检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
名单规则(即设置IP黑/白名单),阻断、仅记录或放行指定IP或IP段的访问请求。 您可以通过配置黑白名单规则,阻断、仅记录或放行域名对应的IP或IP段的访问请求。 Web应用防火墙有IPS入侵防御系统模块吗? Web应用防火墙没有传统防火墙的IPS模块,不支持IPS入侵防御,仅支
修改负载均衡算法 防护网站配置了一个或多个源站地址时,WAF支持配置多源站间的负载均衡算法,WAF支持的算法如下: 源IP Hash:将某个IP的请求定向到同一个服务器。 加权轮询:所有请求将按权重轮流分配给源站服务器,权重越大,回源到该源站的几率越高。 Session Hash
测试源站泄露风险 获取WAF回源IP地址 回源IP是WAF用来代理客户端请求服务器时用的源IP,在服务器看来,接入WAF后所有源IP都会变成WAF的回源IP,而真实的客户端地址会被加在HTTP头部的XFF字段中。有关回源IP地址的详细介绍,请参见如何放行回源IP段?。 登录管理控制台。
显示通过WAF配置的防护策略总数。单击数字可跳转到规则配置页面,配置具体的防护规则,具体的配置方法参见配置防护策略。 源站IP/端口 客户端访问的网站服务器的公网IP地址和WAF转发客户端请求到服务器的业务端口。 创建时间 在WAF中添加该网站的时间。 企业项目 该域名所在的企业项目。
管理黑白名单IP地址组 添加黑白名单IP地址组 修改或删除黑白名单IP地址组 父主题: 对象管理
云模式-CNAME接入:域名,华为云、非华为云或云下的Web业务 云模式-ELB接入:域名或IP(公网IP/私网IP),华为云的Web业务 独享模式:域名或IP(公网IP/私网IP),华为云的Web业务 同一个域名/IP对应不同端口视为不同的防护对象,例如www.example.com:8080和www
在“负载均衡器”页面,解绑源站服务器的弹性公网IP。 解绑IPv4公网IP,在目标源站的负载均衡器所在行“操作”列,选择“更多 > 解绑IPv4公网IP”。 解绑IPv6公网IP,在目标源站的负载均衡器所在行“操作”列,选择“更多 > 解绑IPv6公网IP”。 图4 解绑弹性公网IP 在弹出的对话框中,单击“是”,解绑EIP。
黑白名单规则和精准访问防护规则的拦截指定IP访问请求,有什么差异? 黑白名单规则和精准访问防护规则都可以拦截指定IP访问请求,两者的区别说明如表1所示。 表1 黑白名单规则和精准访问防护规则区别 防护规则 防护功能 WAF检测顺序 黑白名单规则 只能阻断、仅记录或放行指定IP地址/IP地址段的访问请求。
求。 防护对象:域名或IP(公网IP/私网IP) 接入方式:网站接入WAF(云模式-ELB接入) 独享模式: 业务服务器部署在华为云。 大型企业网站,具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。 防护对象:域名或IP(公网IP/私网IP) 接入方式:将网站接入WAF防护(独享模式)
great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted
“源站地址”选择“IPv4”时,开启“IPv6防护”后,WAF将为域名分配IPv6的接入地址,即将IPv4源站转化成IPv6网站,将外部IPv6访问流量转化成对内的IPv4流量。具体的请参见WAF如何解析/访问IPv6源站?。 当源站存在IPv6地址,默认开启IPv6防护。WAF为了防止
相关访问请求。 图7 防盗链 配置示例-单独放行指定IP的访问 配置两条精准访问防护规则,一条拦截所有的请求,如图8所示,一条单独放行指定IP的访问,如图9所示。 图8 阻断所有的请求 图9 放行指定IP 配置示例-放行指定IP的特定URL请求 通过配置多条“条件列表”,当访问请
WAF支持对域名或IP进行防护,相关说明如下: 云模式的CNAME接入只能基于域名进行防护 在WAF中配置的源站IP只支持公网IP。例如,源站服务器部署了华为云弹性负载均衡(Elastic Load Balance,简称ELB)时,只要ELB(经典型、共享型或独享型)有公网IP,云模式就可以对域名进行防护。
更多 > 解绑IPv4公网IP”,如图3所示。 图3 解绑公网ELB上绑定的EIP 在弹出的提示框中,单击“是”,将EIP从公网ELB上解绑。 在“负载均衡器”页面,内网ELB所在行“操作”列,选择“更多 > 绑定IPv4公网IP”。 在弹出的“绑定IPv4公网IP”对话框中,选择步骤
name 否 String 地理位置控制规则名称 description 否 String 描述 geoip 是 String 地理位置封禁区域: (CA: 加拿大,US: 美国,AU: 澳大利亚,IN: 印度,JP: 日本,UK: 英国,FR: 法国,DE: 德国,BR: 巴西,Thailand:
avaScript代码到客户端。如果客户端是正常浏览器访问,就可以触发这段JavaScript代码再发送一次请求到WAF,即WAF完成JS验证,并将该请求转发给源站,如图1所示。 图1 JS脚本反爬虫正常检测流程 如果客户端是爬虫访问,就无法触发这段JavaScript代码再发送
云模式-CNAME接入:域名,华为云、非华为云或云下的Web业务 云模式-ELB接入:域名或IP(公网IP/私网IP),华为云的Web业务 独享模式:域名或IP(公网IP/私网IP),华为云的Web业务 DDoS高防和WAF同时部署可以对华为云、非华为云或云下的域名进行联动防护,可以同时防御DDoS攻击(NTP
添加域名时,WAF支持添加多个服务器IP,多个服务器之间,WAF采用轮询的方式回源,这样有助于减少服务器的压力,起到保护源站的作用。例如,后端添加了两个服务器IP(IP-A,IP-B),当有10个请求访问该域名时,5个请求会被WAF转发到IP-A,其余5个请求会被WAF转发到IP-B。 WAF云模
些防护规则,则防护日志中记录的防护事件,“防护动作”显示为“不匹配”。 源IP Web访问者的公网IP地址(攻击者IP地址)。 默认选择“全部”,查看所有的日志信息,也可以根据需要,选择或者自定义攻击者IP地址查看攻击日志信息。 URL 攻击的防护域名的URL。 状态码 拦截页面返回的HTTP状态码。
拦截类型 支持以下拦截方式: 长时间IP拦截 短时间IP拦截 长时间Cookie拦截 短时间Cookie拦截 长时间Params拦截 短时间Params拦截 须知: 黑白名单规则中,不支持选择“长时间IP拦截”和“短时间IP拦截”的攻击惩罚。 长时间IP拦截 拦截时长(秒) 拦截时长需要设置为整数,且设置范围为: