检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
WAF的业务QPS是指所有该WAF防护的域名、站点中正常业务流量的大小,单位为QPS。一个QPS扩展包的QPS限制和带宽限制: 对于部署在华为云的Web应用 业务带宽:50Mbit/s 每秒钟的请求量:1000QPS(Query Per Second,例如一个HTTP GET请求就是一个Query) 对于未部署在华为云的Web应用
板块都同属于官网域名,算一个网站,占一个检测网站配额,即在购买内容安全检测服务时,“检测对象类型”选择“网站”,“检测对象”配置为XX官网的网址即可。 场景二:不同域名对应的网站,检测配额独立计算 举例:某官网(http://www.example.com)是一个网站,该网站下有
C攻击以及有效缓解CC攻击。例如,您可以通过配置CC攻击规则,使Cookie标识为name的用户在60秒内访问域名的“/admin*”页面超过10次时,封禁该用户访问域名600秒。 有关配置CC攻击防护规则的详细操作,请参见配置CC攻击防护规则。 什么是Cookie Cookie
务场景使用WAF的一系列常用实践。 表1 常用最佳实践 实践 描述 域名接入 未使用代理的网站通过CNAME方式接入WAF 网站没有接入WAF前,DNS直接解析到源站的IP。网站接入WAF后,需要把DNS解析到WAF的CNAME,这样流量才会先经过WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。
取值样例 防护域名 需要添加到WAF中防护的域名。 域名已完成备案 支持单域名(例如,一级域名example.com,二级域名www.example.com等)和泛域名(例如,*.example.com)。 www.example.com 防护端口 需要防护的域名对应的业务端口。
Web应用防火墙可以跨区域使用吗? 原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域。 例如,如果买一个WAF能同时覆盖不同地域的业务(如北京和上海),但是如果购买北
使用业务Cookie(或者用户ID)基于路径配置CC限速 登录管理控制台,将您的网站成功接入到WAF。 云模式添加域名的方法:添加防护域名(云模式-CNAME接入)。 独享模式添加域名的方法:添加防护网站(独享模式)。 在目标域名所在行的“防护策略”栏中,单击“已开启N项防护”,进入“防护策略”页面。
问题现象 域名接入WAF通过第三方漏洞扫描工具扫描后,扫描结果显示了域名的标准端口(例如443)和非标准端口(例如8000、8443等)。 可能原因 由于WAF的非标准端口引擎是所有用户间共享的,即通过第三方漏洞扫描工具可以检测到所有已在WAF中使用的非标准端口。域名的端口检测,
经过WAF,直接访问源站。 云模式-CNAME接入 到DNS服务商处将域名重新解析,指向源站服务器IP地址。 独享模式 当网站的部署架构如图1所示时(即独享引擎实例后端部署了内网ELB),将EIP从公网ELB上解绑,然后再绑定到内网ELB上,使业务请求绕过WAF,直接到达源站。 图1
变更规格不改变计费模式与到期时间。 一个域名包支持10个域名,限制仅支持1个一级域名和与一级域名相关的子域名或泛域名。 一个QPS扩展包的QPS限制和带宽限制: 对于部署在华为云的Web应用 业务带宽:50Mbit/s 每秒钟的请求量:1000QPS(Queries Per Second,例如一个HTTP GET请求就是一个Query)
取值样例 防护域名 需要添加到WAF中防护的域名。 域名已完成备案 支持单域名(例如,一级域名example.com,二级域名www.example.com等)和泛域名(例如,*.example.com)。 www.example.com 防护端口 需要防护的域名对应的业务端口。
在左侧导航树中,选择“网站设置”,进入“网站设置”页面。 查看防护网站信息,参数说明如表1所示。 图1 网站列表 表1 参数说明 参数名称 参数说明 域名 防护的域名或IP。 接入模式 防护网站的部署模式,包括“云模式-CNAME接入”、“云模式-ELB接入”、和“独享模式”。 接入状态 展示网站接入WAF未完成的步骤或者接入状态。
如果只允许指定地区的IP可以访问,如何设置防护策略? 如果您只允许某一地区的IP访问防护域名,例如,只允许来源“上海”地区的IP可以访问防护域名,请参照以下步骤处理。 由于地理位置访问控制的优先级高于内置规则的检测,配置了该地区IP放行后,WAF将不再检测其他的Web基础防护策略,直接放行。
Web应用防火墙支持功能如下表。 功能类别 功能说明 业务配置 域名(泛域名、一级域名、二级域名等各级域名)/IP防护 说明: WAF云模式支持域名备案检查,添加防护域名时,WAF会检查域名备案情况,未备案域名将无法添加到WAF。 WAF支持云模式-CNAME接入、云模式-EL
如果证书机构提供的证书在用户平台内置信任库中查询不到,且证书链中没有颁发机构,则证明该证书是不完整的证书。使用不完整的证书,当用户访问防护域名对应的浏览器时,因不受信任而不能正常访问防护域名对应的浏览器。 按以下两种方法可解决此问题: 手动构造完整证书链,并上传证书。 重新上传正确的证书。 Chrome
业务使用了IPv6,WAF中的源站地址如何配置? 如果域名已接入了WAF(源站地址配置为IPv4地址)进行防护,当业务开启了IPv6时,WAF中配置的源站地址可以保持原IPv4地址,也可以修改为IPv6地址。 WAF支持IPv6/IPv4双栈模式和NAT64机制,详细说明如下:
Web应用防火墙是否支持IPv4和IPv6共存? WAF支持IPv4和IPv6共存,针对同一域名可以同时提供IPv6和IPv4的流量防护。 Web应用防火墙支持IPv6/IPv4双栈,针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务,We
入门版/标准版:支持防护10个域名,限制仅支持1个一级域名。 专业版:支持防护50个域名,限制仅支持5个一级域名。 铂金版:支持防护80个域名,限制仅支持8个一级域名。 限制仅支持1个一级域名是指支持1个一级域名和与一级域名相关的子域名或泛域名。即您可以添加1个一级域名example.co
、稳定、可用。 WAF支持IPv6/IPv4双栈模式和NAT64机制,详细说明如下: Web应用防火墙支持IPv6/IPv4双栈,针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务,Web应用防火墙支持NAT64机制(NAT64是一种通
值类型:Float 防护域名 5分钟 qps_peak QPS峰值 该指标用于统计近5分钟内防护域名的QPS峰值。 单位:次 采集方式:统计近5分钟内防护域名的QPS峰值 ≥0 次 值类型:Float 防护域名 5分钟 qps_mean QPS均值 该指标用于统计近5分钟内防护域名的QPS均值。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
