检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
v6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务,Web应用防火墙支持NAT64机制(NAT64是一种通过网络地址转换(NAT)形式促成IPv6与IPv4主机间通信的IPv6转换机制),即WAF可以将外部IPv6访问流量转化成对内的IPv4流量。 哪些Region支持IPv6防护请参考功能总览。
顺序获取源IP: 优先取“upstream”中配置的源IP头列表,即在域名的基本信息页面配置的“IP标记”,具体的操作请参见配置攻击惩罚的流量标识。如果未取到,执行2。 如果想以TCP连接IP作为客户端IP,“IP标记”应配置为“remote_addr”。 取config中配置的
“DNS解析异常”:“接入模式”为“云模式-CNAME接入”时,当域名未直接解析到WAF(WAF前使用了CDN等代理产品,DNS解析到CDN等代理),且无流量经过WAF。 须知: 防护网站“接入模式”为“独享模式”或“云模式-ELB接入”时,防护网站的初始接入状态为“未接入”,当访问请求到达该网
哪些情况会造成WAF配置的防护规则不生效? 域名成功接入WAF后,正常情况下,域名的所有访问请求流量都会经过WAF检测并转发到服务器。但是,如果网站在WAF前使用了CDN,对于静态缓存资源的请求,由于CDN直接返回给客户端,请求没有到WAF,所以这些请求的安全策略不会生效。 WA
中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前,华为云已在全球多个地域开放云服务,您可以根据需求选择适合自己的区域和可用区。 如何选择区域? 选择区域时,您需要考虑以下几个因素: 地理位置 一
Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814) 2019年04月17日,华为云应急响应中心检测到国家信息安全漏洞共享平台(China National Vulnerability Database,CNVD)发布的Oracle
F租户身份认证与访问控制通过IAM权限控制。 统一身份认证(Identity and Access Management,简称IAM)是华为云提供权限管理的基础服务,可以帮助WAF服务安全地控制访问权限。通过IAM,可以将用户加入到一个用户组中,并用策略来控制他们对WAF资源的访
Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814) 2019年04月17日,华为云应急响应中心检测到国家信息安全漏洞共享平台(China National Vulnerability Database,CNVD)发布的Oracle
SSL/TLS 存在Bar Mitzvah Attack漏洞是由RC4加密算法中一个问题所导致的。该问题能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户密码、信用卡数据和其他敏感信息泄露给黑客。 解决办法 建议您在TLS配置里,将“最低TLS版本”配置为“TLS v1
inbound_traffic_peak 入网流量的峰值 该指标用于统计近5分钟内防护域名入网流量的峰值。 单位:Mbit/s 采集方式:统计近5分钟内防护域名入网流量的峰值 ≥0 Mbit/s 值类型:Float 防护域名 5分钟 inbound_traffic_mean 入网流量的均值 该指标用于统计近5分钟内防护域名入网流量的均值。
独享模式的接入方式参见将网站接入WAF防护(独享模式)章节。 如果使用独享WAF,确保独享引擎已升级到最新版本,具体的操作请参见升级独享引擎实例。 约束条件 云模式入门版和标准版不支持引用表管理功能。 当“逻辑”关系选择“包含任意一个”、“不包含任意一个”、“等于任意一个”、“不等于任意一个”、“前缀为任意一个”
WAF支持对域名或IP进行防护,相关说明如下: 云模式的CNAME接入只能基于域名进行防护 在WAF中配置的源站IP只支持公网IP。例如,源站服务器部署了华为云弹性负载均衡(Elastic Load Balance,简称ELB)时,只要ELB(经典型、共享型或独享型)有公网IP,云模式就可以对域名进行防护。
云模式排查思路 表1 接入WAF失败问题处理 可能原因 处理建议 原因一:域名“接入状态”未刷新 在防护网站“接入状态”栏,单击刷新状态。 原因二:访问流量未达到WAF统计要求 须知: 防护网站接入WAF后,当WAF统计防护网站在5分钟内有20次请求时,将认定该防护网站已接入WAF。 在1分钟内多次访问防护网站。
仅“云模式-CNAME接入”和“独享模式”支持配置证书告警通知,而且“云模式-CNAME接入”仅专业版和铂金版支持。 需要依赖消息通知服务,该服务按实际用量付费,详见SMN计费说明。 在设置时间间隔内,当攻击次数大于或等于您设置的阈值时才会发送告警通知。 同一企业项目内,同一类型的告警通知仅支持配置一个。 开启告警通知
WAF不支持多个账号共享使用,每个账号需要单独购买WAF进行部署。但是支持多个IAM用户共享使用。 多个IAM用户共享使用 例如,您通过注册华为云创建了1个账号(“domain1”),且由“domain1”账号在IAM中创建了2个IAM用户(“sub-user1a”和“sub-use
等,有效帮助您降低内容风险。 内容合法合规性检测 国家政策要求各地方机构要认真落实意识形态工作和网络内容安全工作责任制。为响应国家政策,华为云内容安全检测服务可对网站/新媒体内容进行合法合规检测,主要对文本、图片、视频、语音进行检测和识别是否包含色情、涉政、暴力、惊悚、不宜广告、
如果系统预置的WAF权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参见WAF权限及授权项。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
√ √ 查询防护域名列表 waf:instance:list √ √ 查询防护策略列表 waf:policy:list √ √ 查询云模式计费资源 waf:subscription:get √ √ 查询告警通知配置 waf:alert:get √ √ 更新告警通知配置 waf:alert:put
到该源站的几率越高。 Session Hash:将某个Session标识的请求定向到同一个源站服务器,请确保在域名添加完毕后配置攻击惩罚的流量标识,否则Session Hash配置不生效。 前提条件 防护网站已接入WAF 约束条件 防护网站的部署模式为“云模式-CNAME接入”,
您可以查看证书的名称、绑定的域名和到期时间等详细信息。 如果您已开通企业项目,您可以在“企业项目”下拉列表中选择您所在的企业项目,查看该企业项目下的证书信息。 前提条件 已有华为云CCM证书或在WAF上上传了证书。 约束条件 在“系统管理 > 告警通知”页面配置证书到期通知,才能在证书到期前收到告警提醒。 “证书来源
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
