检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
图解Web应用防火墙
网站。 方案概述 ELB接入模式下,WAF通过SDK模块化的方式集成在ELB网关中。将网站接入WAF后,网站流量会被ELB镜像给WAF。WAF检测后,将结果同步给ELB,由ELB根据WAF检测结果决定是否将客户端请求转发到源站。该过程中,WAF不参与流量转发,避免因额外引入一层转发而带来各种兼容性和稳定性问题。
为什么Cookie中有HWWAFSESID或HWWAFSESTIME字段? HWWAFSESID:会话ID;HWWAFSESTIME:会话时间戳,这两个字段用于标记请求,如CC防护规则中用户计数。 防护域名/IP接入WAF后,WAF会在客户请求Cookie中插入HWWAFSESID(会话I
使用CTS审计WAF 云审计服务支持的WAF操作列表 云审计服务(Cloud Trace Service,CTS)记录了Web应用防火墙相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见云审计服务用户指南。 在CTS事件列表查看云审计事件 父主题: 监控与审计
添加防护网站(ELB模式) 域名接入WAF 域名接入WAF后,WAF作为一个反向代理存在于客户端和服务器之间,服务器的真实IP被隐藏起来,Web访问者只能看到WAF的IP地址。 发布区域:全部 域名接入WAF-云模式 域名接入WAF-独享模式 告警通知 WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式发送给用户。
deleteCertificateSharing 创建Web应用防火墙防护策略 policy createPolicy 应用Web应用防火墙防护策略 policy applyToHost 更新Web应用防火墙防护策略 policy modifyPolicy 删除Web应用防火墙防护策略 policy deletePolicy
WAF控制台的权限依赖 WAF对其他云服务有诸多依赖关系,因此在您开启IAM系统策略授权后,在WAF Console控制台的各项功能需要配置相应的服务权限后才能正常查看或使用,依赖服务的权限配置均基于您已设置了IAM系统策略授权的WAF FullAccess或WAF ReadOn
WAF计费模式概述 Web应用防火墙云模式支持包年/包月(预付费)计费方式,独享模式支持按需计费(后付费)计费方式。如您需要快速了解WAF服务不同计费模式的具体价格,请参见WAF价格详情。 包周期(包年/包月):云模式计费模式,使用越久越便宜。包周期计费按照订单的购买周期来进行结算。
Web应用防火墙是否能防护IP? WAF可以对IP进行防护。 云模式-CNAME接入 WAF不能防护IP,只能基于域名进行防护。 在WAF中配置的源站IP只支持公网IP,不支持私网IP或者内网IP。 如果您需要减少公网IP的数量,可以购买ELB(Elastic Load Bala
Web应用防火墙的防护日志可以存储多久? 在WAF管理控制台,您可以免费查看最近30天的防护日志。 您可以将WAF的防护日志记录到单独收费的云日志服务(Log Tank Service,简称LTS),LTS默认存储日志的时间为30天,存储时间可以在1~365天之间进行设置,超出存
当您将防护网站接入Web应用防火墙(WAF)后,可以根据自身业务场景使用WAF的一系列常用实践。 表1 常用最佳实践 实践 描述 域名接入 未使用代理的网站通过CNAME方式接入WAF 网站没有接入WAF前,DNS直接解析到源站的IP。网站接入WAF后,需要把DNS解析到WAF的CNAM
享模式”。 接入状态 展示网站接入WAF未完成的步骤或者接入状态。 “未接入”:网站未接入WAF或者接入不成功。 “已接入”:网站接入WAF成功。 “DNS解析异常”:“接入模式”为“云模式-CNAME接入”时,当域名未直接解析到WAF(WAF前使用了CDN等代理产品,DNS解析到CDN等代理),且无流量经过WAF。
产品优势 Web应用防火墙对网站业务流量进行多维度检测和防护,降低数据被篡改、失窃的风险。 精准高效的威胁检测 采用规则和AI双引擎架构,默认集成最新的防护规则和优秀实践。 企业级用户策略定制,支持拦截页面自定义、多条件的CC防护策略配置、海量IP黑名单等,使网站防护更精准。 0day漏洞快速修复
云监控服务 CES”。 在左侧导航树栏,选择“云服务监控”,进入“云服务监控”页面。 在搜索框中搜索“看板名称:Web应用防火墙 WAF”,在“看板名称”列,单击“Web应用防火墙 WAF”,进入“云服务监控详情”页面。 在“云服务概览”页签,可查看资源概况、告警统计的相关指标。 选择“资
登录华为云管理控制台。 在控制台页面中选择“安全与合规 > Web应用防火墙 WAF”,进入Web应用防火墙控制台。 在页面右上角,单击“购买WAF实例”,进入购买页面,“WAF模式”选择“云模式”。 “区域”:根据防护业务的所在区域就近选择购买的WAF区域。 “版本规格”:选择“标准版”。 “扩
退订云模式WAF前,已放通了源站业务的端口。 注意事项 退订WAF重新购买WAF,如果重购的WAF与原WAF不在同一区域,原WAF配置数据将不能保存。当您重新购买WAF后,您需要将防护域名重新接入WAF,并根据防护需求为域名配置相应的防护规则,详细说明请参见退订后重购WAF,原配置数据可以保存吗?。
建议用户将开源组件Fastjson升级到1.2.60版本。 防护建议 WAF支持对该漏洞的检测和防护,步骤如下: 购买WAF。 将网站域名添加到WAF中并完成域名接入,详细的操作请参见添加防护域名。 将Web基础防护动作设置为“拦截”模式,具体方法请参见配置Web基础防护规则。 父主题: Web漏洞防护最佳实践
WAF覆盖的应用类型 Web基础防护规则支持防护的应用类型如表1。 表1 WAF覆盖的应用类型 4images Dragon-Fire IDS Log4j2 ProjectButler A1Stats Drunken Golem GP Loggix Pulse Secure Achievo
Web应用防火墙可以导入/导出黑白名单吗? WAF支持导入黑白名单,您可以在添加黑白名单规则时选择通过“地址组”方式导入黑白名单。WAF不支持导出黑白名单。 IP地址组集中管理IP地址或网段,被黑白名单规则引用时可以批量设置IP/IP地址段。 有关配置黑白名单的详细操作,请参见配置黑白名单规则。
WAF对防护带宽/共享带宽有限制吗? WAF对防护带宽/共享带宽没有限制,WAF对业务带宽和QPS有限制。 WAF的业务QPS是指所有该WAF防护的域名、站点中正常业务流量的大小,单位为QPS。 购买WAF时,您需要提前考虑准备通过WAF配置防护的所有站点的日常入方向和出方向总流
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
