Web应用防火墙-开启WAF防护

Web应用防火墙-开启WAF防护

Web应用防火墙(Web Application Firewall, WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。 WAF支持云模式、独享模式两种部署模式。本指南以云模式为例,引导您快速开启Web应用防火墙防护,开启防护后,可防护常见的Web安全问题。 

Web应用防火墙(Web Application Firewall, WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。 WAF支持云模式、独享模式两种部署模式本指南以云模式为例,引导您快速开启Web应用防火墙防护,开启防护后,可防护常见的Web安全问题。 

最佳实践:WAF接入配置最佳实践

接入云模式WAF操作流程

前提条件:已购买WAF云模式,防护域名未加到WAF,且域名已备案

操作步骤

步骤内容

步骤配置说明

步骤一

添加防护域名(云模式)

配置域名、协议、源站等相关信息。在添加防护域名前,请收集防护域名如表中所示相关信息。

步骤二

放行WAF回源IP

如果您的源站服务器安装了其他安全软件或防火墙,建议您配置只允许来自WAF的访问请求访问您的源站,这样既可保证访问不受影响,又能防止源站IP暴露后被黑客直接攻击。

步骤三

本地验证

添加域名后,为了确保WAF转发正常,建议您先通过本地验证确保一切配置正常,然后再修改DNS解析。

步骤四

域名接入配置

• 域名在接入WAF前未使用代理

到该域名的DNS服务商处,配置防护域名的别名解析。

• 域名在接入WAF前使用代理(DDoS高防、CDN等)

将使用的代理类服务(DDoS高防、CDN等)的回源地址修改为的目标域名的“CNAME”值。

步骤一

步骤内容

步骤配置说明

配置域名、协议、源站等相关信息。在添加防护域名前,请收集防护域名如表中所示相关信息。

步骤二

步骤内容

步骤配置说明

如果您的源站服务器安装了其他安全软件或防火墙,建议您配置只允许来自WAF的访问请求访问您的源站,这样既可保证访问不受影响,又能防止源站IP暴露后被黑客直接攻击。

步骤三

步骤内容

步骤配置说明

添加域名后,为了确保WAF转发正常,建议您先通过本地验证确保一切配置正常,然后再修改DNS解析。

步骤四

步骤内容

步骤配置说明

• 域名在接入WAF前未使用代理

到该域名的DNS服务商处,配置防护域名的别名解析。

• 域名在接入WAF前使用代理(DDoS高防、CDN等)

将使用的代理类服务(DDoS高防、CDN等)的回源地址修改为的目标域名的“CNAME”值。

如果域名接入失败,即域名接入状态为“未接入”,请参考域名/IP接入状态显示“未接入”,如何处理?排查处理。

接入云模式WAF常见问题

接入云模式WAF常见问题

  • WAF支持防护泛域名吗?有哪些约束条件?

    支持,WAF支持防护多级别单域名(例如一级域名example.com,二级域名www.example.com等)和泛域名(例如*.example.com)其约束条件如下:

    ● 泛域名不支持下划线(_)

    ● 泛域名添加说明如下:

    • 如果各子域名对应的服务器IP地址相同:输入防护的泛域名。例如: 子域名a.example.com,b.example.com和c.example.com对应的服务器IP地址相同,可以直接添加泛域名*.example.com。

    • 如果各子域名对应的服务器IP地址不相同:请将子域名按“单域名”方式逐条添加。

    更多内容请参见如何在添加域名中配置防护域名?

  • 添加防护域名时,如何配置非标端口?

    端口为实际防护网站的端口,端口配置说明如下:

    • “对外协议”选择“HTTP”时,WAF默认防护“80”标准端口的业务;“对外协议”选择“HTTPS”时,WAF默认防护“443”标准端口的业务。

    • 如需配置除“80”/“443”以外的端口,勾选“非标准端口”,在“端口”下拉列表中选择非标准端口。

    • Web应用防火墙支持的非标准端口请参见“Web应用防火墙支持哪些非标准端口?”

    • 具体配置实例请参考"添加防护域名时如何配置非标准端口?"

  • 后端服务器配置多个源站地址时的注意事项?

    ● 同一个域名在后端配置多个源站地址时,请注意:

    • 域名对应的业务端口为非标准端口:

    对外协议、源站协议和源站端口必须都相同

    • 域名对应的业务端口为标准端口:

    对外协议、源站协议和源站端口可不相同

    ● 添加域名时,WAF支持添加多个服务器IP,多个服务器之间,WAF采用轮询的方式回源,这样有助于减少服务器的压力,起到保护源站的作用。例如,后端添加了两个服务器IP(IP-A,IP-B),当有10个请求访问该域名时,5个请求会被WAF转发到IP-A,其余5个请求会被WAF转发到IP-B。

    ● WAF云模式目前暂不支持健康检查的功能,当一个服务器IP出现问题,WAF仍然会转发流量给这个服务器IP,这样会导致部分业务受损。如果您希望服务器有健康性检查的功能,建议您将弹性负载均衡(ELB)和WAF搭配使用,ELB的相关配置请参见添加或移除后端服务器(增强型)。ELB配置完成后,再将ELB的EIP作为服务器的IP地址,接入WAF,实现健康检查。

  • 为什么华为云SCM上的SSL证书在WAF上不能查看?

    华为云SCM上的SSL证书签发后或成功上传后,您需要将证书一键推送到WAF中,才能在华为云WAF中使用。

    目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目,则不能使用SCM推送的SSL证书。

    有关推送SSL证书的详细操作,请参见推送证书到云产品

  • 如何在华为云的云解析服务上修改DNS解析?

    如果网站在接入WAF前用户通过客户端(例如浏览器)直接访问网站服务器,当选择WAF添加防护域名后,您还需要把DNS解析到WAF的CNAME,这样流量才会先经过WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。本指南以华为云的云解析服务为例介绍如何修改DNS解析,具体操作请根据域名提供商进行相应操作。

    前提条件

    • 已选择“云模式”部署方式添加防护域名。

    • 为了确保WAF转发正常,在修改DNS解析配置前,建议您参照本地验证进行本地验证确保一切配置正常。

  • 如何在本地测试Web应用防火墙?

    把业务流量切到WAF之前,为了确保WAF转发正常,建议您先通过本地验证确保一切配置正常。进行此操作前,确保添加的防护域名(例如:www.example5.com)的源站服务器协议、地址、端口配置正确,如果“对外协议”类型选择了“HTTPS”,也必须确保上传证书的证书文件和私钥正确。具体的操作步骤请参见本地验证

为您推荐

  • 企业主机安全 HSS

    多云主机资产管理,病毒查杀,漏洞修复等

    多云主机资产管理,病毒查杀,漏洞修复等

    了解详情

  • DDoS高防 AAD

    抗DDoS攻击类防护服务,抵御各类DDoS攻击

    抗DDoS攻击类防护服务,抵御各类DDoS攻击

    了解详情

  • 云证书管理 CCM

    云上证书颁发与管理,包含私有证书

    云上证书颁发与管理,包含私有证书

    了解详情