检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
设置防篡改的域名。 www.example.com 路径 设置防篡改的URL链接中的路径(不包含域名)。 URL用来定义网页的地址。基本的URL格式如下: 协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如,URL为“http://www.example.com/admin”,则“路径”设置为“/admin”。
√ √ 修改共享IP地址组 waf:ipGroupShare:put √ √ 批量更新攻击惩罚规则 waf:punishmentRule:batch-delete √ √ 查询DNS域名 waf:dnsDomain:get √ √ 查询重复名称的IP地址组列表 waf:duplicateIpGroup:list
认值是1,云模式的冗余字段 address String 客户端访问的源站服务器的IP地址 port Integer WAF转发客户端请求到源站服务的业务端口 type String 源站地址为ipv4或ipv6 表6 BlockPage 参数 参数类型 描述 template String
原因三:源站IP误配置为WAF的回源IP或WAF前代理的IP 如果“源站地址”误配置为WAF的回源IP或WAF前代理的IP,会造成访问死循环,报523错误。 解决办法: 检测源站服务器的配置,将“源站地址”修改为正确的源站IP,具体操作请参见修改服务器配置信息。 图1 修改源站地址 父主题: 流量转发异常排查
如果各子域名对应的服务器IP地址相同:输入防护的泛域名。例如:a.example.com、b.example.com和c.example.com对应的服务器IP地址相同,则“防护域名”可配置为泛域名“*.example.com”。 如果各子域名对应的服务器IP地址不相同:请将子域名按“单域名”方式逐条添加。
方案概述 应用场景 当客户发现网站处理速度下降,网络带宽占用过高时,很有可能已经遭受CC攻击,此时可查看Web服务器的访问日志或网络连接数量,如果访问日志或网络连接数量显著增加,则可确定已遭受CC攻击,可以按照以下策略进行配置,利用WAF阻断CC攻击,保障网站业务的正常运行。 W
防护端口:选择“标准端口”。 对外协议: 防护80端口:选择“HTTP”协议。 防护443端口:选择“HTTPS”协议。 同时防护80端口和443端口:配置两条服务器地址,“对外协议”分别选择HTTP、HTTPS,如图1所示。 图1 同时防护80端口和443端口 图1中红框内的参数配置是固定的配置,其他参数配置根据实际情况进行配置。
配置威胁情报访问控制规则拦截/放行指定IP库的IP 基于互联网数据中心(Internet Data Center, 简称IDC)机房的IP库进行访问控制,可选择的IP库平台,包括:鹏博士、谷歌公司、腾讯、美团网等其他平台。配置后,当目标IP库平台内的来源IP向域名下任意路径发起访
ip_group Ip_group object Ip地址组 表5 Ip_group 参数 参数类型 描述 id String Ip地址组id,在新增Ip地址组时系统自动生成的唯一标识 name String Ip地址组名 size Long Ip地址组中包含Ip/Ip段的数量 状态码: 400
规则id name String 黑白名单规则名称 policyid String 策略id addr String 黑白名单ip地址,需要输入标准的ip地址或地址段,例如:42.123.120.66或42.123.120.0/16 white Integer 防护动作: 0 拦截 1 放行
创建WAF独享引擎实例 功能介绍 创建WAF独享引擎实例。独享模式支持的局点包括:华东-青岛、中东-利雅得、华北-北京一、华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、华南-深圳、中国-香港、西南-贵阳一、亚太-曼谷、 亚太-新加坡、非洲-约翰内斯堡、土
配置网站反爬虫防护规则防御爬虫攻击 您可以通过配置网站反爬虫防护规则,防护搜索引擎、扫描器、脚本工具、其它爬虫等爬虫,以及自定义JS脚本反爬虫防护规则。 如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名配置防护策略。
的情形。 对于面向中国用户的网站,在遭受攻击时可以通过封禁海外访问来缓解攻击压力。推荐您使用WAF的地理位置访问控制功能,封禁中国境外IP地址的访问,具体操作请参见配置地理位置访问控制规则。 图2 封禁海外IP 如果您已经开启了WAF的威胁情报访问控制规则,可以封禁常见IDC库的
段才有效 表6 Ip_group 参数 参数类型 描述 id String Ip地址组id,在新增Ip地址组时系统自动生成的唯一标识 name String Ip地址组名 size Long Ip地址组中包含Ip/Ip段的数量 状态码: 400 表7 响应Body参数 参数 参数类型
upgradeInstance 修改实例名 instance alterInstanceName 添加地址组 ip-group createIPGroup 修改地址组 ip-group modifyIPGroup 删除地址组 ip-group deleteIPGroup 创建引用表 valueList
通过Cookie字段限制网站访问频率 对于有些网站,源IP无法精准获取。例如:存在未在header中插入“X-Forwarded-For”字段的Proxy或其他原因,建议使用配置Cookie字段实现用户标识并开启“全局计数”。 实践案例 竞争对手控制数台主机,与大多普通访客一样,
云模式的冗余字段 address 是 String 客户端访问的源站服务器的IP地址 port 是 Integer WAF转发客户端请求到源站服务的业务端口 type 是 String 源站地址为ipv4或ipv6 vpc_id 是 String VPC id,通过以下步骤获取VPC
请检查目标企业项目下的防护策略 400 WAF.00014031 ipGroupSharing.already.exists 目标企业项目中已存在当前地址组 请检查目标企业项目下的ip地址组 400 WAF.00015001 premium.instance.not.available 独享实例不可用,请检查配置
配置示例-Cookie拦截攻击惩罚 假如防护域名“www.example.com”已接入WAF,访问者IP XXX.XXX.248.195为恶意请求,而您需要对来自该IP地址Cookie标记为jsessionid的访问请求封禁10分钟。您可以参照以下操作步骤验证封禁效果。 在“网站设置”页面,单击“www.example
如何拦截4层链接对应的IP? 可通过精准访问防护规则拦截4层链接对应的IP,具体配置如下: 登录华为云WAF控制台,参考图1进入华为云WAF防护规则配置页面。 图1 防护规则配置页面入口 选择“精准访问防护”配置框,单击“添加规则”,配置如图2所示的规则。 图2 添加规则 单击“确定”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
