检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
WAF对防护带宽/共享带宽有限制吗? WAF对防护带宽/共享带宽没有限制,WAF对业务带宽和QPS有限制。 WAF的业务QPS是指所有该WAF防护的域名、站点中正常业务流量的大小,单位为QPS。 购买WAF时,您需要提前考虑准备通过WAF配置防护的所有站点的日常入方向和出方向总流
如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能删除该企业项目下的证书。 前提条件 证书没有被使用,即证书未绑定防护网站。 约束条件 如果证书已绑定防护网站,删除证书前需要解除该证书与域名绑定关系。 系统影响 删除证书不会影响业务。
测到开源组件Fastjson存在远程代码执行漏洞,此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用,可直接获取服务器权限,危害严重。 影响的版本范围 漏洞影响的产品版本包括:Fastjson 1.2.51以下的版本,不包括Fastjson 1.2.51版本。
测到开源组件Fastjson存在远程代码执行漏洞,此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用,可直接获取服务器权限,危害严重。 影响的版本范围 漏洞影响的产品版本包括:Fastjson 1.2.51以下的版本,不包括Fastjson 1.2.51版本。
源站安全配置 使用WAF提升客户端访问域名的通道安全 使用ECS/ELB访问控制策略保护源站安全
能使用SCM推送的SSL证书。 有关SCM证书推送的详细介绍,请参见推送证书到云产品。 配置泛域名时,如何选择证书? 域名和证书需要一一对应,泛域名只能使用泛域名证书。如果您没有泛域名证书,只有单域名对应的证书,则只能在WAF中按照单域名的方式逐条添加域名进行防护。 ELB已上传
2019年09月03日,华为云安全团队检测到应用较广的开源组件Fastjson的多个版本出现拒绝服务漏洞。攻击者利用该漏洞,可构造恶意请求发给使用了Fastjson的服务器,使其内存和CPU耗尽,最终崩溃,造成用户业务瘫痪。目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。
Second)即每秒钟的请求量,例如一个HTTP GET请求就是一个Query。请求次数是间隔时间内请求的总量。 QPS是单个进程每秒请求服务器的成功次数。 QPS = 请求数/秒(req/sec ) “安全总览”页面中QPS的计算方式说明如表1所示。 表1 QPS取值说明 时间段
2019年09月03日,华为云安全团队检测到应用较广的开源组件Fastjson的多个版本出现拒绝服务漏洞。攻击者利用该漏洞,可构造恶意请求发给使用了Fastjson的服务器,使其内存和CPU耗尽,最终崩溃,造成用户业务瘫痪。目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。
规则,屏蔽身份证号、电话号码和电子邮箱敏感信息。 图1 敏感信息泄露 响应码拦截:针对特定的HTTP请求状态码,可配置规则将其拦截,避免服务器敏感信息泄露。例如,您可以通过设置以下防护规则,拦截HTTP 404、502、503状态码。 图2 响应码拦截 表1 参数说明 参数名称 参数说明
Java Spring框架远程代码执行高危漏洞 Spring是一款主流的Java EE轻量级开源框架,面向服务器端开发设计。近日,Spring框架被曝出可导致RCE远程代码执行的漏洞,该漏洞攻击面较广,潜在危害严重,对JDK 9及以上版本皆有影响。 漏洞名称 Spring框架RCE
Java Spring框架远程代码执行高危漏洞 Spring是一款主流的Java EE轻量级开源框架,面向服务器端开发设计。近日,Spring框架被曝出可导致RCE远程代码执行的漏洞,该漏洞攻击面较广,潜在危害严重,对JDK 9及以上版本皆有影响。 漏洞名称 Spring框架RCE
SQL(Structured Query Language)注入攻击是一种常见的Web攻击方法,攻击者通过把SQL命令注入到数据库的查询字符串中,最终达到欺骗服务器执行恶意SQL命令的目的。例如,可以从数据库获取敏感信息,或者利用数据库的特性执行添加用户、导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。
以图1中设置的值为例进行解释: “宕机保护”:当防护网站的502/504错误返回量达到1000条以上且占网站的所有访问请求量的90%及以上时,第一次触发时,WAF将停止转发用户请求180s(即阻止用户访问网站180s);连续第二次触发时,WAF将停止转发用户请求360s;连续第三次及以上触发时,WA
添加域名时,防护网站端口需要和源站端口配置一样吗? 端口为实际防护网站的端口,源站端口是WAF转发客户端请求到服务器的业务端口。两者不用配置为一样,端口配置说明如下: “对外协议”选择“HTTP”时,WAF默认防护“80”标准端口的业务;“对外协议”选择“HTTPS”时,WAF默认防护“443”标准端口的业务。
] } ] } 示例2:拒绝用户删除网页防篡改规则 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先。 如果您给用户授予“WAF FullA
个域名扩展包、QPS扩展包和规则扩展包。购买时长为一个月,一个月后又手动续费了一个月。 该用户在6月时,需要通过WAF防护一个网站(业务服务器部署在华为云),且该网站只能通过IP接入WAF。因为云模式无法通过IP接入WAF,因此,该用户于2023/06/08 8:00:00购买了
选择“内容安全单次检测”时,内容安全检测服务一次性计费。同一个对象再次进行扫描时,需要重新收费。网站检测配额请参见购买内容安全检测服务时,如何确定网站检测配额?。 详细的计费说明请参见计费项。 父主题: 内容安全检测服务
修改拦截返回页面 当访问者触发WAF拦截时,默认返回WAF“系统默认”的拦截返回页面,您也可以根据自己的需要,配置“自定义”或者“重定向”的拦截返回页面。 如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名修改拦截返回页面。
网站接入后推荐配置 配置PCI DSS/3DS合规与TLS 开启IPv6防护 开启HTTP2协议 配置WAF到网站服务器的连接超时时间 开启熔断保护功能保护源站安全 配置攻击惩罚的流量标识 配置Header字段转发 修改拦截返回页面 开启Cookie安全属性 配置日志记录响应体字节长度
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
