检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
护功能: 网页防篡改:帮助您锁定需要保护的网站页面,当被锁定的页面在收到请求时,返回已设置的缓存页面,预防源站页面内容被恶意篡改。 操作导航:在“防护策略”页面,单击策略名称,进入“防护配置”页面,选择“网页防篡改”区域,添加规则,完成相关设置。具体操作请参见配置网页防篡改规则。
Web应用防火墙(Web Application Firewall, WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。
Web应用防火墙与漏洞管理服务有哪些区别? Web应用防火墙支持自定义POST拦截吗? Web应用防火墙是否支持IPv4和IPv6共存? WAF和HSS的网页防篡改有什么区别? Web应用防火墙支持哪些Web服务框架/协议? WAF可以防护使用HSTS策略/NTLM代理认证访问的网站吗? WAF转发和Nginx转发有什么区别?
在该攻击事件所在行的“操作”列,单击“误报处理”,详细操作请参见处理误报事件。 自定义防护规则 CC攻击防护规则 精准访问防护规则 黑白名单规则 地理位置访问控制规则 网页防篡改规则 网站反爬虫的“JS脚本反爬虫”规则 防敏感信息泄露规则 隐私屏蔽规则 在拦截该攻击事件的防护规则页面,删除对应的防护规则。 其他
使用ECS/ELB访问控制策略保护源站安全 应用场景 网站已接入Web应用防火墙(Web Application Firewall,简称WAF)进行安全防护后,您可以通过设置源站服务器的访问控制策略,只放行WAF回源IP段,防止黑客获取您的源站IP后绕过WAF直接攻击源站。 本章
查询地理位置控制防护规则 更新地理位置控制防护规则 删除地理位置控制防护规则 查询防篡改规则列表 创建防篡改规则 查询防篡改防护规则 删除防篡改防护规则 网页防篡改规则更新缓存 查询防敏感信息泄露规则列表 创建防敏感信息泄露规则 查询防敏感信息泄露防护规则 更新防敏感信息泄露防护规则 删除防敏感信息泄露防护规则
人机验证:CC防护规则中,“防护动作”支持配置“人机验证”。即当访问的请求频率超过设定的“限速频率”后将弹出验证码提示,输入正确的验证码,请求将不受访问限制。 不匹配:配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后,如果访问请求命中这些防护规则,则防护日志中记录的防护事件,“防护动作”显示为“不匹配”。 源IP
会导致业务异常。 如果需要保留该域名绑定的防护策略,可以勾选“保留该域名的防护策略”。 使用代理 确保已完成并勾选“已经在高防、CDN或云加速等代理处将域名回源到源站,或该域名业务已下线”。 勾选“强制删除WAF的接入CNAME”后,WAF不再检测业务域名解析配置,立即删除WAF
网站管理 查看网站基本信息 导出网站设置列表 切换防护模式 修改负载均衡算法 更换网站绑定的防护策略 更新网站绑定的证书 修改服务器配置信息 查看防护网站的云监控信息 批量跨企业项目迁移域名 删除防护网站 父主题: 网站设置
网站防护配置建议 使用WAF防护CC攻击 使用WAF阻止爬虫攻击 使用Postman工具模拟业务验证全局白名单规则 使用WAF和HSS提升网页防篡改能力 使用Header字段转发关闭响应报文压缩 防护网站迁移策略 Web漏洞防护 Java Spring框架远程代码执行高危漏洞 Apache
“CC攻击防护”请参见表1进行参数配置。 “精准访问防护”请参见表1进行参数配置。 “黑白名单设置”请参见表1进行参数配置。 “地理位置访问控制”请参见表1进行参数配置。 “网页防篡改”请参见表1进行参数配置。 “防敏感信息泄露”请参见表1进行参数配置。 “全局白名单”请参见表1进行参数配置。 “隐私屏蔽”请参见表1进行参数配置。
经过WAF检测后,异常请求将被拦截,正常请求会通过WAF独享引擎回源IP转发到源站服务器。 接入流程 根据网站是否使用代理(例如高防、CDN、云加速等),您需要完成如下接入操作。 操作步骤 说明 步骤一:添加防护网站 介绍如何将防护域名 、源站信息等添加到WAF。 步骤二:为WAF独享引擎实例配置负载均衡
5000条 支持购买规则扩展包(每个扩展包包含10条IP黑白名单防护规则) 1000条 地理位置封禁规则 - - 50条 100条 100条 网页防篡改规则 - 20条 50条 100条 100条 网站反爬虫规则 - - 50条 100条 100条 防敏感信息泄露 - - 50条 100条
200 表4 响应Body参数 参数 参数类型 描述 total Integer 网页防篡改规则总条数 items Array of AntiTamperRuleResponseBody objects 网页防篡改规则数组 表5 AntiTamperRuleResponseBody 参数
“文本安全监测”(按年):包周期,按年计费。 一次性 检测对象类型 检测对象类型包含: “网站”:支持网站内容审查,可根据URL检测网站内容,可自行排查检测站内网页、链接内容,包括文本、图片、音频、视频等。 “新媒体”:支持主流新媒体平台的内容审查,包括文本、图片、音频、视频等。 新媒体 检测对象 “
会先经过WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。 在这种情况下,访问请求到达源站服务器之前可能经过了多层安全代理转发或加速代理转发,服务器如何获取发起请求的真实客户端IP呢? 一个透明的代理服务器在把用户的HTTP请求转到下一环节的服务器时,会在HTTP的头部
如果域名参数配置错误,删除该域名后重新添加防护网站。 原因四:未配置域名解析或代理回源地址 确认接入WAF的网站是否使用高防、CDN、云加速等代理。 是:确保网站的“是否使用七层代理”已配置为“是”。 将CDN等代理回源地址修改为WAF的“CNAME”。 (可选)在DNS服务商
图1 未使用代理配置原理图 方案优势 使网站流量经过WAF,WAF通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,拦截恶意流量,将正常流量转发回源站,保护了Web服务安全稳定。
com:8081为两个不同的防护对象,且占用两个域名防护配额。如果您需要防护同一域名的多个端口,您需要将该域名和端口逐一添加到WAF。 代理限制 如果WAF前有使用CDN、云加速等七层代理服务器,“是否使用七层代理”务必选择“是”,选择“是”后,WAF将从配置的Header头中字段中获取用户真实访问IP,详见配置攻击惩罚的流量标识。
检测”,以防攻击者利用已泄露的密钥构造攻击。 配置“Webshell检测”。 开启“Webshell检测”后,WAF将对通过上传接口植入的网页木马进行检测。 配置防护措施,选择“防护动作”。 拦截:发现攻击后立即阻断并记录。 设置为“拦截”时,您可以根据需要选择已配置的攻击惩罚。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
