检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
switch.illegal ipv6 防护不可关闭 开启ipv6防护 400 WAF.00011018 action.type.illegal 非法的动作类型 替换合法的防护动作类型 400 WAF.00011019 cert.illegal 证书非法 使用合法的证书 400 WAF.00011020
如何处理“协议不受支持,客户端和服务器不支持一般 SSL 协议版本或加密套件”? 现象 域名接入WAF后,不能正常访问网站,提示“协议不受支持,客户端和服务器不支持一般 SSL 协议版本或加密套件”。 解决办法 建议您在TLS配置里,将“加密套件”切换为“默认加密套件”,具体操作请参见配置PCI
日志中记录的防护事件,“防护动作”显示为“不匹配”。 源IP Web访问者的公网IP地址(攻击者IP地址)。 默认选择“全部”,查看所有的日志信息,也可以根据需要,选择或者自定义攻击者IP地址查看攻击日志信息。 URL 攻击的防护域名的URL。 状态码 拦截页面返回的HTTP状态码。
独享模式 在左侧导航树中,选择“系统管理 > 独享引擎”,进入独享引擎实例列表页面。 在独享引擎列表的“IP地址”栏,获取所有创建的独享引擎对应的子网IP地址,即独享引擎实例对应的接入IP。 执行以下命令,验证“TLS v1.2”协议可以访问目标网站。 openssl s_client
路径设置为“/”时,表示防护网站所有路径。 配置的“路径”的“内容”不能包含特殊字符(<>*)。 “User Agent”:设置为需要防护的扫描器的用户代理。 -- Mozilla/5.0 (Windows NT 6.1) “IP”:设置为需要防护的访问者IP地址。 支持IPv4和IPv6两种格式的IP地址。 须知:
t-Token的值)。 Content-Type 是 String 内容类型 响应参数 状态码: 200 表4 响应Body参数 参数 参数类型 描述 id String 地址组id name String 地址组名称 ips String 地址组ip(以逗号分隔的ip或ip段)
新的地址组,详细操作请参见添加黑白名单IP地址组。 防护动作 拦截:IP地址或IP地址段设置的是黑名单且需要拦截,则选择“拦截”。 放行:IP地址或IP地址段设置的是白名单,则选择“放行”。 仅记录:需要观察的IP地址或IP地址段,可选择“仅记录”。 攻击惩罚 当“防护动作”设置
网站接入Web应用防火墙后,您可以设置地理位置访问控制规则,WAF通过识别客户端访问请求的来源区域,一键封禁来自特定区域的访问或者允许特定区域的来源IP的访问,解决部分地区高发的恶意请求问题。可针对指定国家、地区的来源IP自定义访问控制。 如果您仅允许某一地区的来源IP访问防护网站,请参见配置示例-仅允许某一地区来源IP访问请求进行配置。
服务器地址的配置。包括对外协议、源站协议、源站地址、源站端口和权重。 对外协议:客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议:Web应用防火墙转发客户端请求的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站地址:客户端访问的网站服务器的公网IP地址(一般对应
objects 地址组信息列表 cloudTotal Integer 该用户总的Ip地址组数量,包含本地与共享地址组 表5 IpGroupBody 参数 参数类型 描述 id String 地址组id name String 地址组名称 ips String 地址组ip(以逗号分隔的ip或ip段)
客户端请求访问防护域名源站服务器的协议 back_protocol String WAF转发客户端请求到防护域名源站服务器的协议 weight Integer 源站权重,负载均衡算法将按该权重将请求分配给源站,默认值是1,云模式的冗余字段 address String 客户端访问的源站服务器的IP地址
如果各子域名对应的服务器IP地址相同:输入防护的泛域名。例如:子域名a.example.com,b.example.com和c.example.com对应的服务器IP地址相同,可以直接添加泛域名*.example.com。 如果各子域名对应的服务器IP地址不相同:请将子域名按“单域名”方式逐条添加。 父主题: 网站接入
负载均衡器列表 选择“后端服务器组”页签,勾选待移除的独享引擎实例后,单击“移除”,如图5所示。 图5 移除公网ELB上添加的独享引擎实例 在弹出的提示框中,单击“是”,将独享引擎实例从公网ELB移除。 单击“添加云服务器”,在弹出的“添加后端服务器”对话框中,选择源站服务器。 单击“下一步
在WAF中添加防护的域名时,您可以根据业务需求配置单域名或泛域名,说明如下: 入门版不支持添加泛域名。 单域名 配置待防护的单域名。例如:www.example.com。 泛域名 配置泛域名可以使泛域名下的多级域名经过WAF防护。 如果各子域名对应的服务器IP地址相同:配置防护的泛域名。例如:子域名a
描述 id String 地址组id name String 地址组名称 ips String 地址组ip(以逗号分隔的ip或ip段) size Integer 地址组长度 rules Array of RuleInfo objects ip地址组绑定的规则列表 description
明如下: 当被包含的文件在服务器本地时,称为本地文件包含。 当被包含的文件在第三方服务器时,称为远程文件包含。 文件包含漏洞是指通过函数包含文件时,由于没有对包含的文件名进行有效的过滤处理,被攻击者利用从而导致了包含了Web根目录以外的文件进来,导致文件信息的泄露甚至注入了恶意代码。
防护端口 需要防护的域名对应的业务端口。 标准端口 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、源站地址、源站端口和权重。 对外协议:客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议:Web应用防火墙转发客户端请求的协议类型。包括
源站返回给WAF的响应状态码。 access_log.method string 请求方法 请求行中的请求类型。通常为“GET”或“POST”。 access_log.http_host string 请求的服务器域名 浏览器的地址栏中输入的地址,域名或IP地址。 access_log
您可以通过调用企业项目管理服务(EPS)的查询企业项目列表接口(ListEnterpriseProject)查询企业项目id page 否 Integer 分页查询时,返回第几页数据。默认值为1,表示返回第1页数据。 pagesize 否 Integer 分页查询时,每页包含多少条结果。范围
放行独享引擎回源IP 源站服务器上的安全软件很容易认为独享引擎的回源IP是恶意IP,有可能触发屏蔽WAF回源IP的操作。一旦WAF的回源IP被屏蔽,WAF的请求将无法得到源站的正常响应,因此,网站以“独享模式”接入WAF防护后,您需要在源站服务器上设置放行创建的独享引擎实例对应的子网IP,不然