为id的ip地址组。ip地址组的名称为"demo",地址为 "xx.xx.xx.xx",地址组描述为“”。 PUT https://{Endpoint}/v1/{project_id}/waf/ip-group/{id}
如何查询域名提供商? 用户可以通过查询域名注册信息,确认域名所属的DNS服务器信息,然后再根据域名所属的DNS服务器信息进行DNS验证的相关操作。 有关查询域名提供商的详细操作,请参见如何查询域名提供商?。 父主题: 网站接入
String 地址组名称 ips 是 String 以逗号分隔的ip或ip段 description 否 String 地址组描述 响应参数 状态码: 200 表5 响应Body参数 参数 参数类型 描述 id String 地址组id name String 地址组名称 ips
业务使用了IPv6,WAF中的源站地址如何配置? 如果域名已接入了WAF(源站地址配置为IPv4地址)进行防护,当业务开启了IPv6时,WAF中配置的源站地址可以保持原IPv4地址,也可以修改为IPv6地址。 WAF支持IPv6/IPv4双栈模式和NAT64机制,详细说明如下:
Integer 该用户当前企业项目下Ip地址组数量,只包含本地地址组 items Array of IpGroupBody objects 地址组信息列表 cloudTotal Integer 该用户总的Ip地址组数量,包含本地与共享地址组 表5 IpGroupBody 参数 参数类型
参数类型 描述 id String 地址组id name String 地址组名称 ips String 地址组ip(以逗号分隔的ip或ip段) size Integer 地址组长度 rules Array of RuleInfo objects ip地址组绑定的规则列表 表5 RuleInfo
参数类型 描述 id String 地址组id name String 地址组名称 ips String 地址组ip(以逗号分隔的ip或ip段) size Integer 地址组长度 rules Array of RuleInfo objects ip地址组绑定的规则列表 share_info
如何解决“源站服务器CPU使用率高达100%”问题? 问题现象 网站遭受攻击,网站已接入WAF,但防护没起作用,源站服务器CPU使用率高达100%,怎么办? 可能原因 网站可能遭受了CC攻击。 当发现网站处理速度下降,网络带宽占用过高时,很有可能已经遭受CC攻击,此时可查看Web
在弹出的对话框中,“访问控制”选择“白名单”。 单击“创建IP地址组”,将6中独享引擎实例的回源IP地址添加到“IP地址组”。 在“IP地址组”的下拉框中选择6.a中创建的IP地址组。 单击“确定”,白名单访问控制策略添加完成。 您可以参考如何判断源站存在泄露风险,通过测试已接入WAF防护的源
所有回源IP。 图5 复制回源IP 打开源站服务器上的安全软件,将复制的IP段添加到白名单。 源站服务器部署在华为云ECS上,请参考源站服务器部署在ECS上,放行WAF回源IP进行操作。 源站服务器部署在华为云ELB上,请参考源站服务器部署在华为云ELB上,放行WAF回源IP进行操作。
在目标域名所在行的“域名”列中,单击目标域名,进入域名基本信息页面。 在“源站服务器”栏中,单击编辑,进入“修改服务器信息”页面,单击“添加”,新增后端服务器。 图9 服务器配置 将“源站地址”设置为ELB的弹性公网IP地址。 单击“确定”,服务器信息修改成功。 父主题: 流量转发异常排查
图3 Web应用防火墙的回源IP网段 打开源站服务器上的安全软件,将复制的IP段添加到白名单。 源站服务器部署在华为云ECS上,请参考源站服务器部署在ECS上,放行WAF回源IP进行操作。 源站服务器部署在华为云ELB上,请参考源站服务器部署在华为云ELB上,放行WAF回源IP进行操作。
修改负载均衡算法 防护网站配置了一个或多个源站地址时,WAF支持配置多源站间的负载均衡算法,WAF支持的算法如下: 源IP Hash:将某个IP的请求定向到同一个服务器。 加权轮询:所有请求将按权重轮流分配给源站服务器,权重越大,回源到该源站的几率越高。 Session Hash
方案概述 应用场景 当客户发现网站处理速度下降,网络带宽占用过高时,很有可能已经遭受CC攻击,此时可查看Web服务器的访问日志或网络连接数量,如果访问日志或网络连接数量显著增加,则可确定已遭受CC攻击,可以按照以下策略进行配置,利用WAF阻断CC攻击,保障网站业务的正常运行。 W
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
