检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
购买WAF独享模式 如果您的业务服务器部署在华为云,您可以通过购买WAF独享引擎实例对重要的域名或仅有IP的Web服务进行防护。购买独享引擎实例后,您还需要为实例配置弹性负载均衡,弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力,同时通过消除单点故障提升应用系统的可用性。
转,网站内容加密传输。 使用WAF做HTTPS卸载模式,“对外协议”选择“HTTPS”,“源站协议”选择“HTTP”,如图6所示。 此场景下,客户端访问网站时,采用HTTPS协议加密传输,WAF转发请求到源站使用HTTP协议。 图6 使用WAF做HTTPS卸载模式 图6中红框内的
使用LTS配置WAF规则的拦截告警 应用场景 开启WAF全量日志功能后,您可以将攻击日志、访问日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的WAF攻击日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 本实践通过将WAF
P 10网站进行统计,并将拦截或者仅记录攻击事件记录在“防护事件”页面。您可以查看WAF的防护日志,包括事件发生的时间、源IP、源IP所在地理位置、恶意负载、命中规则等信息。 如果您已开通企业项目,您可以在“企业项目”下拉列表中选择您所在的企业项目,查看该企业项目的防护日志。 前提条件
使用配置Cookie字段实现用户标识并开启“全局计数”。 实践案例 竞争对手控制数台主机,与大多普通访客一样,共用同一IP,或通过代理频繁更换源IP,持续向网站“www.example.com”发起HTTP Post请求,网站并无较大的负载能力,网站连接数、带宽等资源均被该攻击者
用户也可以单击“自定义”,勾选需要告警的事件类型。 到期提前通知 “通知类型”选择“证书到期”时,需要配置此参数。 在下拉框中选择证书到期提前通知的时间,可选择“1周”、“1个月”、“2个月”。 例如:选择“1周”,那么证书到期前1周时,WAF将以短信或邮件的方式通知您更换证书。
将网站接入WAF防护(云模式-ELB接入) 如果您的业务服务器部署在华为云,您可以使用云模式的ELB接入方式将网站的域名或IP添加到WAF进行防护。 已经使用了华为云独享型ELB进行流量转发的网站,才支持使用“云模式-ELB接入”将网站接入WAF,该方式WAF是旁路检测,不参与流
集群的几个C类IP地址(192.0.0.0~223.255.255.255)上。 一般情况下,在没有灾备切换或其他调度切换集群的场景下,回源IP不会变。且WAF后台做集群切换时,会探测源站安全组配置,确保不会因为安全组配置导致业务整体故障。 图1 回源IP 回源IP检测机制 回源
WAF将自动拦截TLS1.0协议的访问请求。 客户端APP无安全性要求,可以正常访问网站 TLS v1.0 所有的TLS协议都可以访问网站。 支持配置的加密套件说明 WAF默认配置的加密套件为“加密套件1”,可以满足浏览器兼容性和安全性,各加密套件相关说明如表3所示。 表3 加密套件说明
配置网站反爬虫防护规则防御爬虫攻击 您可以通过配置网站反爬虫防护规则,防护搜索引擎、扫描器、脚本工具、其它爬虫等爬虫,以及自定义JS脚本反爬虫防护规则。 如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名配置防护策略。
条“TXT记录”,WAF会据此判断域名的所有权真正属于哪个用户。 如何判断 目标域名在域名列表中被置灰,“工作模式”为“暂停防护”,且无法切换为“开启防护”模式。如果出现此种现象,则说明您的域名被其他用户占用了。 解决办法 前往您的DNS服务商处,添加一条“子域名”,并为该子域名
在其他企业项目下不能使用。 如果独享引擎实例到源站的VPC网络不互通,且您又想跨企业项目使用WAF实例的话,您可以在“企业项目管理”页面将购买的WAF迁入目标企业项目,使目标企业项目可以使用购买或升级的WAF。 父主题: 产品咨询
务器IP地址,否则该域名的流量将无法切回服务器,影响正常访问。 独享模式:修改ELB的后端服务器组,不再接入WAF实例节点,具体操作请参见更换后端服务器组。 原因二:调用了第三方接口且第三方接口也使用了华为云WAF 将用户的请求在转发给第三方接口时仅修改了host,而header
Web应用防火墙可以免费使用吗? WAF为收费服务,需要购买后才能使用。WAF提供了云模式:入门版、标准版、专业版、铂金版,独享模式(独享版)五种服务版本,各版本的规格和收费的详细介绍,请参见产品价格详情。 父主题: 计费FAQ
Web应用防火墙可以配置会话Cookie吗? WAF不支持配置会话Cookie。 WAF可以通过配置CC攻击防护规则,限制单个Cookie字段特定路径(URL)的访问频率,精准识别CC攻击以及有效缓解CC攻击。例如,您可以通过配置CC攻击规则,使Cookie标识为name的用户在
Web应用防火墙可以跨区域使用吗? 原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域。 例如,如果买一个WAF能同时覆盖不同地域的业务(如北京和上海),但是如果购买北
云模式服务器的源站地址可以配置成CNAME吗? 可以。如果服务器的源站地址配置为CNAME,添加域名后会多经历一层DNS解析,即先将CNAME解析为IP地址,DNS解析会增加时延,故推荐您将源站地址配置成公网IP地址。 添加域名的相关配置请参见添加防护域名。 父主题: 网站接入
购买域名扩展包或者升级规格 403 WAF.00015002 premium.instance.sold.out 所选的独享实例规格已售罄,请更换规格或等待补货 请更换规格或等待补货 403 WAF.00015003 premium.instance.not.allowed 该账户不被允许创建独享实例
Web应用防火墙的防护日志可以存储多久? 在WAF管理控制台,您可以免费查看最近30天的防护日志。 您可以将WAF的防护日志记录到单独收费的云日志服务(Log Tank Service,简称LTS),LTS默认存储日志的时间为7天,存储时间可以在1~30天之间进行设置,超出存储时
如果只允许指定地区的IP可以访问,如何设置防护策略? 如果您只允许某一地区的IP访问防护域名,例如,只允许来源“上海”地区的IP可以访问防护域名,请参照以下步骤处理。 由于地理位置访问控制的优先级高于内置规则的检测,配置了该地区IP放行后,WAF将不再检测其他的Web基础防护策略,直接放行。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
