检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
目,则不能选择使用SCM推送的SSL证书。 添加防护网站或更新证书时导入的新证书,将直接添加到“证书管理”页面的证书列表中,且导入的新证书会统计到创建的证书套数中。 应用场景 当域名的“对外协议”设置为“HTTPS”时,需要配置证书。 上传证书 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。
为什么华为云SCM上的SSL证书在WAF上不能查看? 华为云SCM上的SSL证书签发后或成功上传后,您需要将证书一键推送到WAF中,才能在华为云WAF中使用。 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目,则不能使用SCM推送的SSL证书。 有关推送S
后的详细拒绝原因,用户可以自行调用 STS 服务的decode-authorization-message接口进行解码,可参考STS5联调自验证。IAM5鉴权错误时才会返回此字段。 details Array of IAM5ErrorDetails objects 调用下游服务的报
配置“人机验证”CC防护规则后,验证码不能刷新,验证一直不通过,如何处理? 故障现象 在WAF上开启“CC攻击防护”,添加“防护动作”为“人机验证”的规则后,访问网站,验证码不能刷新,验证一直不通过,如图1所示。 图1 验证码一直验证不通过 配置“人机验证”后,在配置的指定时间内
project_id 是 String 项目ID,对应控制台用户名->我的凭证->项目列表->项目ID certificate_id 是 String https证书id,您可以通过调用查询证书列表(ListCertificates)接口获取证书id 表2 Query参数 参数 是否必选 参数类型 描述
openssl x509 -inform der -in cert.cer -out cert.pem 执行openssl命令前,请确保本地已安装openssl。 如果本地为Windows操作系统,请进入“命令提示符”对话框后,再执行证书转换命令。 “更新方式”选择“选择已有证书”时,在“证书”下拉框中选择已有的证书。
project_id 是 String 项目ID,对应控制台用户名->我的凭证->项目列表->项目ID certificate_id 是 String https证书id,您可以通过调用查询证书列表(ListCertificates)接口获取证书id 表2 Query参数 参数 是否必选 参数类型 描述
如何处理“协议不受支持,客户端和服务器不支持一般 SSL 协议版本或加密套件”? 现象 域名接入WAF后,不能正常访问网站,提示“协议不受支持,客户端和服务器不支持一般 SSL 协议版本或加密套件”。 解决办法 建议您在TLS配置里,将“加密套件”切换为“默认加密套件”,具体操作请参见配置PCI
如果证书已绑定防护网站,删除证书前需要解除该证书与域名绑定关系。 系统影响 删除证书不会影响业务。 证书删除后不可恢复,请谨慎删除证书。 删除证书 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。 单击页面左上方的,选择“安全与合规 > Web应用防火墙 WAF”。 在左侧导航树中,选择“对象管理
使用Postman工具模拟业务验证全局白名单规则 应用场景 当防护网站成功接入WAF后,您可以使用接口测试工具模拟用户发起各类HTTP(S)请求,以验证配置的WAF防护规则是否生效,即验证配置防护规则的防护效果。本实践以Postman工具为例,说明如何验证全局白名单规则。 应用示例
Chrome最新版本一般是支持自动验证信任链,以华为的证书为例,手工构造完整的证书链步骤如下: 查看证书并导出证书。 单击浏览器前的锁,可查看证书状况。 图1 查看证书 在“连接是安全的”所在行,单击,并单击“证书有效”。 选择“详细信息”页签,在页面右下角单击“导出”,将证书导出到本地。 查看证书链
单击“确认”,TLS配置完成。 效果验证 假定“最低TLS版本”配置为“TLS v1.2”,验证TLS v1.2协议可以正常访问网站,验证TLS v1.1及以下协议不能正常访问网站。 您可以在本地通过命令行方式,验证TLS是否配置成功。在验证前,请确保您本地已安装openssl。 复制防
用户在浏览器输入域名后,客户端会向DNS发送请求,查询域名解析地址。 DNS返回域名解析地址。 如果无代理(例如CDN、DDos高防等),DNS返回的域名解析地址为ELB的公网IP地址,客户端通过该公网IP访问ELB。如果存在代理: DNS返回的域名解析地址为代理IP,客户端通过代理IP访问代理。
码)为16次,“js验证”(WAF完成JS验证)为2次,“其他”(即爬虫伪造WAF认证请求)为0次。 图2 JS脚本反爬虫防护数据 网站反爬虫“js挑战”的防护动作为“仅记录”,“js验证”的防护动作为人机验证(即js验证失败后,弹出验证码提示,输入正确的验证码,请求将不受访问限制)。
完成以上操作后,勾选“已完成回源IP加白”。 步骤三:本地验证 您可以修改本地计算机的hosts文件,设置本地计算机的域名寻址映射(仅对本地计算机生效的DNS解析记录),在本地计算机上将网站域名的解析指向WAF的IP地址。这样就可以通过本地计算机访问被防护的域名,验证WAF中添加的域名接入设置是否正确
战”,③称为“js验证”。 图1 JS脚本检测流程说明 开启JS脚本反爬虫后,当客户端发送请求时,WAF会返回一段JavaScript代码到客户端。 如果客户端是正常浏览器访问,就可以触发这段JavaScript代码再发送一次请求到WAF,即WAF完成js验证,并将该请求转发给源站。
只允许来自WAF的访问请求访问您的源站,这样既可保证访问不受影响,又能防止源站IP暴露后被黑客直接攻击。 本地验证 添加域名后,为了确保WAF转发正常,建议您先通过本地验证确保一切配置正常,然后再修改DNS解析。 修改域名DNS解析设置 域名在接入WAF前未使用代理 到该域名的DNS服务商处,配置防护域名的别名解析。
议、源站地址、源站端口和权重。 对外协议:客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议:Web应用防火墙转发客户端请求的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站地址:客户端访问的网站服务器的公网IP地址(一般对应该
码)为16次,“js验证”(WAF完成JS验证)为2次,“其他”(即爬虫伪造WAF认证请求)为0次。 图2 JS脚本反爬虫防护数据 网站反爬虫“js挑战”的防护动作为“仅记录”,“js验证”的防护动作为人机验证(即js验证失败后,弹出验证码提示,输入正确的验证码,请求将不受访问限制)。
如何接入WAF? Web应用防火墙如何配置CC防护规则? 如何配置对外协议与源站协议? 如何在启用Web应用防火墙后获取访问者真实IP? 如何在本地测试Web应用防火墙? 未配置子域名和TXT记录的影响? Web应用防火墙如何对误报进行处理? Web应用防火墙支持哪些非标准端口? 如何放行WAF回源IP段?
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
