检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
WAF目前暂不支持健康检查的功能,如果您希望服务器有健康性检查的功能,建议您将弹性负载均衡(ELB)和WAF搭配使用,ELB的相关配置请参见添加后端云服务器。ELB配置完成后,再将ELB的EIP作为服务器的IP地址,接入WAF,实现健康检查。
参见修改后端云服务器权重,在ELB管理控制台上,记录任一独享引擎实例的流量权重后,将该实例的流量权重设置为“0”。 新的请求不会转发到权重为0的后端。 待业务流量降下来后,升级独享引擎实例版本。
CC攻击 CC攻击是针对Web服务器或应用程序的攻击,利用获取信息的标准的GET/POST请求,如请求涉及数据库操作的URI(Universal Resource Identifier)或其他消耗系统资源的URI,造成服务器资源耗尽,无法响应正常请求。
反向代理服务器接受客户端访问请求后,直接将访问请求转发给Web服务器,并将从Web服务器上获取的结果返回给客户端。反向代理服务器安装在网站机房,代理Web服务器接收访问请求,并对访问请求进行转发。
标准端口 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、源站地址、源站端口和权重。 对外协议:客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议:Web应用防火墙转发客户端请求的协议类型。
可在WAF中修改服务器信息,配置两条HTTP(对外协议)到HTTP(源站协议)和HTTPS(对外协议)到HTTPS(源站协议)的服务器信息。 图1 配置示例 父主题: 流量转发异常排查
云模式-CNAME接入:业务服务器部署在华为云、非华为云或线下,且防护对象为域名。
删除云模式的CNAME方式接入的防护网站前,请您先到DNS服务商处将域名重新解析,指向源站服务器IP地址,否则该域名的流量将无法切回服务器,影响正常访问。 防护网站删除后,如果需要再次添加到WAF中进行防护,需要重新按照网站接入WAF的操作完成域名接入。
示例二:客户端请求转发到不同的源站服务器 配置场景:同一个防护对象,需要WAF将客户端请求转发到不同的源站服务器。 例如,需要将防护域名www.example.com,防护端口8080添加到WAF防护,并需要WAF将请求转发到两台后端服务器。
通过ECS/ELB访问控制策略保护源站安全 介绍源站服务器部署在华为云弹性云服务器(以下简称ECS)、或华为云弹性负载均衡(以下简称ELB)时: 如何判断源站是否存在泄漏风险? 如何配置访问控制策略保护源站安全?
按需计费是一种后付费模式,即先使用再付费,按照云服务器实际使用时长计费。关于两种计费模式的详细介绍请参见WAF计费模式概述。 计费项 Web应用防火墙的计费项由服务版本、扩展包、实例个数费用组成。了解每种计费项的计费因子、计费公式等信息,请参考计费项。
优化服务器的相关配置,包括TCP网络参数的优化配置,ulimit相关参数设置等。 如果是云模式部署方式,如果使用了ELB负载均衡,建议在ELB上增加后端服务器组或创建新的ELB,支撑大量增长的业务量。 增加后端服务器组的详细操作,请参见添加后端云服务器(共享型)。
图5 复制回源IP 打开源站服务器上的安全软件,将复制的IP段添加到白名单。 源站服务器部署在华为云ECS上,请参考源站服务器部署在ECS上,放行WAF回源IP进行操作。 源站服务器部署在华为云ELB上,请参考源站服务器部署在华为云ELB上,放行WAF回源IP进行操作。
因此,您在云服务器(ECS)管理控制台中查看您源站ECS实例的入方向及出方向的流量就是正常的业务流量。如果存在多个源站ECS实例,则需要统计所有源站ECS实例流量的总和。
例如:针对WAF服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,WAF支持的API授权项请参见WAF权限及授权项。 如表1所示,包括了WAF的所有系统角色。
选择“主机防御 > 网页防篡改”,目标服务器所在行的“防护状态”为“防护中”,则表示网页防篡改版已开启。 选择“资产管理 > 主机管理 > 云服务器”,目标主机所在行的“防护状态”为“防护中”,且“版本/到期时间”为“网页防篡改版”,则表示网页防篡改防护已开启。
安全 责任共担 身份认证与访问控制 数据保护技术 审计与日志 服务韧性 监控安全风险 认证证书
说明: 如果需要选择“普通租户类”(WAF实例将直接创建在租户ECS中,租户可以在ECS服务页面看到WAF实例所在的弹性云服务器),需要提交工单申请,且仅部分Region支持,具体信息请以申请回复情况为准。 资源租户类 网络配置 虚拟私有云 选择源站所在的VPC。
back_protocol 是 String WAF转发客户端请求到防护域名源站服务器的协议 weight 否 Integer 源站权重,负载均衡算法将按该权重将请求分配给源站,默认值是1,云模式的冗余字段 address 是 String 客户端访问的源站服务器的IP地址 port
开源组件Fastjson远程代码执行漏洞 2019年07月12日,华为云应急响应中心检测到开源组件Fastjson存在远程代码执行漏洞,此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用,可直接获取服务器权限,危害严重。