区。不同规格的ECS,所在可用区不同。例如:ECS的S6实例规格仅在AZ1上线;S3实例规格在AZ2、AZ3可购买,在AZ1已售罄。 指定可用区:选定指定的可用区,支持可用区1、可用区2、可用区3、可用区7。 注意: 可用区选定后不支持更换。 - 版本规格 规格选择 选择实例的规
如果您将防护网站的工作模式切换为“暂停防护”模式,WAF将对该防护网站所有的流量请求只转发不检测,同时日志也不会记录。 攻击产生后,上报到防护事件的时延约为2~3分钟。 查看防护日志 登录Web应用防火墙控制台。 在控制台左上角,单击图标,选择区域或项目。 (可选) 如果您已开通企业项目,在左侧导航栏
屏蔽Cookie字段名“jsessionid”。 添加一条隐私屏蔽规则。 图2 添加“jsessionid”字段名隐私屏蔽规则 开启隐私屏蔽。 图3 隐私屏蔽配置框 在左侧导航树中,单击“防护事件”,进入“防护事件”页面。 在目标防护事件所在行的“操作”列中,单击“详情”,查看事件详细信息。
关闭状态。 在“网页防篡改”规则配置列表的左上方,单击“添加规则”。 在弹出的对话框中,添加网页防篡改规则,参数说明如表3所示。 图1 添加网页防篡改规则 表3 参数说明 参数 参数说明 取值样例 域名 设置防篡改的域名。 www.example.com 路径 设置防篡改的URL链接中的路径(不包含域名)。
原因一:添加防护域名到WAF时,配置了非标准端口,例如配置了如图3所示的非标准端口业务,访问网站时未加端口用“https://www.example.com”或者“https://www.example.com:80”访问网站。 图3 非标准端口配置 处理建议:在访问链接后加上非标准端口,
延要求严格,建议您使用WAF的独享模式,该模式不会因其他客户业务增长而受到影响。 WAF是否支持HTTP/3协议吗? 目前WAF最高支持HTTP/2协议,还不支持HTTP/3协议。 WAF是否支持防护CS架构的网站? 如果该网站的CS架构是七层HTTP/HTTPS协议,则WAF可以防护,否则不支持防护。
前端端口”配置为您想防护的端口,如此处配置为“9876”。 图2 配置监听器信息 单击“下一步:配置后端分配策略”,配置后端服务器组。 图3 配置后端服务器组 “分配策略类型”选择“加权轮询算法”时,请关闭“会话保持”,如果开启会话保持,相同的请求会转发到相同的WAF独享引擎实例
在目标域名所在行的“防护策略”栏中,单击“已开启N项防护”,进入“防护策略”页面。 在“CC攻击防护”配置框中,确认“CC攻击防护”的状态为开启。 图3 CC防护规则配置框 在“CC攻击防护”规则配置页面左上角,单击“添加规则”。 根据业务情况,使用业务Cookie(或者用户id)基于路径配置CC限速,参考如图4进行配置。
假如防护域名“www.example.com”已接入WAF,您可以参照以下操作步骤验证敏感信息过滤防护效果。 添加一条敏感信息过滤规则。 图3 敏感信息泄露 开启防敏感信息泄露。 图4 防敏感信息泄露配置框 清理浏览器缓存,在浏览器中访问“http://www.example.com/admin/”页面。
WAF将根据配置的“防护动作”进行处置。 次数(单位为次):数值范围为1~2,147,483,647。 时长(单位为秒):数值范围为1~3,600。 10次/60秒 全局计数 根据不同的限速类型,将已经标识的请求在一个或多个WAF节点上的计数聚合。“限速模式”为“源限速”时,支持开启全局计数。
导出账单明细,基于账单明细中的资源标签字段进行处理分析。 为WAF资源添加标签。 在购买WAF实例页面,可以选择已经创建的预定义标签。 图3 添加标签 通过成本标签查看成本数据。 通过成本标签查看成本数据时,建议基于摊销成本进行数据汇总,详细操作请参见通过成本标签查看成本数据。 使用成本单元进行成本分配
“系统自动生成策略”(默认):详细说明如表3所示。如果已添加的防护策略达到配额,不支持选择该项。 自定义防护策略:根据防护需求创建的防护策略。更多信息,请参见配置防护策略。 说明: 仅专业版和企业版支持选择自定义防护策略。 系统自动生成策略 表3 系统自动生成策略说明 版本 防护策略
单击安全组ID,进入安全组基本信息页面。 选择“入方向规则”页签,单击“添加规则”,进入“添加入方向规则”页面,参数配置说明如表1所示。 图3 添加入方向规则 表1 入方向规则参数配置说明 参数 配置说明 协议端口 安全组规则作用的协议和端口。选择“自定义TCP”后,在TCP框下方输入源站的端口。
单击条件框内的“添加条件”增加组内新的条件,最多可添加30个条件。配置多个条件时,需同时满足,本条规则才生效。 单击条件框外的“添加条件”增加1组新的条件,最多可添加3组条件。多组条件之间是“或”的关系,即满足其中1组条件时,本条规则即生效。 条件设置参数说明如下: 字段:详细说明,请参见条件字段说明。 子
务版本”组合支持的安全功能是否满足业务需要。详细信息如表3所示。 标识说明: √:表示在当前版本中支持。 ×:表示在当前版本中不支持。 -:表示不涉及,通过ELB实现。ELB支持的功能特性详见弹性负载均衡功能特性对比。 表3 安全功能特性 功能模板 功能说明 云模式-CNAME接入
eb应用防火墙所有回源IP段。 图2 回源IP网段 在“Web应用防火墙的回源IP网段”对话框,单击“复制IP段”,复制所有回源IP。 图3 Web应用防火墙的回源IP网段 打开源站服务器上的安全软件,将复制的IP段添加到白名单。 源站服务器部署在华为云ECS上,请参考源站服务器
在WAF前是否使用了其他七层代理产品。此处选择“否”。 否 单击“下一步”,完成防护网站基本信息填写。根据“添加防护网站”面板提示,完成如下操作: 图3 添加域名完成 放行回源IP 本地验证 步骤三:修改DNS解析 如果您之前在DNS云解析服务上添加的域名主机记录的“类型”是“CNAME-将
单击安全组ID,进入安全组基本信息页面。 选择“入方向规则”页签,单击“添加规则”,在“添加入方向规则”对话框,完成如下配置后,单击“确定”。参数配置说明如表3所示。 图8 添加入方向规则 表3 入方向规则参数配置说明 参数 配置说明 优先级 安全组规则优先级,保持默认即可。 策略 安全组规则策略,配置为“允许”。
规格实时核算 选择基础套餐、高阶功能和扩展包后,WAF会实时为您核算已选择的配额总数。 -- 用量配置 购买时长 选择要购买的WAF时长,支持1个月~3年。 1年 自动续费 选择WAF到期后,是否自动续费。勾选后,WAF到期时,系统会自动按照购买周期按月或按年续费。 鼠标悬停在“扣款规则”上
单击条件框内的“添加条件”增加组内新的条件,最多可添加30个条件。配置多个条件时,需同时满足,本条规则才生效。 单击条件框外的“添加条件”增加1组新的条件,最多可添加3组条件。多组条件之间是“或”的关系,即满足其中1组条件时,本条规则即生效。 条件设置参数说明如下: 字段:详细说明,请参见条件字段说明。 子
