检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
20年全面停止支持TLS v1.0和TLS v1.1。 您可以通过查看网站TLS版本,检测网站支持的TLS版本。 加密套件 加密套件是多种加密算法的集合。配置安全性更高的加密套件,可以保障网站的保密性和数据完整性。 资源与成本规划 表1 资源和成本规划 资源 资源说明 每月费用 Web应用防火墙
1 : 宽松,防护粒度较粗,只拦截攻击特征比较明显的请求。当误报情况较多的场景下,建议选择“宽松”模式。 2:中等,默认为“中等”防护模式,满足大多数场景下的Web防护需求。 3:严格,防护粒度最精细,可以拦截具有复杂的绕过特征的攻击请求,例如jolokia网络攻击、探测CGI漏洞、探测
到1中创建的负载均衡器的弹性公网IP上。 域名:支持单域名和泛域名。 单域名:输入防护的单域名。例如:www.example.com。 泛域名 如果各子域名对应的服务器IP地址相同:输入防护的泛域名。例如:子域名a.example.com,b.example.com和c.example
/admin*”。 精准匹配:需要防护的路径需要与此处填写的路径完全相等。例如,需要防护的路径为“/admin”,该规则必须填写为“/admin”。 说明: 该路径不支持正则,仅支持前缀匹配和精准匹配的逻辑。 路径里不能含有连续的多条斜线的配置,如“///admin”,访问时,引擎会将“///”转为“/”。
源IP的访问控制策略。 什么是回源IP? 回源IP是WAF用来代理客户端请求服务器时用的源IP,在服务器看来,接入WAF后所有源IP都会变成WAF的回源IP,而真实的客户端地址会被加在HTTP头部的XFF字段中。 WAF的回源IP会因为扩容/新建集群而增加,对于一个客户的存量域名
务流量超出业务请求限制所产生的影响。 如何选择QPS扩展包? 购买WAF时,您需要提前考虑准备通过WAF配置防护的所有站点的日常入方向和出方向总流量的峰值,确保您选购的WAF所对应的业务带宽限制大于入、出方向总流量峰值中较大的值。 一般情况下,出方向的流量会比较大。 您可以参考云
放行独享引擎回源IP 源站服务器上的安全软件很容易认为独享引擎的回源IP是恶意IP,有可能触发屏蔽WAF回源IP的操作。一旦WAF的回源IP被屏蔽,WAF的请求将无法得到源站的正常响应,因此,网站以“独享模式”接入WAF防护后,您需要在源站服务器上设置放行创建的独享引擎实例对应的子网IP,不然可能会出现网站打不开或打开极其缓慢等情况。
请及时清理主机中的重要数据、关停主机中的重要业务并断开主机与外部网络的连接,避免因主机遭受攻击而承担不必要的损失。 执行关闭网页防篡改操作后,防护目录下的文件将不再受“网页防篡改”功能的防护,建议您提前处理防护目录下的文档,再对文档执行暂停防护、编辑或删除的相关操作。 执行关闭
example.com等)和泛域名(例如,*.example.com)。 www.example.com 防护端口 需要防护的域名对应的业务端口。 标准端口 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、源站地址、源站端口和权重。 对外协议:客户端请求访问服务器的协议类型。包括“
} else { fmt.Println(err) } } 更多编程语言的SDK代码示例,请参见API Explorer的代码示例页签,可生成自动对应的SDK代码示例。 状态码 状态码 描述 200 请求成功 400 请求失败 401 token权限不足
客户端请求访问防护域名源站服务器的协议 back_protocol String WAF转发客户端请求到防护域名源站服务器的协议 weight Integer 源站权重,负载均衡算法将按该权重将请求分配给源站,默认值是1,云模式的冗余字段 address String 客户端访问的源站服务器的IP地址 port
(nginx通过Host和SNI分辨),会有一定几率出现A域名的请求转发到B域名的后端,所以会出现404。 处理建议:修改域名在WAF的后端配置,不同的域名走不同的源站端口进行规避。 如果访问网站时,返回的不是图2所示的404页面,原因和处理建议说明如下: 原因:网站页面不存在或已删除。
引用表描述 values Array of strings 引用表的值 producer Integer 引用表来源: 1:表示来源于用户手动创建 2:表示来源于智能访问控制自动创建 timestamp Long 创建规则的时间,格式为13位毫秒时间戳 状态码: 400 表5 响应Body参数
默认支持(无需手动配置) 单击“下一步”,根据界面提示,完成WAF回源IP加白、本地验证和修改域名DNS解析设置的配置操作。 图2 添加域名完成 步骤三:防护规则迁移 阿里云WAF和华为云WAF规则的对应参照表3所示。 表3 防护规则对应表 阿里云 华为云 参考文档 基础防护规则 Web基础防护
“全局计数”:根据不同的限速模式,将已经标识的请求在一个或多个WAF节点上的计数聚合。默认为每WAF节点单独计数,开启后本区域所有节点合并计数。选择“用户限速”时,此时标识的请求可能会访问到不同的WAF节点,开启全局计数后,将请求访问的一个或多个WAF节点访问量聚合,达到全局统计的目的。 防护动作:选择“阻断”模式。
防护网站部署模式为“云模式-ELB接入”时,不支持“重定向”模板。 “自定义”的拦截返回页面支持配置text/html、text/xml和application/json三种页面类型的页面内容。 “重定向”地址的根域名必须和当前被防护的域名(包括泛域名)保持一致。例如,被防护的域名为www.example.com,端
} else { fmt.Println(err) } } 更多编程语言的SDK代码示例,请参见API Explorer的代码示例页签,可生成自动对应的SDK代码示例。 状态码 状态码 描述 200 请求成功 400 请求失败 401 token权限不足
防护网站配置了一个或多个源站地址时,WAF支持配置多源站间的负载均衡算法,WAF支持的算法如下: 源IP Hash:将某个IP的请求定向到同一个服务器。 加权轮询:所有请求将按权重轮流分配给源站服务器,权重越大,回源到该源站的几率越高。 Session Hash:将某个Session标识的请求定向到同一个源站服务
0业务接入WAF防护,则源站的HTTP 2.0特性将会受到影响,例如,源站HTTP 2.0的多路复用特性可能失效,造成源站业务请求量上升。 WAF中的防SQL注入攻击和DBSS中的SQL注入的区别? WAF支持对SQL注入攻击进行防护,防止恶意SQL命令的执行。具体的防护检测原理参见WAF针对SQL注入攻击的检测原理。
常规防护 帮助用户防护常见的Web安全问题,比如命令注入、敏感文件访问等高危攻击。 电商抢购秒杀防护 当业务举办定时抢购秒杀活动时,业务接口可能在短时间承担大量的恶意请求。Web应用防火墙可以灵活设置CC攻击防护的限速策略,能够保证业务服务不会因大量的并发访问而崩溃,同时尽可能地给正常用户提供业务服务。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
