检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
选择“云模式-CNAME接入”并单击“开始配置”。 根据界面提示,配置网站信息,如表2所示。 图2 基础信息配置 表2 重点参数说明 参数 参数说明 取值样例 防护域名 需要添加到WAF中防护的域名。 域名已完成备案 支持单域名(例如,一级域名example.com,二级域名www.example.com等)和泛域名(例如,*
网站接入配置 未使用代理的网站通过CNAME方式接入WAF 使用DDoS高防和WAF提升网站全面防护能力 使用CDN和WAF提升网站防护能力和访问速度 使用独享WAF和7层ELB以防护任意非标端口 CDN回源OBS桶场景下连接WAF提升OBS安全防护 使用WAF、ELB和NAT网关防护云下业务
Web应用防火墙支持自定义授权策略吗? WAF支持自定义授权策略,通过IAM,您可以: 根据企业的业务组织,在您的华为账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用WAF资源。 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。
QPS和请求次数有什么区别? 接入Web应用防火墙的域名需要备案吗? Web应用防火墙支持自定义授权策略吗? 为什么Cookie中有HWWAFSESID或HWWAFSESTIME字段? 云模式、独享模式可以互相切换吗? 同一防护域名/IP可以添加到不同的账号进行防护吗? 什么是区域和可用区?
版本以及删除实例。 WAF通信安全授权 如果业务使用WAF独享模式部署方式,直接访问VPC内的数据需要开通相应的安全组规则,而开通相应的安全组规则需要获取用户授权,此授权过程称为通信安全授权。 成功购买WAF独享引擎后,WAF默认开启通信安全授权,即开通如表2所示的安全组规则。 表2
”。 冻结期内,WAF只转发流量,但用户配置的各种防护策略将不再生效。 冻结期满,进入资源清理期,域名的所有配置将会被全部删除。清除资源的时候,默认会把域名指回源站,但由于用户配置的协议和端口可能存在不一致的情况,所以不能保证该域名的业务能正常运行。 为了防止造成不必要的损失,请
配置攻击惩罚标准封禁访问者指定时长 当访问者的IP、Cookie或Params恶意请求被WAF拦截时,您可以通过配置攻击惩罚,使WAF按配置的攻击惩罚时长来自动封禁访问者。例如,访问者的源IP(192.168.1.1)为恶意请求,如果您配置了IP攻击惩罚拦截时长为500秒,该攻击
问题现象 域名接入WAF通过第三方漏洞扫描工具扫描后,扫描结果显示了域名的标准端口(例如443)和非标准端口(例如8000、8443等)。 可能原因 由于WAF的非标准端口引擎是所有用户间共享的,即通过第三方漏洞扫描工具可以检测到所有已在WAF中使用的非标准端口。域名的端口检测,
防护配置概述 本文介绍Web应用防火墙(Web Application Firewall,WAF)服务的防护策略的配置流程以及WAF引擎检测机制及规则的检测顺序。 防护规则概览 网站接入WAF防护后,您需要为网站配置防护策略。 表1 可配置的防护规则 防护规则 说明 参考文档 Web基础防护规则
配置内容安全检测 Web应用防火墙提供内容安全检测服务,基于丰富的违规样例库和内容审核专家经验,通过机器审核加人工审核结合的方式,帮助您准确检测出Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、涉政、惊悚、违禁广告等敏感违规内容,并提供文本内容纠错审校(错别字、生僻字、语法
example.com”为例。 策略配置:系统自动生成策略。 图1 域名配置信息 单击“确认”。 步骤四:配置黑白名单设置规则拦截恶意IP 在左侧导航树中,选择“防护策略”,进入“防护策略”页面。 单击目标策略名称,进入目标策略的防护配置页面。 选择“黑白名单设置”配置框,开启黑白名单设置策略。
仅“云模式-CNAME接入”和“独享模式”支持配置Header字段转发。 支持配置Header字段转发的区域,请参考功能总览。 最多支持配置8个Key/Value值。 Value值可以自定义一个字符串,也可以配置为以$开头的变量。以$开头的变量仅支持配置如下字段: $time_local $request_id
暴露后被黑客直接攻击。 本地验证 添加域名后,为了确保WAF转发正常,建议您先通过本地验证确保一切配置正常,然后再修改DNS解析。 修改域名DNS解析设置 域名在接入WAF前未使用代理 到该域名的DNS服务商处,配置防护域名的别名解析。 域名在接入WAF前使用代理(DDoS高防、CDN等)
功能说明 业务配置 域名(泛域名、一级域名、二级域名等各级域名)/IP防护 说明: WAF云模式支持域名备案检查,添加防护域名时,WAF会检查域名备案情况,未备案域名将无法添加到WAF。 WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式,各部署模式支持防护的对象说明如下:
注。同时您也可以配置消息提醒,在服务即将到期前,系统将默认向配置的消息接收人发送WAF到期提醒信息。 配置消息接收人 登录管理控制台。 单击页面右上角的,打开通知窗口。 单击“更多”,进入“消息中心”服务页面。 在左侧导航树中,选择“消息接收管理 > 消息接收配置”,进入“消息接收配置”页面。
请求源IP 攻击防护域名时,被WAF拦截或者记录的攻击者IP。 否 是 URL 攻击的防护域名的URL,被WAF拦截或者记录的防护域名的URL。 否 是 HTTP/HTTPS Header信息(包括Cookie) 用户在配置CC攻击、精准访问防护规则时,在配置界面输入的Cookie值和Header值。
设置”页面。 开启防护:在目标域名所在行的“操作”列,单击“开启防护”并在弹框中单击“确认”。“开启防护”后,该域名的“运行状态”为“防护中”。 暂停防护:在目标域名所在行的“操作”列,单击“暂停防护”并在弹框中单击“确认”。“暂停防护”后,该域名的“运行状态”为“未防护”。 相关操作
目并确保已开通操作权限,才能为该企业项目下的域名配置PCI DSS/3DS合规与TLS。 前提条件 防护网站的部署模式为“云模式-CNAME接入”或“独享模式”。 如果您使用“云模式-ELB接入”方式接入网站,需要在ELB控制界面配置TLS安全策略实现加密通信。 防护网站的“对外协议”使用了HTTPS协议。
松构建、管理和部署不同规模的API。APIG不会针对域名进行防护,在满足API安全使用的前提下,APIG可以对绑定的域名提供IP黑白名单控制、防重放攻击、认证鉴权防护功能。 华为云Web应用防火墙(Web Application Firewall,WAF)是对域名提供Web安全防
警规则”界面。 配置相关参数。 名称:自定义规则名称。 告警类型:选择“指标”。 云产品:选择“Web应用防火墙-独享实例”或“Web应用防火墙-防护域名”。 独享实例监控指标选择“Web应用防火墙-独享实例”。 防护域名监控指标选择“Web应用防火墙-防护域名”。 监控范围:全部资源。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
