检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
object 告警页面配置 flag Flag object 特殊标识,用于前端使用 extend Map<String,String> 扩展字段,用于保存防护域名的一些配置信息。 forward_header_map Map<String,String> 字段转发配置,WAF会将添加
域名的URL。 否 是 HTTP/HTTPS Header信息(包括Cookie) 用户在配置CC攻击、精准访问防护规则时,在配置界面输入的Cookie值和Header值。 否 否 如果配置的Cookie和Header信息不含有用户的个人信息,则WAF记录的相关请求中不会收集及产生用户的个人数据。
waf:poolBinding:list √ √ 查询WAF实例组健康检查配置 waf:poolHealthMonitor:get √ √ 修改WAF实例组健康检查配置 waf:poolHealthMonitor:put √ √ 创建WAF实例组健康检查配置 waf:poolHealthMonitor:create
在ECS服务页面看到WAF实例所在的弹性云服务器),需要提交工单申请,且仅部分Region支持,具体信息请以申请回复情况为准。 资源租户类 网络配置 虚拟私有云 选择源站所在的VPC。 - 子网 选择VPC中已配置的子网。 - 安全组 选择区域中已有的安全组,或者单击“新建安全组
系统自动生成策略包括哪些防护规则? 在添加防护网站进行“策略配置”时,您可以选择已创建的防护策略或默认的“系统自动生成策略”,系统自动生成的策略相关说明如表1所示。 入门版、标准版只能选择“系统自动生成策略”。 您也可以在域名接入后根据防护需求配置防护规则。 表1 系统自动生成策略说明 版本 防护策略
注。同时您也可以配置消息提醒,在服务即将到期前,系统将默认向配置的消息接收人发送WAF到期提醒信息。 配置消息接收人 登录管理控制台。 单击页面右上角的,打开通知窗口。 单击“更多”,进入“消息中心”服务页面。 在左侧导航树中,选择“消息接收管理 > 消息接收配置”,进入“消息接收配置”页面。
当访问者的IP、Cookie或Params恶意请求被WAF拦截时,您可以通过配置攻击惩罚,使WAF按配置的攻击惩罚时长来自动封禁访问者。 Web基础防护、精准访问防护和黑白名单设置支持攻击惩罚功能。 发布区域:全部 配置攻击惩罚标准 配置攻击惩罚的流量标识 地理位置访问控制 可以针对国外部分国家、国内省份的来源IP进行自定义访问控制。
当防护网站成功接入WAF后,您可以使用接口测试工具模拟用户发起各类HTTP(S)请求,以验证配置的WAF防护规则是否生效,即验证配置防护规则的防护效果。本实践以Postman工具为例,说明如何验证全局白名单规则。 应用示例 例如,您的业务部署在“/product”路径下,由于生态开发,针对参数ID存在用户提交脚本或富文本格式(Rich
在遭遇CC(Challenge Collapsar)攻击时,完成基于IP限速和基于Cookie字段识别的防护规则的配置。 方案选择 方案一:CC攻击常见场景防护配置 从不同的CC攻击防护场景中选择贴近您自身实际需求的场景,了解相关的防护设置。 方案二:通过IP限速限制网站访问频率
在什么情况下使用Cookie区分用户? 在配置CC防护规则时,当IP无法精确区分用户,例如多个用户共享一个出口IP时,用户可以使用Cookie区分用户。 用户使用Cookie区分用户时,如果Cookie中带有用户相关的“session”等“key”值,直接设置该“key”值作为区分用户的依据。
添加域名时,为什么不能选择对外协议? 添加防护域名时,如果配置了非标准端口,当对外协议(HTTP/HTTPS)不支持该非标准端口时,您将不能选择对外协议。建议您在配置非标准端口时,确认对外协议(HTTP/HTTPS)支持该非标准端口。 有关WAF支持的非标准端口的详细介绍,请参见Web应用防火墙支持哪些非标准端口?。
防护开关,对扫描器爬虫进行拦截或仅记录,详见配置网站反爬虫防护规则。 网页防篡改 网页防篡改为用户的文件提供保护功能,避免指定目录中的网页、电子文档、图片、数据库等类型的文件被黑客、病毒等非法篡改和破坏。网页防篡改的相关配置请参见配置网页防篡改规则避免静态网页被篡改。 跨站脚本攻击
可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后,CTS可记录WAF的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。 CTS支持追踪的WAF操作列表,请参见标签管理服务支持的WAF操作列表。
单。WAF不支持导出黑白名单。 IP地址组集中管理IP地址或网段,被黑白名单规则引用时可以批量设置IP/IP地址段。 有关配置黑白名单的详细操作,请参见配置黑白名单规则。 父主题: 防护规则
防护域名的源站服务器配置信息 block_page 否 BlockPage object 告警页面配置,该参数为非必填参数。当需要配置自定义页面时,该参数的子字段都为必填参数 forward_header_map 否 Map<String,String> 字段转发配置,WAF会将添加
配置CC防护规则时,如果选择了“高级”工作模式,且“防护动作”配置为“动态阻断”,则除了需要配置“限速频率”外,还需要配置“放行频率”。 如果在一个限速周期内,访问的请求频率超过“限速频率”触发了拦截,那么,在下一个限速周期内,拦截阈值将动态调整为“放行频率”。且“放行频率”为0时,表示上个周期发生拦截后,
core RCE漏洞日志。 通过LTS配置WAF规则的拦截告警 本实践对WAF攻击日志开启LTS快速分析功能,再配置告警规则,实现WAF规则拦截日志的分析及告警,实时洞察您的业务在WAF中的防护情况并做出决策分析。 TLS加密配置 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全
在左侧导航树中,选择“网站设置”,进入网站设置列表。 在网站列表的左上角,单击“添加防护网站”。 选择“云模式-CNAME接入”并单击“开始配置”。 根据界面提示,配置网站信息,如表2所示。 图3 基础信息配置 表2 重点参数说明 参数 参数说明 取值样例 防护域名 需要添加到WAF中防护的域名。 域名已完成备案
Web应用防火墙会记录未拦截的事件吗? WAF根据配置的防护规则拦截攻击事件,并将拦截或者仅记录攻击的事件记录在防护日志中,不会记录未拦截的事件。 有关查看防护日志的详细操作,请参见查看防护日志。 父主题: 防护日志
浏览器到WAF引擎的连接超时时长默认是120秒,该值取决于浏览器的配置,该值在WAF界面不可以手动设置。 WAF到客户源站的连接超时时长默认为30秒,该值可以在WAF界面手动设置,但仅“独享模式”和“云模式”的专业版、铂金版支持手动设置连接超时时长。 在域名的基本信息页面,开启“超时配置”并单击,设置“连接超时”、“
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
