云服务器内容精选

华为云首页用户手册

网站接入配置

WEB应用防火墙 WAF-使用DDoS高防和WAF提升网站全面防护能力:前提条件

前提条件已购买DDoS高防实例并已完成DDoS高防网站类业务接入，且已完成如表1所示配置操作。表1 WAF各模式配置说明部署模式配置说明云模式-CNAME接入已购买WAF云模式。已将域名信息（源站服务器的IP、端口等信息）添加到WAF云模式。说明：当源站存在IPv6地址，默认开启IPv6防护。WAF为了防止客户IPv6的业务中断，禁止关闭IPv6的开关，如果确定不需要IPv6防护，需要先修改服务器配置，在源站删除IPv6的配置，具体的操作方法请参见修改服务器配置信息。在域名的DNS服务商处有添加域名的权限。（可选）放行WAF回源段IP。源站服务器上已启用非华为云安全软件（如安全狗、云锁）时，您需要在这些软件上设置放行WAF回源段IP，防止由WAF转发到源站的正常业务流量被拦截。具体请参考通过ECS/ELB访问控制策略保护源站安全。云模式-ELB接入已购买WAF云模式。已将域名信息添加到ELB模式。独享模式已购买WAF独享模式。已将域名信息（源站服务器的IP、端口等信息）添加到WAF独享模式，并完成以下操作：已为WAF独享模式实例配置负载均衡。已为弹性负载均衡绑定弹性公网IP。放行独享引擎回源IP。

WEB应用防火墙 WAF 网站接入配置
WEB应用防火墙 WAF-使用DDoS高防和WAF提升网站全面防护能力:生效条件

生效条件当“接入状态”为“已接入”，表示域名/IP接入成功。 WAF每隔一小时就会自动检测防护网站的接入状态，当WAF统计防护网站在5分钟内达到20次访问请求时，将认定该防护网站已成功接入WAF。 WAF默认只检测两周内新增或更新的域名的接入状态，如果域名创建时间在两周前，且最近两周内没有任何修改，您可以在“接入状态”栏，单击，手动刷新接入状态。如果域名接入失败，即域名接入状态为“未接入”，请参考域名/IP接入状态显示“未接入”，如何处理？排查处理。

WEB应用防火墙 WAF 网站接入配置
WEB应用防火墙 WAF-使用DDoS高防和WAF提升网站全面防护能力:防护原理

防护原理 DDoS高防通过高防IP代理源IP对外提供服务，将所有的公网流量都引流至高防IP，进而隐藏源站，避免源站（用户业务）遭受大流量DDoS攻击。 DDoS高防支持防护的对象：域名，华为云、非华为云或云下的Web业务 Web应用防火墙通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式，各部署模式支持防护的对象说明如下：云模式-CNAME接入：域名，华为云、非华为云或云下的Web业务云模式-ELB接入：域名或IP，华为云的Web业务独享模式：域名或IP，华为云的Web业务 DDoS高防+WAF可以对华为云、非华为云或云下的域名进行联动防护，可以同时防御DDoS攻击（NTP Flood攻击、SYN Flood攻击、ACK Flood攻击、ICMP Flood攻击、HTTP Get Flood攻击等），以及Web应用攻击（SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等），确保业务持续可靠运行，配置原理图如图1所示。图1 使用代理配置原理图 DDoS高防+WAF配置后，流量被DDoS高防转发到WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。相关配置说明如下：云模式-CNAME接入先将域名解析到DDoS高防，再修改DDoS高防域名信息，将源站域名修改为WAF的“CNAME”。同时，为了防止其他用户提前将您的域名配置到WAF上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加一条WAF的子域名和TXT记录。云模式-ELB接入先将域名解析到DDoS高防，再修改DDoS高防域名信息，将源站IP修改为添加到ELB模式中选择的ELB对应的弹性公网IP。独享模式先将域名解析到DDoS高防，再修改DDoS高防域名信息，将源站IP修改为WAF独享引擎实例配置弹性负载均衡绑定的弹性公网IP。

WEB应用防火墙 WAF 网站接入配置