应用场景
本手册指导您如何将网站防护策略从阿里云WAF迁移到华为云WAF。
本文以阿里云“按量付费WAF3.0”迁移到华为云“云模式-专业版”为例进行讲解。
资源与成本规划
表1 资源和成本规划
|
资源 |
资源说明 |
每月费用 |
|
Web应用防火墙 |
云模式-专业版:
- 计费模式:包年/包月
- 域名数量:50个防护域名(最多支持5个一级域名)
- QPS配额:5,000QPS业务请求
- 支持带宽峰值:云内200Mbps/云外50Mbps
|
具体的计费方式及标准请参考计费说明。 |
步骤一:购买华为云WAF云模式专业版
- 登录华为云管理控制台。
- 在控制台页面中选择,进入Web应用防火墙控制台。
- 在页面右上角,单击“购买WAF实例”,进入购买页面,“WAF模式”选择“云模式”。
- “区域”:根据防护业务的所在区域就近选择购买的WAF区域。
- “版本规格”:选择“专业版”。
- “扩展包”及“购买时长”:根据具体情况进行选择。
- 确认参数配置无误后,在页面右下角单击“立即购买”。
- 确认订单详情无误后,阅读并勾选《Web应用防火墙免责声明》,单击“去支付”,完成购买操作。
- 进入“付款”页面,选择付款方式进行付款。
步骤二:网站接入华为云WAF
- 在左侧导航树中,选择“网站设置”,进入网站设置列表。
- 在网站列表的左上角,单击“添加防护网站”。
- 选择“云模式-CNAME接入”并单击“开始配置”。
- 配置网站信息,各项参数配置与阿里云参数配置对照表如表2所示。
在阿里云控制台页面,在目标域名所在行的“操作”列,单击“编辑”,可查看各项配置信息。
图1 防护域名配置页面
表2 参数对应表
|
图1中参数编号 |
阿里云参数 |
对应华为云参数 |
|
① |
域名 |
防护域名 |
|
② |
协议类型/端口 |
对外协议/防护端口 |
|
③ |
WAF前是否有七层代理 |
是否使用七层代理 |
|
④ |
开启IPV6防护 |
IPv6防护 |
|
⑤ |
负载均衡算法 |
负载均衡算法 |
|
⑥ |
服务器地址 |
源站地址 |
|
⑦ |
防护资源 |
默认支持(无需手动配置) |
- 单击“下一步”,根据界面提示,完成WAF回源IP加白、本地验证和修改域名DNS解析设置的配置操作。
图2 添加域名完成
步骤三:防护规则迁移
阿里云WAF和华为云WAF规则的对应参照表3所示。
基础防护规则迁移
- 在阿里云WAF控制台,在左侧导航树中,选择,进入“防护规则”页面,展开“基础防护规则”,在目标规则所在行的“操作”列,单击“编辑”查看详细的配置信息。
- 登录华为云WAF控制台,参考图3进入华为云WAF防护规则配置页面。
图3 防护规则配置页面入口
- 选择“Web基础防护”配置框,开启Web基础防护规则,根据表4将相关配置迁移到华为云WAF。
表4 参数对应表
|
阿里云 |
华为云 |
|
基础防护规则 |
Web基础防护 |
|
模板开关 |
规则开关
 :开启状态。 :关闭状态。 |
|
智能白名单 |
无 |
|
防护规则 |
常规检测/深度检测/header全检测/Shiro解密检测 |
|
协议合规 |
无 |
|
语义防护 |
常规检测 |
白名单规则迁移
- 在阿里云控制台,在左侧导航树中,选择,进入“防护规则”页面,展开“白名单”规则,在目标规则所在行的“操作”列,单击“编辑”查看详细的配置信息。
- 登录华为云WAF控制台,参考图4进入华为云WAF防护规则配置页面。
图4 防护规则配置页面入口
- 选择“全局白名单”配置框,开启全局白名单规则,单击“添加规则”,根据表5将相关配置迁移到华为云WAF。
表5 参数对应表
|
阿里云 |
华为云 |
|
白名单 |
全局白名单 |
|
模板开关 |
规则开关
- :开启状态。
- :关闭状态。
|
|
匹配字段 |
“条件列表”中的“字段”,在下拉框中选择对应的字段 |
|
逻辑符 |
逻辑 |
|
匹配内容 |
内容 |
|
不检测模块
例如:基础防护规则-全部规则 |
不检测模块
例如:Web基础防护模块-所有内置规则 |
IP黑名单规则迁移
- 在阿里云控制台,在左侧导航树中,选择,进入“防护规则”页面,展开“IP黑名单”规则,在目标规则所在行的“操作”列,单击“编辑”查看详细的配置信息。
- 登录华为云WAF控制台,参考图5进入华为云WAF防护规则配置页面。
图5 防护规则配置页面入口
- 选择“黑白名单设置”配置框,开启黑白名单设置规则,单击“添加规则”,根据表6将相关配置迁移到华为云WAF。
表6 参数对应表
|
阿里云 |
华为云 |
|
IP黑名单 |
黑白名单设置 |
|
模板开关 |
规则开关
- :开启状态。
- :关闭状态。
|
|
IP黑名单 |
IP/IP段 |
|
规则动作 |
防护动作 |
自定义规则迁移
- 在阿里云控制台,在左侧导航树中,选择,进入“防护规则”页面,展开“自定义规则”,在目标规则所在行的“操作”列,单击“编辑”查看详细的配置信息。
- 登录华为云WAF控制台,参考图6进入华为云WAF防护规则配置页面。
图6 防护规则配置页面入口
- 选择“精准访问防护”配置框,开启精准访问防护规则,单击“添加规则”,根据表7将相关配置迁移到华为云WAF。
表7 参数对应表
|
阿里云 |
华为云 |
|
自定义规则 |
精准访问防护 |
|
模板开关 |
规则开关
- :开启状态。
- :关闭状态。
|
|
匹配字段 |
字段 |
|
逻辑符 |
逻辑 |
|
匹配内容 |
内容 |
|
防护类型 |
无 |
|
规则动作 |
防护动作 |
|
生效模式 |
生效模式 |
自定义响应迁移
- 在阿里云控制台,在左侧导航树中,选择,进入“防护规则”页面,展开“白名单”,在目标规则所在行的“操作”列,单击“编辑”查看详细的配置信息。
- 登录华为云WAF控制台,在左侧导航栏中,选择“网站设置”,单击目标域名名称,进入域名基本信息页面。
- 在“告警页面”所在行的页面模板名称后,单击编辑图标,在弹出的“告警页面”对话框中,选择“页面模板”进行配置。
根据
表8将相关配置迁移到华为云WAF。
表8 参数对应表
|
阿里云 |
华为云 |
|
自定义响应 |
告警页面 |
|
模板开关 |
页面模板 |
|
响应码 |
HTTP返回码 |
|
页面响应体 |
页面内容 |
CC攻击防护规则迁移
- 在阿里云控制台,在左侧导航树中,选择,进入“防护规则”页面,展开“CC防护”规则,在目标规则所在行的“操作”列,单击“编辑”查看详细的配置信息。
- 登录华为云WAF控制台,参考图7进入华为云WAF防护规则配置页面。
图7 防护规则配置页面入口
- 选择“CC攻击防护”配置框,开启CC攻击防护规则,单击“添加规则”,根据表9将相关配置迁移到华为云WAF。
表9 参数对应表
|
阿里云 |
华为云 |
|
CC防护 |
CC攻击防护 |
|
模板开关 |
规则开关
- :开启状态。
- :关闭状态。
|
|
规则动作 |
防护动作 |
|
防护对象 |
华为云WAF不需要配置 |
区域封禁规则迁移
- 在阿里云控制台,在左侧导航树中,选择,进入“防护规则”页面,展开“区域封禁”规则,在目标规则所在行的“操作”列,单击“编辑”查看详细的配置信息。
- 登录华为云WAF控制台,参考图8进入华为云WAF防护规则配置页面。
图8 防护规则配置页面入口
- 选择“地理位置访问控制”配置框,开启地理位置访问控制规则,单击“添加规则”,根据表10将相关配置迁移到华为云WAF。
表10 参数对应表
|
阿里云 |
华为云 |
|
区域封禁 |
地理位置访问控制 |
|
模板开关 |
规则开关
- :开启状态。
- :关闭状态。
|
|
规则动作 |
防护动作 |
|
选择封禁区域 |
地理位置 |
网页防篡改规则迁移
- 在阿里云控制台,在左侧导航树中,选择,进入“防护规则”页面,展开“网页防篡改”规则,在目标规则所在行的“操作”列,单击“编辑”查看详细的配置信息。
- 登录华为云WAF控制台,参考图9进入华为云WAF防护规则配置页面。
图9 防护规则配置页面入口
- 选择“网页防篡改”配置框,开启网页防篡改规则,单击“添加规则”,根据表11将相关配置迁移到华为云WAF。
表11 参数对应表
|
阿里云 |
华为云 |
|
网页防篡改 |
网页防篡改 |
|
模板开关 |
规则开关
- :开启状态。
- :关闭状态。
|
|
缓存页面的地址 |
路径 |
信息泄露防护规则迁移
- 在阿里云控制台,在左侧导航树中,选择,进入“防护规则”页面,展开“信息泄露防护”规则,在目标规则所在行的“操作”列,单击“编辑”查看详细的配置信息。
- 登录华为云WAF控制台,参考图10进入华为云WAF防护规则配置页面。
图10 防护规则配置页面入口
- 选择“防敏感信息泄露”配置框,开启防敏感信息泄露规则,单击“添加规则”,根据表12将相关配置迁移到华为云WAF。
表12 参数对应表
|
阿里云 |
华为云 |
|
信息泄露防护 |
防敏感信息泄露 |
|
模板开关 |
规则开关
- :开启状态。
- :关闭状态。
|
|
匹配条件 |
类型 |
|
敏感信息 |
内容 |
|
规则动作 |
防护动作 |
