检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Web应用防火墙与漏洞管理服务有哪些区别? Web应用防火墙(Web Application Firewall,WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意
Web应用防火墙是否支持IPv4和IPv6共存? WAF支持IPv4和IPv6共存,针对同一域名可以同时提供IPv6和IPv4的流量防护。 Web应用防火墙支持IPv6/IPv4双栈,针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务,
段才有效 表6 Ip_group 参数 参数类型 描述 id String Ip地址组id,在新增Ip地址组时系统自动生成的唯一标识 name String Ip地址组名 size Long Ip地址组中包含Ip/Ip段的数量 状态码: 400 表7 响应Body参数 参数 参数类型
为什么WAF显示的流量大小与源站上显示的不一致? WAF“安全总览”页面显示的流量大小与源站上显示的不同,主要原因说明如下: 网页压缩 WAF默认开启压缩,客户端(如浏览器)与WAF之间进行通信的网页可能被压缩(依赖浏览器压缩选项),而源站服务器可能不支持压缩。 连接复用 WAF
包含域名的路径。 前缀匹配:填写的路径前缀与需要防护的路径相同即可。 如果防护路径为“/admin”,该规则填写为“/admin*”,该规则生效。 精准匹配:需要防护的路径需要与此处填写的路径完全相等。 如果防护路径为“/admin”,该规则必须填写为“/admin”。 说明:
网站管理 查看网站基本信息 导出网站设置列表 切换防护模式 修改负载均衡算法 更换网站绑定的防护策略 更新网站绑定的证书 修改服务器配置信息 查看防护网站的云监控信息 批量跨企业项目迁移域名 删除防护网站 父主题: 网站设置
IPv6防护 哪些版本支持IPv6防护? 如何测试在WAF中配置的源站IP是IPv6地址? 业务使用了IPv6,WAF中的源站地址如何配置? WAF如何解析/访问IPv6源站?
查询WAF回源IP信息 功能介绍 查询WAF回源IP信息 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/waf/config/source-ip 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID
F防护正常运行,此阶段为有效期;资源到期而未续费时,将陆续进入宽限期和保留期。 图2 计费资源生命周期 到期后预警 包年/包月WAF资源在到期前第7天内,系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到华为云账号的创建者。 到期后影响 包年/包月方式购买
源的请求,由于CDN直接返回给客户端,请求没有到WAF,所以这些请求的安全策略不会生效。 WAF与CDN的配置请参见使用CDN和WAF提升网站防护能力和访问速度。 父主题: 防护规则
应用较广的开源组件Fastjson的多个版本出现拒绝服务漏洞。攻击者利用该漏洞,可构造恶意请求发给使用了Fastjson的服务器,使其内存和CPU耗尽,最终崩溃,造成用户业务瘫痪。目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。
应用较广的开源组件Fastjson的多个版本出现拒绝服务漏洞。攻击者利用该漏洞,可构造恶意请求发给使用了Fastjson的服务器,使其内存和CPU耗尽,最终崩溃,造成用户业务瘫痪。目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。
攻击源来自海外或IDC机房IP CC攻击中很大比例的攻击来源于海外IP和IDC机房IP的情形。 对于面向中国用户的网站,在遭受攻击时可以通过封禁海外访问来缓解攻击压力。推荐您使用WAF的地理位置访问控制功能,封禁中国境外IP地址的访问,具体操作请参见配置地理位置访问控制规则。 图2 封禁海外IP
黑白名单规则和精准访问防护规则的拦截指定IP访问请求,有什么差异? 黑白名单规则和精准访问防护规则都可以拦截指定IP访问请求,两者的区别说明如表1所示。 表1 黑白名单规则和精准访问防护规则区别 防护规则 防护功能 WAF检测顺序 黑白名单规则 只能阻断、仅记录或放行指定IP地址/IP地址段的访问请求。
对象管理 管理证书 管理黑白名单IP地址组
斜体字段需要根据实际值填写,其中username为用户名,domainname为用户所属的账号名称,********为用户登录密码,xxxxxxxxxxxxxxxxxx为project的名称,如“cn-north-4”,您可以从地区和终端节点获取,对应地区和终端节点页面的“区域”字段的值。
添加2条黑名单规则,拦截所有来源IP,如图2和图3所示。 图2 拦截1.0.0.0/1 IP地址段 图3 拦截128.0.0.0/1 IP地址段 单击“添加规则”,在弹出的“添加黑白名单设置规则”对话框中,分别添加放行指定IP或IP地址段的防护规则。 例如,如果您需要放行XXX.XXX
护日志中记录的防护事件,“防护动作”显示为“不匹配”。 源IP Web访问者的公网IP地址(攻击者IP地址)。 默认选择“全部”,查看所有的日志信息,也可以根据需要,选择或者自定义攻击者IP地址查看攻击日志信息。 URL 攻击的防护域名的URL。 状态码 拦截页面返回的HTTP状态码。
请添加HTTP到HTTP和HTTPS到HTTPS这2条转发协议规则。具体操作如下: 登录WAF控制台。 在左侧导航栏中,选择“网站设置”,进入网站设置页面。 在接入域名列表,单击目标域名。 在“源站服务器”栏中,单击“编辑”。 在“修改服务器信息”对话框,添加HTTP到HTTP和HTTPS到HTTPS这2条转发协议规则。
API 云模式防护网站管理 独享模式防护网站管理 防护策略管理 策略规则管理 地址组管理 证书管理 防护事件管理 安全总览 局点支持特性查询 独享实例管理 日志配置管理 租户订购管理 租户域名查询 租户防护域名管理 系统管理 告警管理
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
