检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
为什么华为云SCM上的SSL证书在WAF上不能查看? 华为云SCM上的SSL证书签发后或成功上传后,您需要将证书一键推送到WAF中,才能在华为云WAF中使用。 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目,则不能使用SCM推送的SSL证书。 有关推送S
其他企业项目,则不能选择使用SCM推送的SSL证书。 添加防护网站或更新证书时导入的新证书,将直接添加到“证书管理”页面的证书列表中,且导入的新证书会统计到创建的证书套数中。 应用场景 当域名的“对外协议”设置为“HTTPS”时,需要配置证书。 上传证书 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。
书。 更新证书不会影响业务,更换过程中会使用旧证书,更新成功后,自动切为新证书,新证书立刻生效。 同时更新后端服务器上的证书配置和WAF域名绑定证书的配置会影响网站访问业务,建议您在业务量少时进行更新。 更新网站绑定的证书 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。
阻断特定文件类型请求 配置示例-防盗链 通过配置Referer匹配字段的访问控制规则,您可以阻断特定网站的盗链。例如,您发现“https://abc.blog.com”大量盗用本站的图片,您可以配置精准访问防护规则阻断相关访问请求。 图7 防盗链 配置示例-单独放行指定IP的访问 配置两条精准
project_id 是 String 项目ID,对应控制台用户名->我的凭证->项目列表->项目ID certificate_id 是 String https证书id,您可以通过调用查询证书列表(ListCertificates)接口获取证书id 表2 Query参数 参数 是否必选 参数类型 描述
project_id 是 String 项目ID,对应控制台用户名->我的凭证->项目列表->项目ID certificate_id 是 String https证书id,您可以通过调用查询证书列表(ListCertificates)接口获取证书id 表2 Query参数 参数 是否必选 参数类型 描述
议。 约束条件 同一证书可以绑定多个防护网站。 同一防护网站只能绑定一个证书。 应用场景 当域名的“对外协议”设置为“HTTPS”时,需要配置证书。 绑定证书到防护网站 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。 单击页面左上方的,选择“安全与合规 > Web应用防火墙
从而将账户用户密码、信用卡数据和其他敏感信息泄露给黑客。 解决办法 建议您在TLS配置里,将“最低TLS版本”配置为“TLS v1.2”,“加密套件”配置为“加密套件2”,具体操作如请参见配置PCI DSS/3DS合规与TLS。 父主题: 证书/加密套件问题排查
户端和服务器不支持一般 SSL 协议版本或加密套件”。 解决办法 建议您在TLS配置里,将“加密套件”切换为“默认加密套件”,具体操作请参见配置PCI DSS/3DS合规与TLS。 图1 TLS配置 父主题: 证书/加密套件问题排查
JS脚本反爬虫的检测机制是怎么样的? JS脚本检测流程如图1所示,其中,①和②称为“js挑战”,③称为“js验证”。 图1 JS脚本检测流程说明 开启JS脚本反爬虫后,当客户端发送请求时,WAF会返回一段JavaScript代码到客户端。 如果客户端是正常浏览器访问,就可以触发这
ps 具体的计费方式及标准请参考计费说明。 支持配置的最低TLS版本说明 WAF默认配置的最低TLS版本为“TLS v1.0”,为了确保网站安全,建议您根据业务实际需求进行配置,支持配置的最低TLS版本如表2所示。 表2 支持配置的最低TLS版本说明 场景 最低TLS版本(推荐)
选择“是”后,即在WAF前使用了七层代理,WAF将从配置的Header头中的相关字段获取用户真实访问IP,详见配置攻击惩罚的流量标识。 七层代理 高级配置。 选择“防护策略”:默认为“系统自动生成策略”,您也可以选择已创建的防护策略或在域名接入后根据防护需求配置防护规则。 系统自动生成的策略说明如下:
可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后,CTS可记录WAF的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。 CTS支持追踪的WAF操作列表,请参见标签管理服务支持的WAF操作列表。
1所示的配置流程,快速使用WAF。 图1 网站接入WAF的操作流程图-云模式(CNAME接入) 表1 域名接入WAF操作流程说明 操作步骤 说明 添加防护域名 配置域名、协议、源站等相关信息。 WAF回源IP加白 如果您的源站服务器安装了其他安全软件或防火墙,建议您配置只允许来自
WAF当前仅支持PEM格式证书。 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目,则不能选择使用SCM推送的SSL证书。 拥有“SCM Administrator”和“SCM FullAccess”权限的账号才能选择SCM证书。 ELB限制 将网站以独享
企业项目下的域名配置PCI DSS/3DS合规与TLS。 前提条件 已添加防护网站且配置的“对外协议”包含HTTPS。 约束条件 防护网站的部署模式为“云模式-CNAME接入”或“独享模式”。 如果您使用“云模式-ELB接入”方式接入网站,需要在ELB控制界面配置TLS安全策略实现加密通信。
同一种接入模式的域名支持批量修改服务器配置。 在左侧导航栏中,单击“网站设置”,进入“网站设置”页面。 批量勾选需要修改服务器配置的域名,在网站列表的上方,单击“批量修改配置”。 根据需要修改服务器的各项配置以及已绑定的证书。 WAF支持配置多个后端服务器,如果需要增加后端服务器,可单击“添加地址”,增加服务器。
如何在添加防护域名中配置防护域名? 后端服务器配置多个IP时的注意事项? 如何配置对外协议与源站协议? 如何更新证书? 如何切换工作模式? 如何开启告警通知? 更多 防护配置 如何配置Web基础防护规则? 如何配置CC攻击防护规则? 如何配置精准访问防护规则? 如何配置黑白名单规则? 如何配置网页防篡改规则?
您需要通过WAF配置防护六个站点,每个站点的出方向的正常业务流量峰值都不超过2,000QPS,流量总和不超过12,000QPS。这种情况下,您只需选择购买Web应用防火墙铂金版套餐即可。 一般情况下,出方向的流量会比较大。 有关QPS的详细介绍,请参见QPS扩展包说明。 父主题:
支持购买QPS扩展包 源站服务器部署在华为云:每个扩展包包含1,000QPS请求量,50Mbit/s带宽 源站服务器未部署在华为云:每个扩展包包含1,000QPS请求量,20Mbit/s带宽 6,000回源长连接(每域名) 5,000QPS业务请求 支持购买QPS扩展包 源站服务器部署在华为云:每个扩展包包含1
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
