检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
WAF最佳实践汇总 本文汇总了Web应用防火墙(WAF)服务的常见应用场景,并为每个场景提供详细的方案描述和操作指南,以帮助您使用WAF快速防护网站。 WAF最佳实践 Solution as Code一键式部署类最佳实践 表1 WAF最佳实践 分类 相关文档 网站接入配置 未使用代理的网站通过CNAME方式接入WAF
约束与限制 本节介绍Web应用防火墙WAF服务在使用过程中的约束和限制。 防护对象限制 表1 防护对象限制 接入方式 防护对象 云模式-CNAME接入 仅支持防护域名 支持防护华为云、非华为云或云下的Web业务 云模式-ELB接入 支持防护域名 支持防护IP 仅支持防护华为云的Web业务
手动续费 包年/包月WAF从购买到被自动删除之前,您可以随时在WAF控制台为WAF续费,以延长WAF的使用时间。 在云服务控制台续费 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。 单击页面左上方的,选择“安全与合规 > Web应用防火墙 WAF”,进入“安全总览”页面。
网站接入后推荐配置 配置PCI DSS/3DS合规与TLS 开启IPv6防护 开启HTTP2协议 配置WAF到网站服务器的连接超时时间 开启熔断保护功能保护源站安全 配置攻击惩罚的流量标识 配置Header字段转发 修改拦截返回页面 开启Cookie安全属性 父主题: 网站设置
WAF计费模式概述 Web应用防火墙云模式支持包年/包月(预付费)计费方式,独享模式支持按需计费(后付费)计费方式。如您需要快速了解WAF服务不同计费模式的具体价格,请参见WAF价格详情。 包周期(包年/包月):云模式计费模式,使用越久越便宜。包周期计费按照订单的购买周期来进行结算。
计费项 WAF根据购买方式和计费模式进行计费。 计费说明 如您需要快速了解WAF服务的具体价格,请参见WAF价格详情。 图1 WAF的计费方式 表1 计费项信息 购买模式 计费模式 计费项目 计费说明 云模式 包周期(包年/包月) 服务版本(必选) 按购买的服务版本:入门版、标准版、专业版、铂金版计费。
API概览 通过使用WAF提供的接口,您可以完整地使用WAF的所有功能。 类型 说明 云模式防护网站API接口 云模式域名接口,包括创建、修改、查询以及删除域名等接口。 独享模式防护网站API接口 独享模式域名接口,包括创建、修改、查询以及删除域名等接口。 防护策略API接口 防
配置“人机验证”CC防护规则后,验证码不能刷新,验证一直不通过,如何处理? 故障现象 在WAF上开启“CC攻击防护”,添加“防护动作”为“人机验证”的规则后,访问网站,验证码不能刷新,验证一直不通过,如图1所示。 图1 验证码一直验证不通过 配置“人机验证”后,在配置的指定时间内
高阶功能 配置内容安全检测
Web基础防护支持设置哪几种防护等级? Web基础防护设置了三种防护等级,默认为“中等”。防护等级相关说明如表1所示。 表1 防护等级说明 防护等级 说明 默认规则集【宽松】 防护粒度较粗,只拦截攻击特征比较明显的请求。 当误报情况较多的场景下,建议选择“宽松”模式。 默认规则集【中等】
WAF转发和Nginx转发有什么区别? WAF转发和Nginx转发的主要区别为Nginx是直接转发访问请求到源站服务器,而WAF会先检测并过滤恶意流量,再将过滤后的访问请求转发到源站服务器,详细说明如下: WAF转发 网站接入WAF后,所有访问请求将先经过WAF,WAF通过对HT
切换防护模式 网站接入WAF防护后,默认开启WAF防护,WAF会根据您配置的防护策略进行流量检测。如果大量的正常业务被拦截,比如大量返回418返回码,可以暂停防护。暂停防护后,WAF对所有的流量请求只转发不检测,日志也不会记录。 如果您已开通企业项目,您需要在“企业项目”下拉列表
云审计服务支持的WAF操作列表 云审计服务(Cloud Trace Service,CTS)记录了Web应用防火墙相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见云审计服务用户指南。 表1 云审计服务支持的WAF操作列表 操作名称 资源类型 事件名称 创建云模式域名 instance
API 云模式防护网站管理 独享模式防护网站管理 防护策略管理 策略规则管理 地址组管理 证书管理 防护事件管理 安全总览 局点支持特性查询 独享实例管理 日志配置管理 租户订购管理 租户域名查询 租户防护域名管理 系统管理 告警管理
计费FAQ Web应用防火墙可以免费使用吗? Web应用防火墙如何收费? Web应用防火墙服务到期后还能防护域名吗? 如何退订Web应用防火墙? 退订后重购WAF,原配置数据可以保存吗? 如何查看Web应用防火墙的到期时间? 购买内容安全检测服务后,什么时候扣费?
网站接入配置 未使用代理的网站通过CNAME方式接入WAF 使用DDoS高防和WAF提升网站全面防护能力 使用CDN和WAF提升网站防护能力和访问速度 使用独享WAF和7层ELB以防护任意非标端口 CDN回源OBS桶场景下连接WAF提升OBS安全防护 使用WAF、ELB和NAT网关防护云下业务
哪些版本支持IPv6防护? WAF支持IPv6防护,详细说明如下: 云模式的CNAME接入的专业版和铂金版支持IPv6的防护。 独享模式/云模式-ELB接入没有公网IP,公网IP绑定在ELB的弹性公网IP上 ,如果独享模式/云模式-ELB接入所在的ELB支持IPv6,那么独享模式/云模式-ELB接入也支持IPv6。
如何购买域名扩展包/QPS扩展包/规则扩展包? 购买WAF云模式的标准版、专业版和铂金版时,您可以选择购买域名扩展包、QPS扩展包或规则扩展包。同时也可以在产品信息页面单独购买扩展包。 有关扩展包的详细介绍,请参见扩展包说明。 入门版不支持购买扩展包。 WAF独享模式不支持购买扩
通过CC攻击防护规则拦截大流量高频攻击 CC(Challenge Collapsar,以下简称CC)防护对单Web应用访问者IP或者Cookie键值进行访问频率限制,超过限制时通过人机识别或阻断访问,阻断页面可自定义内容和类型,满足业务多样化需要。 在大规模CC攻击中,单台傀儡机
业务使用了IPv6,WAF中的源站地址如何配置? 如果域名已接入了WAF(源站地址配置为IPv4地址)进行防护,当业务开启了IPv6时,WAF中配置的源站地址可以保持原IPv4地址,也可以修改为IPv6地址。 WAF支持IPv6/IPv4双栈模式和NAT64机制,详细说明如下:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
