检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
xss攻击;webshell:网站木马;vuln:其他类型攻击;sqli:sql注入攻击;robot:恶意爬虫;rfi:远程文件包含;lfi:本地文件包含;cmdi:命令注入攻击 当需要屏蔽Web基础防护模块,该参数值为:all 当需要屏蔽规则为所有检测模块时,该参数值为:bypass
xss攻击;webshell:网站木马;vuln:其他类型攻击;sqli:sql注入攻击;robot:恶意爬虫;rfi:远程文件包含;lfi:本地文件包含;cmdi:命令注入攻击 当需要屏蔽Web基础防护模块,该参数值为:all 当需要屏蔽规则为所有检测模块时,该参数值为:bypass
如何测试在WAF中配置的源站IP是IPv6地址? 执行此操作前,请确认已在WAF中添加了域名并完成了域名接入。 假如已在WAF中添加域名www.example.com。通过以下方法可以测试配置的源站IP是否是IPv6地址: 在Windows中打开cmd命令行工具。 执行dig AAAA
xss攻击;webshell:网站木马;vuln:其他类型攻击;sqli:sql注入攻击;robot:恶意爬虫;rfi:远程文件包含;lfi:本地文件包含;cmdi:命令注入攻击 当需要屏蔽Web基础防护模块,该参数值为:all 当需要屏蔽规则为所有检测模块时,该参数值为:bypass
例如,您的业务部署在“/product”路径下,由于生态开发,针对参数ID存在用户提交脚本或富文本格式(Rich Text Format,RTF)文件的业务场景,为了确保业务正常运行,您需要对用户提交的内容进行误报屏蔽,以屏蔽误拦截的访问请求,提升WAF防护效果。 资源与成本规划 表1 资源和成本规划
6防护?。 × × √ √ - ×- 常见的Web应用攻击防护 包括SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等。 √ √ √ √ √ √ 0Day漏洞防护 支持云端自动更新最新0Day漏洞防护规则,及时下发0Day漏洞虚拟补丁。
WAF不能防护IP,只能基于域名进行防护。 在WAF中配置的源站IP只支持公网IP,不支持私网IP或者内网IP。 如果您需要减少公网IP的数量,可以购买ELB(Elastic Load Balance,简称ELB)搭建负载均衡,代理后端私网IP,并将EIP(公网IP)设置为源站地址。 独享模式/云模式-ELB接入
护策略。具体请参见《云监控服务用户指南》。 有关WAF监控指标的详细介绍,请参见WAF监控指标说明。 与弹性负载均衡的关系 Web应用防火墙通过绑定弹性负载均衡(Elastic Load Balance ,以下简称ELB),使流量通过ELB后先发送给WAF检测,再发送给应用端,以提升防护性能和确保业务稳定运行。
业务端口”需要配置为WAF独享引擎实例实际监听的业务端口,即6中配置的86端口。 图6 配置业务端口 单击“确定”,配置完成。 为弹性负载均衡绑定弹性公网IP。 放行独享引擎回源IP。 父主题: 网站接入配置
查看总览 网站接入WAF后,通过总览,您可以查看WAF更新动态、资源防护概况、产品信息,以及防护网站和实例最多30天的安全统计、Top事件源统计、BOT防护统计等信息,帮助您快速了解网站业务的安全状态。 总览页面统计数据每隔2分钟刷新一次。 前提条件 已将网站接入WAF。具体操作,请参见网站接入WAF。
表4 响应Body参数 参数 参数类型 描述 id String 证书ID name String 证书名 content String 证书文件,PEM编码 key String 证书私钥,PEM编码 expire_time Long 证书过期时间戳 exp_status Integer
表4 响应Body参数 参数 参数类型 描述 id String 证书ID name String 证书名 content String 证书文件,PEM编码 key String 证书私钥,PEM编码 expire_time Long 证书过期时间戳 exp_status Integer
防护网站的流量不经过WAF,直接访问源站。 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。 单击页面左上方的,选择“网络 > 弹性负载均衡”,进入“负载均衡器”页面。 在“负载均衡器”页面,目标公网ELB所在行“操作”列,选择“更多 > 解绑IPv4公网IP”,如图3所示。
WAF最佳实践汇总 本文汇总了Web应用防火墙(WAF)服务的常见应用场景,并为每个场景提供详细的方案描述和操作指南,以帮助您使用WAF快速防护网站。 WAF最佳实践 Solution as Code一键式部署类最佳实践 表1 WAF最佳实践 分类 相关文档 网站接入配置 未使用代理的网站通过CNAME方式接入WAF
WAF云模式目前暂不支持健康检查的功能,当一个服务器IP出现问题,WAF仍然会转发流量给这个服务器IP,这样会导致部分业务受损。如果您希望服务器有健康性检查的功能,建议您将弹性负载均衡(ELB)和WAF搭配使用,ELB的相关配置请参见添加后端云服务器。ELB配置完成后,再将ELB的EIP作为服务器的IP地址,接入WAF,实现健康检查。
成本标签查看成本数据。 使用成本单元进行成本分配 企业可以使用成本中心的“成本分组”来拆分公共成本。公共成本是指多个部门共享的计算、网络、存储或资源包产生的云成本,或无法直接通过企业项目、成本标签分配的云成本。这些成本不能直接归属于单一所有者,因此不能直接归属到某一类别。使用拆分
RCE漏洞的日志。 资源与成本规划 表1 资源和成本规划 资源 资源说明 每月费用 云日志服务 计费模式:按需计费 每天新增日志量:10GB/天 日志存储时长:7天 具体的计费方式及标准请参考计费说明。 Web应用防火墙 云模式-标准版: 计费模式:包年/包月 域名数量:10个防护域名 QPS配额:2
骤设置安全组规则,只放行WAF回源IP段。 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。 单击页面左上方的,选择“计算 > 弹性云服务器 ECS”。 在目标ECS所在行的“名称/ID”列中,单击目标ECS实例名称,进入ECS实例的详情页面。 选择“安全组”页签,单击“更改安全组”。
分析。 资源与成本规划 表1 资源和成本规划 资源 资源说明 每月费用 云日志服务 计费模式:按需计费 每天新增日志量:10GB/天 日志存储时长:7天 具体的计费方式及标准请参考计费说明。 消息通知服务 消息通知服务费用构成:外网下行流量+消息通知费用 不同场景下的费用构成如下:
配置IP黑白名单规则拦截/放行指定IP IP地址默认全部放行,您可以通过配置黑白名单规则,阻断、仅记录或放行指定IP地址/IP地址段的访问请求,白名单规则优先级高于黑名单规则。配置黑白名单规则时,WAF支持单个添加或通过引用地址组批量导入黑白名单IP地址/IP地址段。 如果您已开