检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
版)支持配置负载均衡算法 源IP Hash:将某个IP的请求定向到同一个服务器 加权轮询:所有请求将按权重轮流分配给源站服务器 Session Hash:将某个Session标识的请求定向到同一个源站服务器,请确保在域名添加完毕后配置攻击惩罚的流量标识,否则Session Hash配置不生效
图3 Web应用防火墙的回源IP网段 打开源站服务器上的安全软件,将复制的IP段添加到白名单。 源站服务器部署在华为云ECS上,请参考源站服务器部署在ECS上,放行WAF回源IP进行操作。 源站服务器部署在华为云ELB上,请参考源站服务器部署在华为云ELB上,放行WAF回源IP进行操作。
配置地理位置访问控制规则拦截/放行特定区域请求 网站接入Web应用防火墙后,您可以设置地理位置访问控制规则,WAF通过识别客户端访问请求的来源区域,一键封禁来自特定区域的访问或者允许特定区域的来源IP的访问,解决部分地区高发的恶意请求问题。可针对指定国家、地区的来源IP自定义访问控制。
客户端请求访问防护域名源站服务器的协议 back_protocol String WAF转发客户端请求到防护域名源站服务器的协议 weight Integer 源站权重,负载均衡算法将按该权重将请求分配给源站,默认值是1,云模式的冗余字段 address String 客户端访问的源站服务器的IP地址
到WAF防护的网站数据。 “资源防护概况”模块数据展示,如图1所示。 查看域名总数,已接入WAF域名数,以及未成功接入WAF的域名数和DNS解析异常域名数。 产品信息:产品版本信息展示,单击可跳转到“产品信息”页面,查看版本配额详情。 图1 资源防护概况 “安全统计”模块数据展示,如图2所示。
需要先修改服务器配置,在源站删除IPv6的配置,具体的操作方法请参见修改服务器配置信息。 开启IPv6防护 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。 单击页面左上方的,选择“安全与合规 > Web应用防火墙 WAF”。 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
泛域名配置说明如下: 如果各子域名对应的服务器IP地址相同:输入防护的泛域名。例如:子域名a.example.com,b.example.com和c.example.com对应的服务器IP地址相同,可以直接添加泛域名*.example.com。 如果各子域名对应的服务器IP地址不相同:请将子域名按“单域名”方式逐条添加。
Not Acceptable 服务器生成的响应无法被客户端所接受。 407 Proxy Authentication Required 用户必须首先使用代理服务器进行验证,这样请求才会被处理。 408 Request Timeout 请求超出了服务器的等待时间。 409 Conflict
部署WAF原理图 当网站没有接入到WAF前,DNS直接解析到源站的IP,用户直接访问服务器。 当网站接入WAF后,需要把DNS解析到WAF的CNAME,这样流量才会先经过WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。 在这种情况下,访问请求到达源站服务器之前可能经过了多层安全代理转
攻击惩罚 当“防护动作”设置为“阻断”时,您可以设置攻击惩罚标准。设置攻击惩罚后,当访问者的IP、Cookie或Params恶意请求被拦截时,WAF将根据惩罚标准设置的拦截时长来封禁访问者。 长时间IP拦截 优先级 设置该条件规则检测的顺序值。如果您设置了多条规则,则多条规则间有
及时了解WAF防护状况,并通过指标设置防护策略。CES服务是华为云为用户提供一个针对各种云上资源的立体化监控平台,用户通过云监控服务可以全面了解云上的资源使用情况、业务的运行状况,并及时收到异常告警做出反应,保证业务顺畅运行。 用户通过设置WAF告警规则,可自定义监控目标与通知
在目标域名所在行的“域名”列中,单击目标域名,进入域名基本信息页面。 在“源站服务器”栏中,单击编辑,进入“修改服务器信息”页面,单击“添加”,新增后端服务器。 图9 服务器配置 将“源站地址”设置为ELB的弹性公网IP地址。 单击“确定”,服务器信息修改成功。 父主题: 流量转发异常排查
如果提示“重定向次数过多”,一般是由于您在服务器后端配置了HTTP强制跳转HTTPS,在WAF上只配置了一条HTTPS(对外协议)到HTTP(源站协议)的转发,强制WAF将用户的请求进行跳转,所以造成死循环。 可在WAF中修改服务器信息,配置两条HTTP(对外协议)到HTTP(
依赖浏览器压缩选项),而源站服务器可能不支持压缩。 连接复用 WAF与源站服务器之间会复用socket连接,这样会降低源站服务器与WAF之间的带宽消耗。 攻击请求 攻击请求被WAF拦截,而这种请求不会消耗源站服务器的带宽。 其他异常请求 如果源站服务器存在超时,无法连接等情况,这种情况不会消耗源站务器的带宽。
本文为您介绍Web应用防火墙相关名词的主要含义。 CC攻击 CC攻击是针对Web服务器或应用程序的攻击,利用获取信息的标准的GET/POST请求,如请求涉及数据库操作的URI(Universal Resource Identifier)或其他消耗系统资源的URI,造成服务器资源耗尽,无法响应正常请求。防CC攻击的相关
设置监控告警规则 通过设置WAF告警规则,用户可自定义监控目标与通知策略,设置告警规则名称、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数,帮助您及时了解WAF防护状况,从而起到预警作用。 前提条件 防护网站已接入WAF 设置监控告警规则 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。
Proxy)方式转发。反向代理服务器接受客户端访问请求后,直接将访问请求转发给Web服务器,并将从Web服务器上获取的结果返回给客户端。反向代理服务器安装在网站机房,代理Web服务器接收访问请求,并对访问请求进行转发。 反向代理可以防止外网对内网服务器的恶性攻击,缓存以减少内网服务器压力,还可以实现访问安全控制和负载均衡。
用户指南》。 告警频率 “通知类型”选择“防护事件”时,需要设置告警频率。 说明: 在设置时间间隔内,当攻击次数大于或等于您设置的阈值时才会发送告警通知。 事件类型 “通知类型”选择“防护事件”时,需要配置此参数。 设置告警的事件类型,系统默认选择“全部”,用户也可以单击“自定义”,勾选需要告警的事件类型。
添加域名时,防护网站端口需要和源站端口配置一样吗? 端口为实际防护网站的端口,源站端口是WAF转发客户端请求到服务器的业务端口。两者不用配置为一样,端口配置说明如下: “对外协议”选择“HTTP”时,WAF默认防护“80”标准端口的业务;“对外协议”选择“HTTPS”时,WAF默认防护“443”标准端口的业务。
测到开源组件Fastjson存在远程代码执行漏洞,此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用,可直接获取服务器权限,危害严重。 影响的版本范围 漏洞影响的产品版本包括:Fastjson 1.2.51以下的版本,不包括Fastjson 1.2.51版本。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
