检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
方案二:通过IP限速限制网站访问频率 当WAF与访问者之间并无代理设备时,通过源IP来检测攻击行为较为精确,此时建议直接使用IP限速的方式进行访问频率限制。
此时,“header全检测”必须开启拦截模式,才可以拦截此类攻击。 第二种攻击方式对第一种有依赖,所以是否要开启“header全检测”,您可以根据您的业务需求进行选择。
不做攻击检测 1:开启防护,WAF根据您配置的策略进行攻击检测 状态码: 400 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误信息 encoded_authorization_message String
OBS 2.0支持 WAF引擎检测机制 WAF内置的防护规则,可帮助您防范常见的Web应用攻击,包括XSS攻击、SQL注入、爬虫检测、Webshell检测等,内置的检测流程如下图所示。
否 access_log.process_time string 引擎的检测用时(单位:ms) - access_log.args string 标识URL中的参数数据 - access_log.x_forwarded_for string 当WAF前部署代理时,代理节点IP链
WAF对请求的首部和body体都会进行检测。例如body的表单、xml、json等数据都会被WAF检测,WAF通过检测对不符合防护规则的请求内容进行拦截。 有关WAF防护流程的详细介绍,请参见配置引导。 Web应用防火墙是否支持文件缓存?
按类别 不检测规则ID 当“不检测规则类型”选择“按ID”时,需要配置此参数。 “防护事件”列表中事件类型为非自定义规则的攻击事件所对应的规则编号。建议您直接在防护事件页面进行误报处理。 041046 不检测规则类别 当“不检测规则类型”选择“按类别”时,需要配置此参数。
深度检测 深度反逃逸识别(支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护)。 header全检测 支持对请求里header中所有字段进行攻击检测。
图6 服务器配置 检测各个源站是否能正常访问。 在主机上执行以下命令进行检测。
同时,“常规检测”已开启。 有关配置Web基础防护的详细操作,请参见配置Web基础防护规则。 下载并安装Postman。 在Postman上设置请求路径为“/product”,参数ID为普通测试脚本,防护网站的访问请求被拦截。 处理误报事件。 登录管理控制台。
配置网页防篡改规则避免静态网页被篡改 网站接入WAF后,您可以通过设置网页防篡改规则,锁定需要保护的网站页面(例如敏感页面)。当被锁定的页面在收到请求时,返回已设置的缓存页面,预防源站页面内容被恶意篡改。 如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限
表4 请求Body参数 参数 是否必选 参数类型 描述 protect_status 是 Integer 域名防护状态: 0:暂停防护,WAF只转发该域名的请求,不做攻击检测 1:开启防护,WAF根据您配置的策略进行攻击检测 响应参数 状态码: 200 表5 响应Body参数 参数
适用计费项 独享模式:实例个数 内容安全检测服务:一次性计费 计费周期 按需计费WAF资源按秒计费,每一个小时整点结算一次费用(以UTC+8时间为准),结算完毕后进入新的计费周期。计费的起点以WAF实例创建成功的时间点为准,终点以实例删除时间为准。
hostname 否 String 域名 policyname 否 String 策略名称 protect_status 否 Integer 域名防护状态: 0:暂停防护,WAF只转发该域名的请求,不做攻击检测 1:开启防护,WAF根据您配置的策略进行攻击检测 请求参数 表3 请求
1:开启防护,WAF根据您配置的策略进行攻击检测 access_status Integer 接入状态,0: 未接入,1:已接入 exclusive_ip Boolean 是否使用用户独享的引擎公网ip,该参数为预留参数,用于后续功能扩展,用户可忽略 true:使用独享ip false
配置防敏感信息泄露规则避免敏感信息泄露 您可以添加两种类型的防敏感信息泄露规则: 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理,防止用户的敏感信息(身份证号、电话号码(11位中国境内的手机号码)、电子邮箱)泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 如果您已开通企业项目
如何处理Appscan等扫描器检测结果为Cookie缺失Secure/HttpOnly? 如何拦截4层链接对应的IP?
在“精准访问防护配置”页面,设置“检测模式”。 精准访问防护规则提供了两种检测模式: 短路检测:当用户的请求符合精准防护中的拦截条件时,便立刻终止检测,进行拦截。
更新网站绑定的证书 当防护网站的部署模式为“云模式-CNAME接入”或“独享模式”且“对外协议”为“HTTPS”时,您需要上传证书使证书绑定到防护网站。 如果您的证书即将到期,为了不影响网站的使用,建议您在到期前重新使用新的证书,并在WAF中同步更新网站绑定的证书。 WAF支持证书过期时发送告警通知
导出网站设置列表 在Web应用防火墙的网站设置页面,可以导出该账号下添加到WAF的所有网站设置信息。 前提条件 防护网站已接入WAF 导出网站设置列表 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。 单击页面左上方的,选择“安全与合规 > Web应用防火墙 WAF”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
