检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
WAF对SQL注入、XSS跨站脚本和PHP注入攻击的检测原理? SQL(Structured Query Language)注入攻击是一种常见的Web攻击方法,攻击者通过把SQL命令注入到数据库的查询字符串中,最终达到欺骗服务器执行恶意SQL命令的目的。例如,可以从数据库获取敏感信息
方案概述 应用场景 当客户发现网站处理速度下降,网络带宽占用过高时,很有可能已经遭受CC攻击,此时可查看Web服务器的访问日志或网络连接数量,如果访问日志或网络连接数量显著增加,则可确定已遭受CC攻击,可以按照以下策略进行配置,利用WAF阻断CC攻击,保障网站业务的正常运行。 WAF
使用WAF、ELB和NAT网关防护云下业务 应用场景 WAF云模式-ELB接入默认只支持云上业务,当您的源站服务器在云下时,需要通过NAT网关进行流量转发,将您的流量由华为云内网回源到源站的公网IP,再通过云模式-ELB接入方式将网站接入WAF,实现流量检测。 方案架构 图1 方案架构
域名接入Web应用防火墙后,能通过IP访问网站吗? 域名接入到Web应用防火墙后,可以直接在浏览器的地址栏输入源站IP地址进行访问。但是这样容易暴露您的源站IP,使攻击者可以绕过Web应用防火墙直接攻击您的源站。 Web应用防火墙(Web Application Firewall,
配置网站反爬虫防护规则防御爬虫攻击 您可以通过配置网站反爬虫防护规则,防护搜索引擎、扫描器、脚本工具、其它爬虫等爬虫,以及自定义JS脚本反爬虫防护规则。 如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名配置防护策略
如何设置使流量不经过WAF,直接访问源站? 当防护网站的“部署模式”为“云模式-CNAME接入”或“独享模式”时,您可以通过以下方式,使访问防护网站的流量不经过WAF,直接访问源站。 云模式-CNAME接入 到DNS服务商处将域名重新解析,指向源站服务器IP地址。 独享模式 当网站的部署架构如图
JS脚本反爬虫的检测机制是怎么样的? JS脚本检测流程如图1所示,其中,①和②称为“js挑战”,③称为“js验证”。 图1 JS脚本检测流程说明 开启JS脚本反爬虫后,当客户端发送请求时,WAF会返回一段JavaScript代码到客户端。 如果客户端是正常浏览器访问,就可以触发这段
开启JS脚本反爬虫后,为什么客户端请求获取页面失败? 开启JS脚本反爬虫后,当客户端发送请求时,WAF会返回一段JavaScript代码到客户端。如果客户端是正常浏览器访问,就可以触发这段JavaScript代码再发送一次请求到WAF,即WAF完成JS验证,并将该请求转发给源站,如图
购买WAF独享模式 如果您的业务服务器部署在华为云,您可以通过购买WAF独享引擎实例对重要的域名或仅有IP的Web服务进行防护。购买独享引擎实例后,您还需要为实例配置弹性负载均衡,弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力,同时通过消除单点故障提升应用系统的可用性。 独享模式支持按需计费模式
本地文件包含和远程文件包含是指什么? 您可以在WAF的防护事件中查看文件包含等安全事件,快速定位攻击源或对攻击事件进行分析。 文件包含是指程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需再次编写,这种文件调用的过程一般被称为文件包含。文件包含分为本地文件包含和远程文件包含
添加域名时,防护网站端口需要和源站端口配置一样吗? 端口为实际防护网站的端口,源站端口是WAF转发客户端请求到服务器的业务端口。两者不用配置为一样,端口配置说明如下: “对外协议”选择“HTTP”时,WAF默认防护“80”标准端口的业务;“对外协议”选择“HTTPS”时,WAF默认防护
功能总览 功能总览 全部 Web应用防火墙 云模式 独享模式 ELB模式 域名接入WAF 告警通知 非标准端口防护 IPv6防护 WAF引擎检测机制 Web基础防护 CC攻击防护 精准访问防护 黑白名单设置 攻击惩罚设置 地理位置访问控制 网页防篡改 网站反爬虫 防敏感信息泄露 误报处理
计费样例 Web应用防火墙云模式支持包年/包月(预付费)计费方式,独享模式支持按需计费(后付费)计费方式。 计费场景 某用户于2023/05/01 15:50:00购买了Web应用防火墙云模式的专业版,并分别购买了一个域名扩展包、QPS扩展包和规则扩展包。购买时长为一个月,一个月后又手动续费了一个月
错误码 当您调用API时,如果遇到“APIGW”开头的错误码,请参见API网关错误码进行处理。 状态码 错误码 错误信息 描述 处理措施 400 WAF.00011001 bad.request 非法请求 检查入参 400 WAF.00011002 url.param.illegal
如何排查404/502/504错误? 网站接入WAF防护之后,如果您访问网站时出现404 Not Found、502 Bad Gateway,504 Gateway Timeout等错误,请参考以下方法解决。 404 Not Found错误排查思路和处理建议 网站接入WAF后,访问网站时出现
获取客户端真实IP 应用场景 客户端IP指的是访问者(用户设备)的IP地址。在Web应用开发中,通常需要获取客户端真实的IP地址。例如,投票系统为了防止刷票,需要通过获取客户端真实IP地址,限制每个客户端IP地址只能投票一次。 当您的网站已接入Web应用防火墙(Web Application
如何处理523错误码问题? 523错误码是由于同一个访问请求四次经过了WAF引起,为了避免出现死循环现象,WAF会拦截该请求。如果您在访问网站时出现了523错误码问题,请先梳理流量图,查出流量串接多个华为云WAF的原因。 可能导致523错误码的示例流量图如下: 原因一:将同一个网站接入
使用独享WAF和7层ELB以防护任意非标端口 应用场景 如果您需要防护WAF支持的端口以外的非标端口,可参考本章节配置WAF的独享模式和7层ELB联动,可实现任意端口业务的防护。 方案架构 假设需要将“www.example.com:9876”配置到WAF进行防护,但WAF不支持“
通过黑白名单设置拦截网站恶意IP流量 WAF默认放行所有的IP地址,如果您发现您的网站存在恶意IP访问,可通过WAF的黑白名单设置规则拦截恶意IP。 本场景以WAF云模式-ELB接入方式为例,介绍如何通过黑白名单设置规则拦截恶意IP流量。 接入方式:云模式-ELB接入 防护对象:域名
配置地理位置访问控制规则拦截/放行特定区域请求 网站接入Web应用防火墙后,您可以设置地理位置访问控制规则,WAF通过识别客户端访问请求的来源区域,一键封禁来自特定区域的访问或者允许特定区域的来源IP的访问,解决部分地区高发的恶意请求问题。可针对指定国家、地区的来源IP自定义访问控制