检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
将网站接入WAF防护(云模式-ELB接入) 如果您的业务服务器部署在华为云,您可以使用云模式的ELB接入方式将网站的域名或IP添加到WAF进行防护。 已经使用了华为云独享型ELB进行流量转发的网站,才支持使用“云模式-ELB接入”将网站接入WAF,该方式WAF是旁路检测,不参与流
有关支持购买WAF的区域说明,请参见Web应用防火墙支持防护哪些区域?。 原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域。 专业版和铂金版支持定制非标准端口,您可以提交工单申请开通定制的非标准端口。
在目标策略名称所在行的“操作”列,单击“添加防护域名”。 在“防护域名”下拉框中选择适用于该策略的防护域名。 一个防护域名有且只能配置一条防护策略。 一条防护策略可以适用于多个防护域名。 如果想删除已绑定域名的防护策略,请先将此防护策略绑定的所有域名添加到其它防护策略,再在目标策略名称所在行的“操作”列中,单击“更多
防护策略”页面,确认“CC攻击防护”的“状态”为“开启”。 图1 CC防护规则配置框 开启WAF的“CC攻击防护”后,添加CC防护规则,配置如图2所示。 限速模式:选择“源限速”、“用户限速”,根据Cookie键值区分单个Web访问者。 用户标识:为了更加有效的标识用户,建议使用
哪些版本支持IPv6防护? WAF支持IPv6防护,详细说明如下: 云模式的CNAME接入的专业版和铂金版支持IPv6的防护。 独享模式/云模式-ELB接入没有公网IP,公网IP绑定在ELB的弹性公网IP上 ,如果独享模式/云模式-ELB接入所在的ELB支持IPv6,那么独享模式/云模式-ELB接入也支持IPv6。
独享模式添加域名的方法:添加防护网站(独享模式)。 在目标域名所在行的“防护策略”栏中,单击“已开启N项防护”,进入“防护策略”页面。 在“CC攻击防护”配置框中,确认“CC攻击防护”的状态为开启。 图1 CC防护规则配置框 在“CC攻击防护”规则配置页面左上角,单击“添加规则”。
使用WAF、ELB和NAT网关防护云下业务 应用场景 WAF云模式-ELB接入默认只支持云上业务,当您的源站服务器在云下时,需要通过NAT网关进行流量转发,将您的流量由华为云内网回源到源站的公网IP,再通过云模式-ELB接入方式将网站接入WAF,实现流量检测。 方案架构 图1 方案架构
Web应用防火墙支持记录防护日志吗? 在WAF管理控制台,您可以免费查看最近30天的防护日志。 如果您需要长期保存防护日志,您可以将WAF的防护日志记录到单独收费的云日志服务(Log Tank Service,简称LTS)上。LTS默认存储日志的时间为7天,存储时间可以在1~30
同一防护域名/IP可以添加到不同的账号进行防护吗? 当防护域名以云模式添加到WAF时,不能再重复添加该防护域名进行防护。因此,同一防护域名不能添加到不同的账号进行防护。 当防护域名/IP以独享模式或云模式的ELB接入添加到WAF时,可以添加到不同的账号进行防护。 WAF支持云模式
开启IPv6防护 如果您的网站需要IPv6的防护,可以参考本章节开启IPv6防护,开启后,WAF将为域名分配IPv6的接入地址,WAF默认在CNAME中增加IPv6地址解析,IPv6的所有访问请求将先流转到WAF,WAF检测并过滤恶意攻击流量后,将正常流量返回给源站,从而确保源站安全、稳定、可用。
如何处理导出的防护事件数据乱码? 如果您需要将防护事件导出到本地,可在“防护事件”页面,单击“导出”。如果导出的防护事件数据,用Excel工具打开时,有乱码情况,可参照本章节处理。 原因 导出的防护事件数据为CSV格式,如果使用Excel工具打开该文件,可能会出现中文乱码的情况。这是
WAF和HSS的网页防篡改有什么区别? HSS网页防篡改版是专业的锁定文件不被修改,实时监控网站目录,并可以通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改,是政府、院校及企业等组织必备的安全服务。 WAF网页防篡改为用户提供应用层的防护,对网站的静态网页进行缓
后直接使用WAF的默认基础防护设置,不做任何调整。WAF提供的默认防护能力足够为网站抵御绝大部分的基础Web威胁。 建议您多关注Web应用防火墙控制台的“安全总览”和“防护事件”页面,了解业务情况和攻击情况。具体操作可参见以下文档: 安全总览 查看防护日志 我是专业的安全人员,需要做全面的Web入侵运营
String 防护策略id name String 防护策略名 level Integer Web基础防护等级 1 : 宽松,防护粒度较粗,只拦截攻击特征比较明显的请求。当误报情况较多的场景下,建议选择“宽松”模式。 2:中等,默认为“中等”防护模式,满足大多数场景下的Web防护需求。
Web应用防火墙可以同时查询多个指定IP的防护事件吗? WAF不支持同时查询多个指定IP的防护事件。您可以在“防护事件”页面,通过“事件类型”、“防护动作”、“源IP”、“URL”、“事件ID”组合条件,查看防护域名相应的防护事件。 图1 防护事件 有关查看防护事件的详细操作,请参见查看防护日志。
防护事件列表中,防护动作为“不匹配”是什么意思呢? 配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后,如果访问请求命中这些防护规则,则防护日志中记录的防护事件,“防护动作”显示为“不匹配”。 查看防护日志的其他信息请参见查看防护日志。 父主题: 防护日志
制定个性化防护规则的安全需求。 防护对象:域名或IP(公网IP/私网IP) 接入方式:将网站接入WAF防护(独享模式) 约束限制 WAF不同接入模式的约束限制如下。 云模式-CNAME接入 云模式-ELB接入 独享模式 使用云模式-CNAME接入方式将网站接入WAF防护时,有如下限制:
更多 将项目id为project_id的项目下的域名id为“6cc26af071de46479840b41c143bb79b”的域名和防护策略id为“b97ce5d4e38d4eaf94d65be7372974a8”的防护策略从企业id为0的企业,迁移到企业id为“c341b6b
域名接入WAF后,为什么无法开启防护模式? 其他用户在WAF配置了同样的域名,导致域名所有权被另外一个用户占有了。此时,您需要前往您的DNS服务商处,添加一条“子域名”,并为该子域名配置一条“TXT记录”。 具体的配置方法请参见未配置子域名和TXT记录的影响?。 父主题: 网站接入
器)和代理之前需要三次握手才开始传递信息。 对于客户端(如浏览器)和代理之前使用NTLM认证的业务,WAF可以防护。 WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式,各部署模式支持防护的对象说明如下: 云模式-CNAME接入:域名,华为云、非华为云或云下的Web业务