检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
据您配置的防护规则更好的防护您的网站业务。WAF引擎内置防护规则的检测流程如图1所示,自定义规则的检测顺序如图2所示。 在防护配置页面,勾选“按检测顺序排序”,所有的防护规则将按WAF的检测顺序进行重新排序。 图1 WAF引擎检测图 图2 防护规则的检测顺序 响应动作: pass:命中规则后无条件放行当前请求。
支持防护的对象说明如下: 云模式-CNAME接入:域名,华为云、非华为云或云下的Web业务 云模式-ELB接入:域名或IP(公网IP/私网IP),华为云的Web业务 独享模式:域名或IP(公网IP/私网IP),华为云的Web业务 HTTP/HTTPS业务防护 支持对网站的HTTP、HTTPS流量进行安全防护。
系统自动生成策略包括哪些防护规则? 在添加防护网站进行“策略配置”时,您可以选择已创建的防护策略或默认的“系统自动生成策略”,系统自动生成的策略相关说明如表1所示。 入门版、标准版只能选择“系统自动生成策略”。 您也可以在域名接入后根据防护需求配置防护规则。 表1 系统自动生成策略说明
CC攻击常见场景防护配置 本文介绍了基于Web应用防火墙的相关功能给出具体的CC攻击场景的防护策略,帮助您有针对性的防御CC攻击。 概述 您可以从以下不同的CC攻击防护场景中选择贴近您自身实际需求的场景,了解相关的防护设置: 大流量高频CC攻击 攻击源来自海外或IDC机房IP 请求特征畸形或不合理
eb基础防护中的“常规检测”,可防护代码注入攻击,详见开启Web基础防护规则。 敏感文件访问 一些涉及操作系统、应用服务框架的配置文件、权限管理文件等作为业务核心敏感的文件不应该被Internet上的请求所访问,否则会影响业务的安全。WAF默认开启Web基础防护中的“常规检测”,
态数据的篡改行为。 特权进程管理 配置特权进程白名单后,网页防篡改功能将主动放行可信任的进程,确保正常业务进程的运行。 不支持 备份恢复 主动备份恢复 若检测到防护目录下的文件被篡改时,将立即使用本地主机备份文件自动恢复被非法篡改的文件。 远端备份恢复 若本地主机上的文件目录和备
式支持防护的对象说明如下: 云模式-CNAME接入:域名,华为云、非华为云或云下的Web业务 云模式-ELB接入:域名或IP(公网IP/私网IP),华为云的Web业务 独享模式:域名或IP(公网IP/私网IP),华为云的Web业务 同一个域名/IP对应不同端口视为不同的防护对象,例如www
防护网站配置了一个或多个源站地址时,WAF支持配置多源站间的负载均衡算法,WAF支持的算法如下: 源IP Hash:将某个IP的请求定向到同一个服务器。 加权轮询:所有请求将按权重轮流分配给源站服务器,权重越大,回源到该源站的几率越高。 Session Hash:将某个Session标识的请求定向到同一个源站服务
防护网站部署模式为“云模式-ELB接入”时,不支持“重定向”模板。 “自定义”的拦截返回页面支持配置text/html、text/xml和application/json三种页面类型的页面内容。 “重定向”地址的根域名必须和当前被防护的域名(包括泛域名)保持一致。例如,被防护的域名为www.example.com,端
域名接入Web应用防火墙后,能通过IP访问网站吗? 域名接入到Web应用防火墙后,可以直接在浏览器的地址栏输入源站IP地址进行访问。但是这样容易暴露您的源站IP,使攻击者可以绕过Web应用防火墙直接攻击您的源站。 Web应用防火墙(Web Application Firewall,WAF),
特性说明 特性 说明 检测位置 检测Web网站和新媒体平台发布的内容。 检测范围 内容的合法合规性、准确性。 检测技术 机器检测:基于丰富的违规样例库进行机器初审核。 人工审核:内容审核专家基于多年经验对机器检测结果进行再审核。 交付形式 Word形式的检测报告。 “检测类型”选
IPv6防护。 支持IPv6防护的区域请参考功能总览。 当源站存在IPv6地址,默认开启IPv6防护。WAF为了防止客户IPv6的业务中断,禁止关闭IPv6的开关,如果确定不需要IPv6防护,需要先修改服务器配置,在源站删除IPv6的配置,具体的操作方法请参见修改服务器配置信息。
提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务,Web应用防火墙支持NAT64机制(NAT64是一种通过网络地址转换(NAT)形式促成IPv6与IPv4主机间通信的IPv6转换机制),即WAF可以将外部IPv6访问流量转化成对内的IPv4流量。 哪些R
您所在的企业项目并确保已开通操作权限,才能为该企业项目批量添加防护规则。 “企业项目”选择“所有项目”时,不支持添加防护规则。 在策略列表左上方,单击“我的所有策略规则”。 在待配置规则列表的左上角,单击“批量添加”,进入对应的规则配置页面。 选择策略名称,在“防护策略”的下拉框中选择策略名,可批量多选。
1 : 宽松,防护粒度较粗,只拦截攻击特征比较明显的请求。当误报情况较多的场景下,建议选择“宽松”模式。 2:中等,默认为“中等”防护模式,满足大多数场景下的Web防护需求。 3:严格,防护粒度最精细,可以拦截具有复杂的绕过特征的攻击请求,例如jolokia网络攻击、探测CGI漏洞、探测
如果证书机构提供的证书在用户平台内置信任库中查询不到,且证书链中没有颁发机构,则证明该证书是不完整的证书。使用不完整的证书,当用户访问防护域名对应的浏览器时,因不受信任而不能正常访问防护域名对应的浏览器。 按以下两种方法可解决此问题: 手动构造完整证书链,并上传证书。 重新上传正确的证书。
WAF对SQL注入、XSS跨站脚本和PHP注入攻击的检测原理? WAF是否可以防护Apache Struts2远程代码执行漏洞(CVE-2021-31805)? 接入WAF后为什么漏洞扫描工具扫描出未开通的非标准端口? 多Project下使用Web应用防火墙的限制条件? 已使用华为云APIG还需要购买WAF吗?
网站接入异常排查 域名/IP接入状态显示“未接入”,如何处理? 如何解决网站接入WAF后程序访问页面卡顿? 如何处理网站接入WAF后,文件不能上传?
添加防护域名时,可根据您的业务场景参考以下示例进行配置。 示例一:80/443端口业务防护配置 示例二:客户端请求转发到不同的源站服务器 示例三:同一域名对应不同的防护端口 示例四:不同访问模式的协议配置规则 示例一:80/443端口业务防护配置 配置场景:需要防护域名对应的80或者443端口的业务。
在精准访问防护规则页面左上角,单击“添加规则”。 在弹出的“添加精准访问防护规则”对话框中,添加如图6所示防护规则,阻断所有请求。 因为配置精准防护白名单放行的优先级要高于拦截的优先级且“优先级”值越小优先级越高,因此此处配置的“优先级”值应大于步骤 9中“优先级”配置的值。 图6 阻断所有的请求 单击
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
