检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
显示通过WAF配置的防护策略总数。单击数字可跳转到规则配置页面,配置具体的防护规则,具体的配置方法参见配置防护策略。 源站IP/端口 客户端访问的网站服务器的公网IP地址和WAF转发客户端请求到服务器的业务端口。 创建时间 在WAF中添加该网站的时间。 企业项目 该域名所在的企业项目。
压缩选项),而源站服务器可能不支持压缩。 连接复用 WAF与源站服务器之间会复用socket连接,这样会降低源站服务器与WAF之间的带宽消耗。 攻击请求 攻击请求被WAF拦截,而这种请求不会消耗源站服务器的带宽。 其他异常请求 如果源站服务器存在超时,无法连接等情况,这种情况不会消耗源站务器的带宽。
协议不涉及TLS,请忽略该章节。 如果防护网站配置了多个服务器时,“对外协议”都配置为“HTTPS”时,才支持配置PCI DSS/3DS合规。 开启PCI DSS/3DS合规后,将不支持修改“对外协议”,也不支持添加服务器。 应用场景 WAF默认配置的最低TLS版本为“TLS v1
您可以通过Web应用防火墙服务对不再防护的网站执行删除操作。 删除云模式的CNAME方式接入的防护网站前,请您先到DNS服务商处将域名重新解析,指向源站服务器IP地址,否则该域名的流量将无法切回服务器,影响正常访问。 防护网站删除后,如果需要再次添加到WAF中进行防护,需要重新按照网站接入WAF的操作完成域名接入。
如何解决重定向次数过多? 在WAF中完成了域名接入后,请求访问目标域名时,如果提示“重定向次数过多”,一般是由于您在服务器后端配置了HTTP强制跳转HTTPS,在WAF上只配置了一条HTTPS(对外协议)到HTTP(源站协议)的转发,强制WAF将用户的请求进行跳转,所以造成死循环。
配置TLS最低版本和加密套件 以下介绍如何配置TLS最低版本为“TLS v1.2”,加密套件为“加密套件1”,以及如何验证配置效果。 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。 单击页面左上方的,选择“安全与合规 > Web应用防火墙 WAF”。 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
PUT:请求服务器更新指定资源。 POST:请求服务器新增资源或执行特殊操作。 DELETE:请求服务器删除指定资源,如删除对象等。 HEAD:请求服务器资源头部。 PATCH:请求服务器更新资源的部分内容。当资源不存在的时候,PATCH可能会去创建一个新的资源。 在获取用户Toke
在左侧导航栏中,选择“网站设置”,进入网站设置页面。 在接入域名列表,单击目标域名。 在“源站服务器”栏中,单击“编辑”。 在“修改服务器信息”对话框,添加HTTP到HTTP和HTTPS到HTTPS这2条转发协议规则。 图1 配置示例 有关配置转发规则的详细操作,请参见如何解决重定向次数过多?。
如果只允许指定地区的IP可以访问,如何设置防护策略? 如果您只允许某一地区的IP访问防护域名,例如,只允许来源“上海”地区的IP可以访问防护域名,请参照以下步骤处理。 由于地理位置访问控制的优先级高于内置规则的检测,配置了该地区IP放行后,WAF将不再检测其他的Web基础防护策略,直接放行。
网站设置 网站接入后推荐配置 网站管理
设置监控告警规则 通过设置WAF告警规则,用户可自定义监控目标与通知策略,设置告警规则名称、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数,帮助您及时了解WAF防护状况,从而起到预警作用。 前提条件 防护网站已接入WAF 设置监控告警规则 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。
通过黑白名单设置拦截网站恶意IP流量 WAF默认放行所有的IP地址,如果您发现您的网站存在恶意IP访问,可通过WAF的黑白名单设置规则拦截恶意IP。 本场景以WAF云模式-ELB接入方式为例,介绍如何通过黑白名单设置规则拦截恶意IP流量。 接入方式:云模式-ELB接入 防护对象:域名/IP
DSS/3DS合规与TLS 开启IPv6防护 开启HTTP2协议 配置WAF到网站服务器的连接超时时间 开启熔断保护功能保护源站安全 配置攻击惩罚的流量标识 配置Header字段转发 修改拦截返回页面 开启Cookie安全属性 父主题: 网站设置
www.example.com 防护端口 需要防护的域名对应的业务端口。 标准端口 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、源站地址、源站端口和权重。 对外协议:客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议:Web应用防
在左侧导航树中,选择“网站设置”,进入网站设置列表。 找到出现523问题的防护网站,保留一个配置,删除多余的防护网站,具体操作请参见删除防护网站。 防止删除网站后造成业务中断,在删除网站前,需要完成以下操作: 云模式:请您先到DNS服务商处将域名重新解析,指向源站服务器IP地址,否则该域
业务使用了IPv6,WAF中的源站地址如何配置? 如果域名已接入了WAF(源站地址配置为IPv4地址)进行防护,当业务开启了IPv6时,WAF中配置的源站地址可以保持原IPv4地址,也可以修改为IPv6地址。 WAF支持IPv6/IPv4双栈模式和NAT64机制,详细说明如下:
泛域名和单域名都接入WAF,WAF如何转发访问请求? 添加域名时提示“非法的源站地址”,如何处理? 添加域名时,为什么还有域名配额却提示域名配额不足呢? 添加防护域名时,提示“其他人已经添加了该域名,请确认该域名是否属于你”,如何处理? 添加域名时,为什么不能选择对外协议? 云模式服务器的源站地址可以配置成CNAME吗?
如何处理Appscan等扫描器检测结果为Cookie缺失Secure/HttpOnly? Cookie是后端Web Server插入的,可以通过框架配置或set-cookie实现,其中,Cookie中配置Secure,HttpOnly有助于防范XSS等攻击获取Cookie,对于Cookie劫持有一定的防御作用。
填写需要防护的域名对应的业务端口。 服务器配置 对外协议:客户端请求访问服务器的协议类型。包括HTTP、HTTPS两种协议类型。 源站协议:Web应用防火墙转发客户端请求的协议类型。包括HTTP、HTTPS两种协议类型。 源站地址:填写网站对应的源站服务器的公网IP地址或源站域名,用于
流量转发异常排查 如何排查404/502/504错误? 如何处理418错误码问题? 如何处理523错误码问题? 如何解决重定向次数过多? 如何处理接入WAF后报错414 Request-URI Too Large? 如何解决“源站服务器CPU使用率高达100%”问题? 连接超时时长是多少,是否可以手动设置该时长?
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
