检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
新旧CNAME的区别? 背景 为了提高域名解析的可靠性,WAF针对CNAME做了升级。 为了不影响已添加域名的使用,WAF在已添加域名的基本信息页面保留了旧的CNAME,并呈现了新的CNAME。 新旧CNAME的区别 新CNAME实现了双活,即双DNS,为异构的两个DNS解析服务。提高了域名解析的可靠性。
如何在华为云的云解析服务上进行DNS验证? DNS验证一般需要由您的域名管理人员进行相关操作。如果您是在华为云平台管理您的域名,并且您的域名在您的华为账号中,请参见本章节在华为云的云解析服务上进行DNS验证。 如果您是在其他域名管理平台(如万网、新网、DNSPod等)管理您的域名,请
云模式服务器的源站地址可以配置成CNAME吗? 可以。如果服务器的源站地址配置为CNAME,添加域名后会多经历一层DNS解析,即先将CNAME解析为IP地址,DNS解析会增加时延,故推荐您将源站地址配置成公网IP地址。 添加域名的相关配置请参见添加防护域名。 父主题: 网站接入
现问题,WAF仍然会转发流量给这个服务器IP,这样会导致部分业务受损。如果您希望服务器有健康性检查的功能,建议您将弹性负载均衡(ELB)和WAF搭配使用,ELB的相关配置请参见添加后端云服务器。ELB配置完成后,再将ELB的EIP作为服务器的IP地址,接入WAF,实现健康检查。 父主题:
写超时:WAF向源站发送请求的超时时间,如果在设定的写超时时间内源站未接收到请求,则认为连接超时。 读超时:WAF从源站读取响应的超时时间,如果在设定的读超时时间内未收到来自源站的响应,则认为连接超时。 WAF转发请求给源站的三个步骤如图1所示。 图1 WAF转发请求给源站 浏览器到WAF引擎的连接超时
正常流量回源到源站ECS实例。因此,您在云服务器(ECS)管理控制台中查看您源站ECS实例的入方向及出方向的流量就是正常的业务流量。如果存在多个源站ECS实例,则需要统计所有源站ECS实例流量的总和。例如:假设您需要通过WAF配置防护六个站点,每个站点的出方向的正常业务流量峰值都不超过2
WAF与源站服务器之间会复用socket连接,这样会降低源站服务器与WAF之间的带宽消耗。 攻击请求 攻击请求被WAF拦截,而这种请求不会消耗源站服务器的带宽。 其他异常请求 如果源站服务器存在超时,无法连接等情况,这种情况不会消耗源站务器的带宽。 TCP层的重传等 WAF统计的带宽是
置多源站间的负载均衡算法,WAF支持的算法如下: 源IP Hash:将某个IP的请求定向到同一个服务器。 加权轮询:所有请求将按权重轮流分配给源站服务器,权重越大,回源到该源站的几率越高。 Session Hash:将某个Session标识的请求定向到同一个源站服务器,请确保在域
加白IP的界面。如果是对外提供Web业务的服务器,建议您安装服务器版本的企业安全软件,或华为云主机安全服务产品,这些产品会识别一些请求量较大的IP的socket,并偶发断开连接,一般情况下不会拦截WAF的回源IP。 源站服务器部署在ECS上,放行WAF回源IP 如果您的源站服务器
常规防护 帮助用户防护常见的Web安全问题,比如命令注入、敏感文件访问等高危攻击。 电商抢购秒杀防护 当业务举办定时抢购秒杀活动时,业务接口可能在短时间承担大量的恶意请求。Web应用防火墙可以灵活设置CC攻击防护的限速策略,能够保证业务服务不会因大量的并发访问而崩溃,同时尽可能地给正常用户提供业务服务。
Web应用防火墙和云防火墙有什么区别? Web应用防火墙和云防火墙是华为云推出的两款不同的产品,分别针对您的Web服务,互联网边界和VPC边界的流量进行防护。 WAF和CFW的主要区别说明如表1所示。 表1 WAF和CFW的主要区别说明 类别 Web应用防火墙 云防火墙 定义 Web应用防火墙(Web
“人机验证”的规则后,访问网站,验证码不能刷新,验证一直不通过,如图1所示。 图1 验证码一直验证不通过 配置“人机验证”后,在配置的指定时间内当用户访问网站超过配置的次数限制后,将弹出验证码进行人机验证,完成验证后,请求将不受访问限制。 有关配置CC攻击防护规则的详细操作,请参见配置CC攻击防护规则。
式支持防护的对象说明如下: 云模式-CNAME接入:域名,华为云、非华为云或云下的Web业务 云模式-ELB接入:域名或IP(公网IP/私网IP),华为云的Web业务 独享模式:域名或IP(公网IP/私网IP),华为云的Web业务 同一个域名/IP对应不同端口视为不同的防护对象,例如www
服务器(ECS)管理控制台中查看您源站ECS实例的入方向及出方向的流量就是正常的业务流量。如果存在多个源站ECS实例,则需要统计所有源站ECS实例流量的总和。例如:假设您需要通过WAF配置防护六个站点,每个站点的出方向的正常业务流量峰值都不超过2,000QPS,流量总和不超过12
Web应用防火墙的日志可以转储到OBS吗? 您可以先将日志配置到LTS,然后在LTS上将WAF转储到OBS。 有关WAF日志配置到LTS的详细操作,请参见防护日志记录到LTS。 有关LTS日志转储至OBS的详细操作,请参见LTS日志转储至OBS。 父主题: 防护日志
配置攻击惩罚的流量标识 WAF根据配置的流量标识识别客户端IP、Session或User标记,以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。 如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下的域名配置攻击惩罚的流量标识。
哪些情况会造成WAF配置的防护规则不生效? 域名成功接入WAF后,正常情况下,域名的所有访问请求流量都会经过WAF检测并转发到服务器。但是,如果网站在WAF前使用了CDN,对于静态缓存资源的请求,由于CDN直接返回给客户端,请求没有到WAF,所以这些请求的安全策略不会生效。 WAF与CDN的配置请
本信息页面。 在“源站服务器”栏中,单击“编辑”。 在“修改服务器信息”页面,根据需要修改服务器的各项配置以及已绑定的证书。 关于证书更新的详细内容可参见更新网站绑定的证书。 WAF支持配置多个后端服务器,如果需要增加后端服务器,可单击“添加”,增加服务器。 如果需要开启IPv6
请确保所有WAF回源IP段都已通过源站ECS的安全组规则设置了入方向的允许策略,否则可能导致网站访问异常。 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。 单击页面左上方的,选择“计算 > 弹性云服务器 ECS”。 在目标ECS所在行的“名称/ID”列中,单击目标ECS实例名称,进入ECS实例的详情页面。
stance_id的域名下的两个源站服务器,第一个源站服务器的IP地址是x.x.x.x,端口号是80,源站地址是ipv4的,源站权重是1,客户端请求访问防护域名源站服务器的协议和WAF转发客户端请求到防护域名源站服务器的协议都是HTTP协议;第二个源站服务器的IP地址是x.x.x