检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
后端私网IP,并将EIP(公网IP)设置为源站地址。 独享模式/云模式-ELB接入 WAF可以对IP或域名进行防护。 在WAF中配置的源站IP支持私网IP或者内网IP。 有关域名接入WAF的流程说明,请参见网站接入WAF。 父主题: 产品咨询
防护方式 “全部域名”:默认防护当前策略下绑定的所有域名。 “指定域名”:选择策略绑定的防护域名或手动输入泛域名对应的单域名。 指定域名 防护域名 “防护方式”选择“指定域名”时,需要配置此参数。 需要手动输入当前策略下绑定的需要防护的泛域名对应的单域名,且需要输入完整的域名。 单击“添加”,支持配置多个域名。
单击“配置加速域名”,在“源站信息”所在行,复制桶域名。 “加速域名”:配置为在CDN中配置的加速域名。 其他参数的详细配置请参见配置加速域名。 完成域名绑定后,您可以在浏览器输入域名和OBS桶中任意文件名称(例如,<被防护域名>/test.png,test.png为上传到OBS桶中的图
的IP地址。 域名添加到WAF后,域名是否可以修改? 防护域名添加到WAF后,您不能修改防护域名的名称。如果您需要修改防护域名的名称,建议您删除原域名后再重新添加待防护的域名。 有关删除域名的详细操作,请参见删除防护域名。 有关添加域名的详细操作,请参见添加防护域名。 一个独享WAF实例可以接入多个ELB吗?
如何解决重定向次数过多? 在WAF中完成了域名接入后,请求访问目标域名时,如果提示“重定向次数过多”,一般是由于您在服务器后端配置了HTTP强制跳转HTTPS,在WAF上只配置了一条HTTPS(对外协议)到HTTP(源站协议)的转发,强制WAF将用户的请求进行跳转,所以造成死循环。
不能直接切换。添加防护域名/IP时,您需要根据业务实际情况,选择部署模式:云模式-CNAME接入、云模式-ELB接入或独享模式。防护域名添加到WAF后,部署模式不能切换。 如果您需要更换防护域名/IP的部署模式,请确保业务已部署到对应模式。在WAF的网站配置列中删除添加的防护域名/IP后,再
背景 为了提高域名解析的可靠性,WAF针对CNAME做了升级。 为了不影响已添加域名的使用,WAF在已添加域名的基本信息页面保留了旧的CNAME,并呈现了新的CNAME。 新旧CNAME的区别 新CNAME实现了双活,即双DNS,为异构的两个DNS解析服务。提高了域名解析的可靠性。
选择业务QPS时是按照入流量计算还是出流量计算? WAF的业务QPS是指所有该WAF防护的域名、站点中正常业务流量的大小,单位为QPS。 购买WAF时,您需要提前考虑准备通过WAF配置防护的所有站点的日常入方向和出方向总流量的峰值,确保您选购的WAF所对应的业务带宽限制大于入、出方向总流量峰值中较大的值。
Hash:将某个Session标识的请求定向到同一个源站服务器,请确保在域名添加完毕后配置攻击惩罚的流量标识,否则Session Hash配置不生效。 前提条件 防护网站已接入WAF 约束条件 防护网站的部署模式为“云模式-CNAME接入”,而且仅专业版和铂金版支持配置负载均衡算法。 支持配置负载均衡算法的区域,请参考功能总览。
原WAF上的配置数据可以保存24小时。 退订WAF后,WAF将暂停防护域名。当您重新购买WAF后,您只需要为域名开启防护,即将域名的“工作模式”切换为“开启防护”。开启防护后,WAF会根据域名在原WAF上配置的防护对域名进行防护。 有关退订WAF的详细操作,请参见如何退订Web应用防火墙?。
云模式服务器的源站地址可以配置成CNAME吗? 可以。如果服务器的源站地址配置为CNAME,添加域名后会多经历一层DNS解析,即先将CNAME解析为IP地址,DNS解析会增加时延,故推荐您将源站地址配置成公网IP地址。 添加域名的相关配置请参见添加防护域名。 父主题: 网站接入
防护策略管理 策略规则管理 地址组管理 证书管理 防护事件管理 安全总览 局点支持特性查询 独享实例管理 日志配置管理 租户订购管理 租户域名查询 租户防护域名管理 系统管理 告警管理
不可以手动设置。 WAF到客户源站的连接超时时长默认为30秒,该值可以在WAF界面手动设置,但仅“独享模式”和“云模式”的专业版、铂金版支持手动设置连接超时时长。 在域名的基本信息页面,开启“超时配置”并单击,设置“连接超时”、“读超时”、“写超时”的时间,并单击保存设置。 父主题:
使用独享WAF和7层ELB以防护任意非标端口 应用场景 如果您需要防护WAF支持的端口以外的非标端口,可参考本章节配置WAF的独享模式和7层ELB联动,可实现任意端口业务的防护。 方案架构 假设需要将“www.example.com:9876”配置到WAF进行防护,但WAF不支持
Web应用防火墙是否支持IPv4和IPv6共存? WAF支持IPv4和IPv6共存,针对同一域名可以同时提供IPv6和IPv4的流量防护。 Web应用防火墙支持IPv6/IPv4双栈,针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务,
业务使用了IPv6,WAF中的源站地址如何配置? 如果域名已接入了WAF(源站地址配置为IPv4地址)进行防护,当业务开启了IPv6时,WAF中配置的源站地址可以保持原IPv4地址,也可以修改为IPv6地址。 WAF支持IPv6/IPv4双栈模式和NAT64机制,详细说明如下: Web应用防
护策略。 约束条件 云模式入门版和标准版不支持该功能。 一个防护域名只能绑定一条防护策略。 同一企业项目下支持复制策略。 操作步骤 您可以选择以下两种方式新增防护策略。 添加防护策略 复制防护策略 一条防护策略可以适用于多个防护域名,但一个防护域名只能绑定一个防护策略。 登录管理控制台。
同一防护域名不能重复添加到WAF云模式。 同一个域名对应不同非标准端口视为不同的防护对象,例如www.example.com:8080和www.example.com:8081为两个不同的防护对象,且占用两个域名防护配额。如果您需要防护同一域名的多个端口,您需要将该域名和端口逐一添加到WAF。
BindHost 参数 参数类型 描述 id String 域名ID hostname String 域名 waf_type String 域名对应模式:cloud(云模式)/premium(独享模式) mode String 仅独享模式涉及特殊域名模式 状态码: 400 表9 响应Body参数
C攻击以及有效缓解CC攻击。例如,您可以通过配置CC攻击规则,使Cookie标识为name的用户在60秒内访问域名的“/admin*”页面超过10次时,封禁该用户访问域名600秒。 有关配置CC攻击防护规则的详细操作,请参见配置CC攻击防护规则。 什么是Cookie Cookie
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
