检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
subnet-62bb IP地址 实例所在业务VPC的子网IP地址。 192.168.0.186 接入状态 实例的接入状态。 已接入 运行状态 实例的运行状态。 运行中 版本 独享引擎版本。 202304 模式 实例的部署模式。 标准模式(反向代理) 规格 实例的资源规格。 8vCPUs |
WAF可以通过配置CC攻击防护规则,限制单个Cookie字段特定路径(URL)的访问频率,精准识别CC攻击以及有效缓解CC攻击。例如,您可以通过配置CC攻击规则,使Cookie标识为name的用户在60秒内访问域名的“/admin*”页面超过10次时,封禁该用户访问域名600秒。 有关配置CC攻击防护规则的详细操作,请参见配置CC攻击防护规则。
方案架构 通常情况下,网站访问并不是简单地从用户的浏览器直达服务器,中间可能部署有CDN、WAF、高防等代理服务器(架构为“用户 > CDN/WAF/高防等代理服务 > 源站服务器”)。以WAF为例,部署示意图如图1所示。 图1 部署WAF原理图 当网站没有接入到WAF前,DNS直接解析到源站的IP,用户直接访问服务器。
要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 WAF部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域对应的项目中设置相关权限
您也可以在域名接入后根据防护需求配置防护规则。 表1 系统自动生成策略说明 版本 防护策略 策略说明 云模式:入门版、标准版 Web基础防护(“仅记录”模式、常规检测) 仅记录SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击行为。
IPv4流量。WAF使用IPv4回源地址和源站发起连接。 图2 源站地址只有IPv4时 前提条件 防护网站已接入WAF 约束条件 防护网站的部署模式为“云模式-CNAME接入”。 仅专业版和铂金版支持IPv6防护。 支持IPv6防护的区域请参考功能总览。 当源站存在IPv6地址,
清理浏览器缓存,在浏览器中输入防护域名,测试网站域名是否能正常访问。 不能正常访问,参照步骤一:创建独享型负载均衡器~步骤四:通过云模式-ELB接入方式将域名添加到WAF进行防护章节重新完成域名接入。 能正常访问,执行2。 清理浏览器缓存,在浏览器中输入“http://www.example
ce_id的域名下的两个源站服务器,第一个源站服务器的IP地址是x.x.x.x,端口号是80,源站地址是ipv4的,源站权重是1,客户端请求访问防护域名源站服务器的协议和WAF转发客户端请求到防护域名源站服务器的协议都是HTTP协议;第二个源站服务器的IP地址是x.x.x.x,端
String 引擎实例id name String 引擎实例名 accessed Boolean 引擎实例是否已接入,false:未接入;true:已接入 表9 WafServer 参数 参数类型 描述 front_protocol String 客户端请求访问防护域名源站服务器的协议 back_protocol
其后端服务器,不再经过WAF 0:暂停防护,WAF只转发该域名的请求,不做攻击检测 1:开启防护,WAF根据您配置的策略进行攻击检测 access_status Integer 域名接入状态,0表示未接入,1表示已接入 exclusive_ip Boolean 是否使用用户独享的
数 “请求次数”中统计的次数为网站的PV(Page Views)值,即用户每次访问网站,在某个时间内被访问的页面总数。 “攻击次数”中统计的次数为网站被各类型攻击的总次数。 各攻击类型统计的次数为用户每次访问网站,在某个时间内被该类型攻击的页面总数。 单击“查看网站TOP统计”,
最低TLS版本和加密套件来确保网站安全。 通过ECS/ELB访问控制策略保护源站安全 介绍源站服务器部署在华为云弹性云服务器(以下简称ECS)、或华为云弹性负载均衡(以下简称ELB)时: 如何判断源站是否存在泄漏风险? 如何配置访问控制策略保护源站安全? 获取客户端真实IP 获取客户端真实IP
过的风险。 防网页篡改 攻击者利用黑客技术,在网站服务器上留下后门或篡改网页内容,造成经济损失或带来负面影响。用户可通过Web应用防火墙配置网页防篡改规则,以实现: 挂马检测 检测恶意攻击者在网站服务器注入的恶意代码,保护网站访问者安全。 页面不被篡改 保护页面内容安全,避免攻击
String 引擎实例id name String 引擎实例名 accessed Boolean 引擎实例是否已接入,false:未接入;true:已接入 表8 WafServer 参数 参数类型 描述 front_protocol String 客户端请求访问防护域名源站服务器的协议 back_protocol
单规则。 地理位置访问控制(拦截模式):封禁来自特定区域的访问或者允许特定区域的来源IP的访问,解决部分地区高发的恶意请求问题。可针对指定国家、地区的来源IP自定义访问控制。 操作导航:在“防护策略”页面,单击策略名称,进入“防护配置”页面,选择“地理位置访问控制”区域,添加规则
xss:XSS攻击 robot:恶意爬虫 rfi:远程文件包含 custom_custom:精准防护 cc: cc攻击 webshell:网站木马 custom_whiteblackip:黑白名单拦截 custom_geoip:地理访问控制拦截 antitamper:防篡改 anticrawler:反爬虫
务的变化和扩张需求,极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 有关CFW的详细介绍,请参见什么是云防火墙。 防护机制 网站成功接入WAF后,WAF作为一个反向代理存在于客户端和服务器之间,网站所有访问请求将先流转到WAF,WAF检测
护。 如果各子域名对应的服务器IP地址相同:配置防护的泛域名。例如:子域名a.example.com,b.example.com和c.example.com对应的服务器IP地址相同,可以直接添加泛域名*.example.com。 如果各子域名对应的服务器IP地址不相同:请将子域名按“单域名”方式逐条配置。
填写需要防护的域名对应的业务端口。 服务器配置 对外协议:客户端请求访问服务器的协议类型。包括HTTP、HTTPS两种协议类型。 源站协议:Web应用防火墙转发客户端请求的协议类型。包括HTTP、HTTPS两种协议类型。 源站地址:填写网站对应的源站服务器的公网IP地址或源站域名,用于
WAF默认放行所有的IP地址,如果您发现您的网站存在恶意IP访问,可通过WAF的黑白名单设置规则拦截恶意IP。 本场景以WAF云模式-ELB接入方式为例,介绍如何通过黑白名单设置规则拦截恶意IP流量。 接入方式:云模式-ELB接入 防护对象:域名/IP 计费模式:包年/包月 版本规格:标准版
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
