检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
业务使用了IPv6,WAF中的源站地址如何配置? 如果域名已接入了WAF(源站地址配置为IPv4地址)进行防护,当业务开启了IPv6时,WAF中配置的源站地址可以保持原IPv4地址,也可以修改为IPv6地址。 WAF支持IPv6/IPv4双栈模式和NAT64机制,详细说明如下:
可勾选IDC机房的IP库平台,包括:鹏博士、谷歌公司、腾讯、美团网等其他平台。 IDC数据中心 华为 防护动作 可以根据需要选择“拦截”、“放行”或者“仅记录”。 拦截:表示拦截命中规则的请求,并向发起请求的客户端返回拦截响应页面。WAF默认使用统一的拦截响应页面,您也可以自定义拦截响应页面。 放行:表示不拦截命中规则的请求,直接放行。
当您的防护网站“对外协议”为“HTTPS”时,您可以将上传的证书绑定到防护网站。 如果您已开通企业项目,您可以在“企业项目”下拉列表中选择您所在的企业项目,为该企业项目绑定证书到防护网站。 前提条件 证书未到期。 防护网站的“对外协议”使用了HTTPS协议。 约束条件 同一证书可以绑定多个防护网站。 同一防护网站只能绑定一个证书。
Web应用防火墙可以同时查询多个指定IP的防护事件吗? WAF不支持同时查询多个指定IP的防护事件。您可以在“防护事件”页面,通过“事件类型”、“防护动作”、“源IP”、“URL”、“事件ID”组合条件,查看防护域名相应的防护事件。 图1 防护事件 有关查看防护事件的详细操作,请参见查看防护日志。
防护对象 防护的域名或IP(公网IP/私网IP),域名支持单域名和泛域名。 说明: WAF支持添加“*”泛域名,表示可以防护任意的域名。“防护对象”配置为“*”时,只能防护除80、443端口以外的非标端口。 如果各子域名对应的服务器IP地址相同:输入防护的泛域名。例如:子域名a.example
常业务被拦截,比如大量返回418返回码,可以暂停防护。暂停防护后,WAF对所有的流量请求只转发不检测,日志也不会记录。 如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能切换该企业项目下域名的工作模式。 前提条件 防护网站已接入WAF
击。 资源与成本规划 表1 资源和成本规划 资源 资源说明 每月费用 Web应用防火墙 云模式-标准版: 计费模式:包年/包月 域名数量:10个防护域名 QPS配额:2,000QPS业务请求 支持带宽峰值:云内100Mbps/云外30Mbps 具体的计费方式及标准请参考计费说明。
当访问者触发WAF拦截时,默认返回WAF“系统默认”的拦截返回页面,您也可以根据自己的需要,配置“自定义”或者“重定向”的拦截返回页面。 如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名修改拦截返回页面。 前提条件 防护网站已接入WAF
当证书过期或证书无效时,您可以删除该证书。 如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能删除该企业项目下的证书。 前提条件 证书没有被使用,即证书未绑定防护网站。 约束条件 如果证书已绑定防护网站,删除证书前需要解除该证书与域名绑定关系。 系统影响
对象为域名或IP。大型企业网站,对业务稳定性有较高要求的安全防护需求。 独享模式:业务服务器部署在华为云,防护对象为域名或IP。大型企业网站,具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。 互联网边界和VPC边界 防护对象 云模式-CNAME接入:域名。 独享模式/云模式-ELB接入:域名或IP。
单击“配置加速域名”,在“源站信息”所在行,复制桶域名。 “加速域名”:配置为在CDN中配置的加速域名。 其他参数的详细配置请参见配置加速域名。 完成域名绑定后,您可以在浏览器输入域名和OBS桶中任意文件名称(例如,<被防护域名>/test.png,test.png为上传到OBS桶中的图
- 防护域名 配置为您想防护的域名或IP(公网IP/私网IP),且该域名已解析到1中创建的负载均衡器的弹性公网IP上。 域名:支持单域名和泛域名。 单域名:输入防护的单域名。例如:www.example.com。 泛域名 如果各子域名对应的服务器IP地址相同:输入防护的泛域名。例如:子域名a
网站接入WAF后,您可以通过设置网页防篡改规则,锁定需要保护的网站页面(例如敏感页面)。当被锁定的页面在收到请求时,返回已设置的缓存页面,预防源站页面内容被恶意篡改。 如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名配置防护策略。
配置隐私屏蔽规则防隐私信息泄露 您可以通过Web应用防火墙服务配置隐私屏蔽规则。隐私信息屏蔽,避免用户的密码等信息出现在事件日志中。 如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名配置防护策略。 前提条件 已添加防护网站或已新增防护策略。
Web应用防火墙是否支持IPv4和IPv6共存? WAF支持IPv4和IPv6共存,针对同一域名可以同时提供IPv6和IPv4的流量防护。 Web应用防火墙支持IPv6/IPv4双栈,针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务,Web
如果您已开通企业项目,您可以在“企业项目”下拉列表中选择您所在的企业项目,为该企业项目上传证书。 前提条件 已获取证书文件和证书私钥信息。 规格限制 WAF支持上传的证书套数和WAF支持防护的域名的个数相同。例如,购买了标准版WAF(支持防护10个域名)、1个独享版WAF(支持防护2
Top5等防护数据。在“BOT防护统计”页面,可以查看BOT防护的流量分布、流量趋势和TOP事件源统计的相关数据。 安全总览页面统计数据每隔2分钟刷新一次。 如果您已开通企业项目,您可以在“企业项目”下拉列表中选择您所在的企业项目,查看该企业项目的安全总览信息。 前提条件 已将网站接入WAF。 已为防护域名添加了一个或者多个防护规则。
取值样例 防护域名 需要添加到WAF中防护的域名。 域名已完成备案 支持单域名(例如,一级域名example.com,二级域名www.example.com等)和泛域名(例如,*.example.com)。 www.example.com 防护端口 需要防护的域名对应的业务端口。
取值样例 防护域名 需要添加到WAF中防护的域名。 域名已完成备案 支持单域名(例如,一级域名example.com,二级域名www.example.com等)和泛域名(例如,*.example.com)。 www.example.com 防护端口 需要防护的域名对应的业务端口。
单击页面左上方的,选择“CDN与智能边缘 > 内容分发网络 CDN”,进入CDN页面。 在左侧导航树中,选择“域名管理”,进入“域名管理”页面。 在“域名”列,单击目标域名的名称,进入域名配置页面。 选择“缓存配置”页签,单击“编辑”,系统弹出“配置缓存策略”对话框。 单击“添加”,添加两