检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
配置“人机验证”CC防护规则后,验证码不能刷新,验证一直不通过,如何处理? 故障现象 在WAF上开启“CC攻击防护”,添加“防护动作”为“人机验证”的规则后,访问网站,验证码不能刷新,验证一直不通过,如图1所示。 图1 验证码一直验证不通过 配置“人机验证”后,在配置的指定时间内
一个反向代理存在于客户端和服务器之间,服务器的真实IP被隐藏起来,Web访问者只能看到WAF的IP地址。此时,您可直接通过WAF获取客户端的真实IP,也可以通过配置网站服务器获取客户端的真实IP。 本章节介绍了通过WAF直接获取真实IP的方法,以及不同类型的Web应用服务器(包括
在WAF中未开启代理,即添加域名时,“是否使用七层代理”选择了“否”,直接取“remote_ip”字段的值为真实IP。 获取客户端的真实IP的具体方法,详见获取客户端真实IP。 云模式-ELB接入 优先取“upstream”中配置的源IP头列表,即在域名的基本信息页面配置的“IP
“添加接收人”。 图1 添加接收人 在弹出的“添加接收人”对话框中,勾选已有的账号联系人或者单击“添加接收人”,填入新增消息接收人的姓名、邮箱和手机号码并单击“保存”填写的信息。 图2 添加接收人 单击“确定”。 在添加完消息接收人信息后,系统将自动发送验证信息到所填手机号和邮箱,通过验证后方可接收消息。
截但查不到拦截记录?。 网站反爬虫“js挑战”的防护动作为“仅记录”,“js验证”的防护动作为人机验证(即js验证失败后,弹出验证码提示,输入正确的验证码,请求将不受访问限制)。 WAF的JS脚本反爬虫功能只支持get请求,不支持post请求。 JS脚本反爬虫检测机制 JS脚本检
站地址”。 可能原因 “源站地址”配置为内部保留的私网IP地址。 “防护对象”和“源站地址”配置成了一样。 处理建议 将“源站地址”配置为真实的源站IP地址(公网IP地址)或单独的回源域名(回源域名不能和“防护域名”相同)。 父主题: 网站接入
个人数据保护机制 为了确保网站访问者的个人数据(例如用户名、密码、手机号码等)不被未经过认证、授权的实体或者个人获取,WAF通过加密存储个人数据、控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露,保证您的个人数据安全。 收集范围 对于触发攻击告警的请求,WAF在事件日志
默认关闭JS脚本反爬虫,单击,在弹出的“警告”提示框中,单击“确定”,开启JS脚本反爬虫。 防护动作:拦截、仅记录、人机验证(JavaScript挑战失败,弹出验证码提示,输入正确的验证码,请求将不受访问限制)。 JS脚本反爬虫依赖浏览器的Cookie机制、JavaScript解析能力,如果客户端浏览器不支持Co
JS脚本反爬虫防护数据 网站反爬虫“js挑战”的防护动作为“仅记录”,“js验证”的防护动作为人机验证(即js验证失败后,弹出验证码提示,输入正确的验证码,请求将不受访问限制)。 父主题: 防护规则
同时部署DDoS高防和WAF的配置指导 同时部署CDN和WAF的配置指导 网站防护配置建议 CDN回源OBS桶场景下连接WAF TLS协议最佳实践 源站保护最佳实践 获取访问者真实IP 02 购买 针对不同的应用场景,您可以灵活选择WAF的服务版本、域名扩展包、带宽扩展包。 服务规格 服务版本 域名扩展包 带宽扩展包
您可以添加两种类型的防敏感信息泄露规则: 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理,防止用户的敏感信息(身份证号、电话号码(11位中国境内的手机号码)、电子邮箱)泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在
通知群组 单击下拉列表选择已创建的主题或者单击“查看主题”创建新的主题,用于配置接收告警通知的终端。 单击“查看主题”创建新主题的操作步骤如下: 参见创建主题创建一个主题。 配置接收告警通知的手机号码、邮件地址、函数、平台应用的终端、DMS或HTTP(S)终端,即为创建的主题添加
防护动作:防止误拦截正常用户,选择“人机验证”。 人机验证:表示在指定时间内访问超过次数限制后弹出验证码,进行人机验证,完成验证后,请求将不受访问限制。 当用户访问超过限制后需要输入验证码才能继续访问。 其他参数根据实际情况进行配置。 图2 IP限速 在左侧导航树中,选择“防护事件”
验证、不匹配等。 人机验证:CC防护规则中,“防护动作”支持配置“人机验证”。即当访问的请求频率超过设定的“限速频率”后将弹出验证码提示,输入正确的验证码,请求将不受访问限制。 不匹配:配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后,如果访问请求命中这些防护规则,则防护日志中
清理浏览器缓存,在浏览器中访问“http://www.example.com/admin/”页面。 当您在60秒内访问页面10次,在第11次访问该页面时,页面弹出验证码。此时,您需要输入验证码才能继续访问。 返回Web应用防火墙管理控制台,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,您可以查看该防护事件。
CC攻击的防护峰值是多少? 在什么情况下使用Cookie区分用户? CC规则里“限速频率”和“放行频率”的区别? 配置“人机验证”CC防护规则后,验证码不能刷新,验证一直不通过,如何处理? 如何不拦截带有.js的文件? Web应用防火墙可以批量配置黑白名单吗? Web应用防火墙可以导入/导出黑白名单吗?
QPS(Queries Per Second)即每秒钟的请求量,例如一个HTTP GET请求就是一个Query。 发送/接收字节数:域名访问的占用带宽。 发送、接收字节数是通过request_length,upstream_bytes_received按时间进行累加统计,与EIP上
当WAF前部署CDN时,此字段记录的为CDN节点识别到的真实客户端IP。 须知: 部分CDN厂商可能使用其他字段,WAF仅记录最常见的字段。 access_log.x_real_ip string 当WAF前部署代理时,真实的客户端IP 代理节点识别到的真实客户端IP。 access_log.intel_crawler
如何配置访问控制策略保护源站安全? 获取客户端真实IP 获取客户端真实IP 介绍通过WAF直接获取真实IP的方法,以及不同类型的Web应用服务器(包括Tomcat、Apache、Nginx、IIS 6和IIS 7)如何进行相关设置,以获取客户端的真实IP。 通过CES配置WAF指标异常告警
使用LTS配置WAF规则的拦截告警 源站安全配置 使用WAF提升客户端访问域名的通道安全 使用ECS/ELB访问控制策略保护源站安全 获取客户端真实IP 获取客户端真实IP 通过CES配置WAF指标异常告警 使用CES配置WAF指标异常告警 安全与治理 Web网站基础安全防护 基于开源Modsecurity构建WAF
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
