检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
用WAF快速防护网站。 WAF最佳实践 Solution as Code一键式部署类最佳实践 表1 WAF最佳实践 分类 相关文档 网站接入配置 未使用代理的网站通过CNAME方式接入WAF 使用DDoS高防和WAF提升网站全面防护能力 使用CDN和WAF提升网站防护能力和访问速度
如何测试在WAF中配置的源站IP是IPv6地址? 执行此操作前,请确认已在WAF中添加了域名并完成了域名接入。 假如已在WAF中添加域名www.example.com。通过以下方法可以测试配置的源站IP是否是IPv6地址: 在Windows中打开cmd命令行工具。 执行dig AAAA
值类型:Float 防护域名 5分钟 qps_peak QPS峰值 该指标用于统计近5分钟内防护域名的QPS峰值。 单位:次 采集方式:统计近5分钟内防护域名的QPS峰值 ≥0 次 值类型:Float 防护域名 5分钟 qps_mean QPS均值 该指标用于统计近5分钟内防护域名的QPS均值。
建议用户将开源组件Fastjson升级到1.2.60版本。 防护建议 WAF支持对该漏洞的检测和防护,步骤如下: 购买WAF。 将网站域名添加到WAF中并完成域名接入,详细的操作请参见添加防护域名。 将Web基础防护的状态设置为“拦截”模式,具体方法请参见配置Web基础防护规则。
Web应用防火墙是否支持多个账号共享使用? WAF是如何计算域名个数的? 防护规则条数不够用时,如何处理? 如果流量超过Web应用防火墙的业务请求限制,该如何处理? QPS超过当前WAF版本支持的峰值时有什么影响? 续费时如何变更Web应用防火墙的规格? 如何购买域名扩展包/QPS扩展包/规则扩展包? 购买WAF时如何选择业务QPS?
QPS超过当前WAF版本支持的峰值时有什么影响? 如果您选择的QPS规格不足以支撑网站/应用业务每天的流量峰值,对超出当前WAF版本支持峰值的QPS,WAF将不再防护网站,可能出现限流、随机丢包、自动Bypass等现象,导致您的正常业务在一定时间内不可用、卡顿、延迟等。 WAF各版本支持的QPS规格说明如表1所示。
云模式-标准版: 计费模式:包年/包月 域名数量:10个防护域名 QPS配额:2,000QPS业务请求 支持带宽峰值:云内100Mbps/云外30Mbps 具体的计费方式及标准请参考计费说明。 步骤一:配置WAF网页防篡改规则 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。 单击页面左上方的,选择“安全与合规
String 内容类型 表4 请求Body参数 参数 是否必选 参数类型 描述 hostname 是 String 防护网站,查询云模式防护域名列表(ListHost)接口获取防护域名,响应体中的的hostname字段 url 是 String 防篡改规则防护的url,需要填写标准的url格
Struts2远程代码执行漏洞(CVE-2021-31805)。 参考以下配置方法完成配置。 配置方法 购买WAF。 将网站域名添加到WAF中并完成域名接入,详细操作请参见添加防护域名。 将Web基础防护的状态设置为“拦截”模式,详细操作请参见配置Web基础防护规则。 父主题: 产品咨询
详细介绍,请参见如何放行回源IP段?。 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。 单击页面左上方的,选择“安全与合规 > Web应用防火墙 WAF”。 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。 在网站列表右侧上方,单击“Web应用防火墙回源IP网
如果您无法快速升级版本,或者希望防护更多其他漏洞,可以使用华为云Web应用防火墙对该漏洞进行防护,请参照以下步骤进行防护: 购买WAF。 将网站域名添加到WAF中并完成域名接入,详细操作请参见添加防护域名。 将Web基础防护的状态设置为“拦截”模式,详细操作请参见配置Web基础防护规则。 父主题: Web漏洞防护最佳实践
表4 请求Body参数 参数 是否必选 参数类型 描述 domain 是 Array of strings 防护域名或防护网站,数组长度为0时,代表规则对全部域名或防护网站生效 conditions 是 Array of CreateCondition objects 条件列表 mode
0day安全漏洞 影响范围 JDK 9及以上的。 使用了Spring框架或衍生框架。 防护建议 购买WAF。 将网站域名添加到WAF中并完成域名接入,详细操作请参见添加防护域名。 将Web基础防护的状态设置为“拦截”模式,详细操作请参见配置Web基础防护规则。 图1 Web基础防护页面
Header:响应头。 所有字段 任意子字段 自定义 包含 不包含 等于 不等于 前缀为 前缀不为 后缀为 后缀不为 包含任意一个 不包含任意一个 等于任意一个 不等于任意一个 前缀为任意一个 前缀不为任意一个 后缀为任意一个 正则匹配 -- Response Body:响应的消息体。 -- 包含
如何解决证书与密钥不匹配问题? 如何解决HTTPS请求在部分手机访问异常? 如何处理“协议不受支持,客户端和服务器不支持一般 SSL 协议版本或加密套件”? 如何解决“网站被检测到:SSL/TLS 存在Bar Mitzvah Attack漏洞”?
0day安全漏洞 影响范围 JDK 9及以上的。 使用了Spring框架或衍生框架。 防护建议 购买WAF。 将网站域名添加到WAF中并完成域名接入,详细操作请参见添加防护域名。 将Web基础防护的状态设置为“拦截”模式,详细操作请参见配置Web基础防护规则。 图1 Web基础防护页面
如果您只允许某一地区的IP访问防护域名,例如,只允许来源“上海”地区的IP可以访问防护域名,请参照以下步骤处理。 由于地理位置访问控制的优先级高于内置规则的检测,配置了该地区IP放行后,WAF将不再检测其他的Web基础防护策略,直接放行。 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。
企业项目并确保已开通操作权限,才能为该企业项目下域名配置防护策略。 前提条件 已添加防护网站或已新增防护策略。 云模式-CNAME接入的接入方式参见将网站接入WAF防护(云模式-CNAME接入)章节。 独享模式的接入方式参见将网站接入WAF防护(独享模式)章节。 约束条件 云模式
问题现象 域名接入WAF通过第三方漏洞扫描工具扫描后,扫描结果显示了域名的标准端口(例如443)和非标准端口(例如8000、8443等)。 可能原因 由于WAF的非标准端口引擎是所有用户间共享的,即通过第三方漏洞扫描工具可以检测到所有已在WAF中使用的非标准端口。域名的端口检测,
产品优势 Web应用防火墙对网站业务流量进行多维度检测和防护,降低数据被篡改、失窃的风险。 精准高效的威胁检测 采用规则和AI双引擎架构,默认集成最新的防护规则和优秀实践。 企业级用户策略定制,支持拦截页面自定义、多条件的CC防护策略配置、海量IP黑名单等,使网站防护更精准。 0day漏洞快速修复
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
