检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
取值样例 防护域名 需要添加到WAF中防护的域名。 域名已完成备案 支持单域名(例如,一级域名example.com,二级域名www.example.com等)和泛域名(例如,*.example.com)。 www.example.com 防护端口 需要防护的域名对应的业务端口。
哪些情况会造成WAF配置的防护规则不生效? 域名成功接入WAF后,正常情况下,域名的所有访问请求流量都会经过WAF检测并转发到服务器。但是,如果网站在WAF前使用了CDN,对于静态缓存资源的请求,由于CDN直接返回给客户端,请求没有到WAF,所以这些请求的安全策略不会生效。 WA
设置”页面。 开启防护:在目标域名所在行的“操作”列,单击“开启防护”并在弹框中单击“确定”。“开启防护”后,该域名的“运行状态”为“防护中”。 暂停防护:在目标域名所在行的“操作”列,单击“暂停防护”并在弹框中单击“确定”。“暂停防护”后,该域名的“运行状态”为“未防护”。 相关操作
如何获取拦截的数据? 在“安全总览”页面,您可以查看昨天、今天、3天、7天、30天或自定义30天任意时间段内所有防护网站或所有实例以及指定防护网站或实例的防护日志。包括请求与各攻击类型统计次数,QPS、带宽、响应码信息,以及事件分布、受攻击域名 Top5、攻击源IP Top5、受攻击URL
取值样例 防护域名 需要添加到WAF中防护的域名。 域名已完成备案 支持单域名(例如,一级域名example.com,二级域名www.example.com等)和泛域名(例如,*.example.com)。 www.example.com 防护端口 需要防护的域名对应的业务端口。
原WAF上的配置数据可以保存24小时。 退订WAF后,WAF将暂停防护域名。当您重新购买WAF后,您只需要为域名开启防护,即将域名的“工作模式”切换为“开启防护”。开启防护后,WAF会根据域名在原WAF上配置的防护对域名进行防护。 有关退订WAF的详细操作,请参见如何退订Web应用防火墙?。
拦截:发现攻击后立即阻断并记录。 设置为“拦截”时,您可以根据需要选择已配置的攻击惩罚。有关配置攻击惩罚的详细操作,请参见配置攻击惩罚标准封禁访问者指定时长。 仅记录:发现攻击后只记录不阻断。 使用建议 如果您对自己的业务流量特征还不完全清楚,建议先切换到“仅记录”模式进行观察。一般情
更新证书。有关更新证书的详细操作,请参见更新网站绑定的证书。 应用域名 已使用该证书的域名。域名与证书是一一对应的,同一个证书可以绑定到多个域名。 证书来源 WAF:通过WAF控制台添加的证书。 SCM:添加域名或更新证书时,拉取的SCM证书。该来源的证书仅支持“应用”和“删除”操作。
为什么“安全总览”和全量日志统计的日志个数不一致? 当攻击源、匹配规则、负载位置、URL等信息一致时,全量日志只记录一条日志。因此,全量日志显示的日志个数可能会低于“安全总览”显示的日志个数。 有关查看防护日志的详细操作,请参见查看防护日志。 父主题: 防护日志
后端服务器配置多个源站地址时的注意事项? 同一个域名在后端配置多个源站地址时,请注意: 域名对应的业务端口为非标准端口 对外协议、源站协议和源站端口必须都相同 域名对应的业务端口为标准端口 对外协议、源站协议和源站端口可不相同 添加域名时,WAF支持添加多个服务器IP,多个服务器之
单击“配置加速域名”,在“源站信息”所在行,复制桶域名。 “加速域名”:配置为在CDN中配置的加速域名。 其他参数的详细配置请参见配置加速域名。 完成域名绑定后,您可以在浏览器输入域名和OBS桶中任意文件名称(例如,<被防护域名>/test.png,test.png为上传到OBS桶中的图
流量访问说明如下: 用户在浏览器输入域名后,客户端会向DNS发送请求,查询域名解析地址。 DNS返回域名解析地址。 如果无代理(例如CDN、DDos高防等),DNS返回的域名解析地址为ELB的公网IP地址,客户端通过该公网IP访问ELB。如果存在代理: DNS返回的域名解析地址为代理IP,客户端通过代理IP访问代理。
业务场景使用WAF的一系列常用实践。 表1 常用最佳实践 实践 描述 域名接入 未使用代理的网站通过CNAME方式接入WAF 网站没有接入WAF前,DNS直接解析到源站的IP。网站接入WAF后,需要把DNS解析到WAF的CNAME,这样流量才会先经过WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。
端口:60700-60999。 202207 支持泛域名标准匹配逻辑。 支持全局白名单功能。 202205 新增基于实例配置TLS最低版本的功能。 202204 支持从管理面下发更新规则。 误报屏蔽支持全流量域名及全流量自定义域名。 误报屏蔽支持配置所有条件。 202202 优化请求日志机制。
后端私网IP,并将EIP(公网IP)设置为源站地址。 独享模式/云模式-ELB接入 WAF可以对IP或域名进行防护。 在WAF中配置的源站IP支持私网IP或者内网IP。 有关域名接入WAF的流程说明,请参见网站接入WAF。 父主题: 产品咨询
选择完查询条件后,单击“查询”。 在事件列表页面,您还可以导出操作记录文件和刷新列表。 单击“导出”按钮,云审计服务会将查询结果以CSV格式的表格文件导出,该CSV文件包含了本次查询结果的所有事件,且最多导出5000条信息。 单击按钮,可以获取到事件操作记录的最新信息。 在需要查看的事件左侧,单击展开该记录的详细信息。
取值样例 防护域名 需要添加到WAF中防护的域名。 域名已完成备案 支持单域名(例如,一级域名example.com,二级域名www.example.com等)和泛域名(例如,*.example.com)。 www.example.com 防护端口 需要防护的域名对应的业务端口。
如何测试在WAF中配置的源站IP是IPv6地址? 执行此操作前,请确认已在WAF中添加了域名并完成了域名接入。 假如已在WAF中添加域名www.example.com。通过以下方法可以测试配置的源站IP是否是IPv6地址: 在Windows中打开cmd命令行工具。 执行dig AAAA
如何处理418错误码问题? 如果请求本身含有恶意负载被WAF拦截,此时访问WAF防护的域名时会出现418的错误。您可以通过查看WAF的防护日志,查看拦截原因。有关查看防护日志的详细操作,请参见查看防护日志。 如果您判断该请求为业务正常请求调用,可以通过误报处理操作对该路径的对应规则进行放行处理,避免同样问题再次发生。
添加防护域名时,可根据您的业务场景参考以下示例进行配置。 示例一:80/443端口业务防护配置 示例二:客户端请求转发到不同的源站服务器 示例三:同一域名对应不同的防护端口 示例四:不同访问模式的协议配置规则 示例一:80/443端口业务防护配置 配置场景:需要防护域名对应的80或者443端口的业务。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
