全部文档
Web应用防火墙 WAFWeb应用防火墙 WAF
- 最新动态
- 功能总览
- 产品介绍
- 快速入门
- 用户指南
- 最佳实践
- API参考
-
常见问题
- 高频常见问题
-
产品咨询
-
功能说明类
- Web应用防火墙是否能防护IP?
- Web应用防火墙是否支持防护非华为云和云下服务器?
- Web应用防火墙支持对哪些对象进行防护?
- Web应用防火墙支持哪些操作系统?
- Web应用防火墙提供的是几层防护?
- Web应用防火墙是否支持健康检查?
- Web应用防火墙是否支持文件缓存?
- Web应用防火墙支持漏洞检测吗?
- Web应用防火墙是否支持SSL双向认证?
- Web应用防火墙支持基于应用层协议和内容的访问控制吗?
- Web应用防火墙是否可以对用户添加的Post的body进行检查吗?
- Web应用防火墙可以限制域名访问速度吗?
- Web应用防火墙可以拦截multipart/form-data格式的数据包吗?
- Web应用防护墙可以部署在VPC内网吗?
- Web应用防火墙支持拦截包含特殊字符的URL请求吗?
- Web应用防火墙可以防止垃圾注册和恶意注册吗?
- Web应用防火墙可以拦截Web页面调用其他接口的请求数据吗?
- Web应用防火墙可以配置会话Cookie吗?
- Web应用防火墙与漏洞扫描服务有哪些区别?
- Web应用防火墙支持自定义POST拦截吗?
- Web应用防火墙支持跨域禁止访问功能吗?
- Web应用防火墙可以设置域名限制访问吗?
- Web应用防火墙有IPS入侵防御系统模块吗?
- Web应用防火墙是否支持IPv4和IPv6共存?
- WAF和HSS的网页防篡改有什么区别?
- Web应用防火墙支持哪些Web服务框架/协议?
- WAF可以防护使用HSTS策略/NTLM代理认证访问的网站吗?
- WAF支持弹性伸缩功能吗?
- WAF转发和Nginx转发有什么区别?
- WAF会缓存网站数据吗?
- Web应用防火墙是硬防火墙还是软防火墙?
- Web应用防火墙和云防火墙有什么区别?
-
使用说明类
- 接入WAF后为什么漏洞扫描工具扫描出未开通的非标准端口?
- 多Project下使用Web应用防火墙的限制条件?
- 使用Web应用防火墙对邮件收发和邮件端口有影响吗?
- 如何获取访问者真实IP?
- Web应用防火墙如何拦截请求内容?
- Web应用防火墙切换为Bypass模式后会放行流量吗 ?
- 在安全组中配置WAF白名单,需要开放所有端口吗?
- 如何获取Web应用防火墙销售许可证?
- 已使用华为云APIG还需要购买WAF吗?
- 本地文件包含和远程文件包含是指什么?
- QPS和请求次数有什么区别?
- 什么是并发数?
- 什么是防护IP?
- 接入Web应用防火墙的域名需要备案吗?
- 如果证书挂载在ELB上,WAF可以根据请求内容进行拦截吗?
- Web应用防火墙支持自定义授权策略吗?
- 接入WAF对现有业务和服务器运行有影响吗?
- 仅放行通过WAF的访问请求,如何配置?
- 为什么Cookie中有HWWAFSESID或HWWAFSESTIME字段?
- 云模式、独享模式和ELB模式可以互相切换吗?
- 同一防护域名/IP可以添加到不同的帐号进行防护吗?
- 网站部署了反向代理服务器,如何配置WAF?
- 区域与可用区
- IPv6配置
- 企业项目
-
功能说明类
- 购买WAF
- 业务带宽/规格
- 计费、到期续费与退订重购
-
网站接入配置
-
域名/端口类
- 域名/IP如何接入Web应用防火墙?
- Web应用防火墙支持哪些非标准端口?
- 独享模式如何防护不支持的非标准端口?
- 多个域名对应同一源站,Web应用防火墙可以防护这些域名吗?
- 如何在添加域名中配置防护域名?
- 添加域名时,端口需要和源站端口配置一样吗?
- 添加防护域名时如何配置非标准端口?
- 多个端口的服务器,如果某个端口不需要WAF防护,如何处理?
- 域名/IP接入WAF前需要准备哪些数据?
- 删除防护域名时应该注意哪些事项?
- 域名添加到WAF后,域名是否可以修改?
- 后端服务器配置多个IP时的注意事项?
- Web应用防火墙支持配置泛域名吗?
- Web应用防火墙支持防护中文域名吗?
- 如何使网站流量切入云模式?
- 添加域名时提示“非法的源站地址”,如何处理?
- 证书管理
- 服务器配置类
- 域名解析类
- 接入后处理
-
域名/端口类
-
业务中断排查
- 如何排查404/502/504错误?
- 域名/IP接入状态显示“未接入”,如何处理?
- WAF误拦截了正常访问请求,如何处理?
- WAF误拦截了“非法请求”访问请求,如何处理?
- 为什么误报处理不能使用了?
- 如何放行回源IP段?
- 连接超时时长是多少,是否可以手动设置该时长?
- 如何解决重定向次数过多?
- 如何解决HTTPS请求在部分手机访问异常?
- 如何解决证书链不完整?
- 如何处理418错误码问题?
- 如何处理523错误码问题?
- 如何处理域名接入WAF后,登录首页不停地刷新?
- 如何解决HTTP配置转发策略后程序访问页面卡顿?
- 使用WAF后如何处理网站的文件不能上传?
- 如何处理接入WAF后报错414 Request-URI Too Large?
- 防护规则配置
- 防护日志
- WAF与其他华为云服务同时部署
- 修订记录
- 视频帮助
- 文档下载
- 通用参考
更新时间:2021/09/22 GMT+08:00
链接复制成功!
“CDN+WAF”联动,提升网站防护能力和访问速度
防护原理
- 当用户访问使用CDN服务的网站时,本地DNS服务器通过CNAME方式将最终域名请求重定向到CDN服务。CDN通过一组预先定义好的策略(如内容类型、地理区域、网络负载状况等),将当时能够最快响应用户的CDN节点IP地址提供给用户,使用户可以以最快的速度获得网站内容。
CDN支持的对象:域名,华为云、非华为云或云下的Web业务
- Web应用防火墙通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。
CDN+WAF可以对华为云、非华为云或云下的域名进行联动防护,同时提升网站的响应速度和网站防护能力,配置原理图如图1所示。
CDN+WAF配置后,流量被CDN加速后转发到WAF,WAF再将流量转到源站,在提升用户访问网站的响应速度与网站的可用性的同时,实现网站流量检测和攻击拦截。
相关配置说明如下:
前提条件
部署模式 |
配置说明 |
|---|---|
云模式 |
须知:
为了保证WAF的安全策略能够针对真实源IP生效,请确保域名“是否已使用代理”已配置为“是”,详细操作请参见查看基本信息。 |
独享模式 |
|
ELB模式 |
|
WAF云模式配置策略
以下操作以华为云CDN为例介绍配置域名解析的方法。如果您使用的是华为云CDN,您可以直接参照以下步骤进行操作;若您使用华为云以外的CDN,请参考以下步骤在其他CDN上进行类似配置。
- 获取“CNAME”、“子域名”和“TXT记录”值。
- 登录管理控制台。
- 进入网站配置页面入口,如图2所示。
- 在目标域名所在行的“网站设置”列中,单击目标域名,进入域名基本信息页面。
- 在域名基本信息页面,单击CNAME所在行的
,复制“CNAME”。在“接入状态”所在行,单击“如何接入?”,在弹出的对话框中,复制“子域名”和“TXT记录”。图3 查看域名接入信息
- 将CDN的主源站的源站域名修改为WAF的CNAME。
- (可选)在DNS服务商添加一条WAF的子域名和TXT记录。
为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您完成此操作。
- (可选)验证DNS配置。您可以Ping网站域名验证DNS解析是否生效。
由于DNS解析记录生效需要一定时间,如果验证失败,您可以等待5分钟后重新检查。
WAF独享模式/ELB模式配置策略
请参考以下步骤在华为云CDN上进行配置操作。
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域或项目。 - 单击页面左上方的
,选择“存储 > CDN”,进入CDN页面。 - 在左侧导航树中,选择“域名管理”。
- 在域名列表中,单击需要修改的域名或域名所在行的“设置”,进入域名配置页面。
- 选择“基本配置”页签,在源站配置模块,单击“编辑”。
- 在弹出“修改源站信息”对话框中,修改源站IP,如图6所示。
- 如果您的业务使用了WAF独享模式,“源站”文本框中请输入为弹性负载均衡绑定弹性公网IP。
- 如果您的业务使用了ELB模式,“源站”文本框中请输入WAF实例绑定ELB的弹性公网IP。
- 单击“确定”,完成源站配置。
生效条件
当“接入状态”为“已接入”,表示域名/IP接入成功。
WAF每隔一小时就会自动检测防护网站的 “接入状态”,当WAF统计防护网站在5分钟内达到20次访问请求时,将认定该防护网站已成功接入WAF。
如果域名接入失败,即域名接入状态为“未接入”,请参考域名/IP接入状态显示“未接入”,如何处理?排查处理。
