Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Actualización más reciente 2023-09-21 GMT+08:00

Paso 3: Enrutación del tráfico del sitio web a WAF

Después de conectar un nombre de dominio a WAF, WAF funciona como un proxy inverso entre el cliente y el servidor. La dirección IP real del servidor está oculta y solo la dirección IP de WAF es visible para los visitantes de la web.

Para asegurarse de que su instancia WAF funciona correctamente, pruébela de acuerdo con las instrucciones en Paso 2: Prueba de WAF antes de enrutar el tráfico de su empresa a WAF.

Prerrequisitos

Se ha agregado un nombre de dominio a WAF pero no está conectado a WAF.

Restricciones

La protección WAF solo tiene efecto para las direcciones IP reales de los clientes donde se originan las solicitudes. Para asegurarse de que WAF obtiene direcciones IP de cliente reales, si su sitio web tiene proxys de capa 7 como CDN y productos de aceleración de nube implementados delante de WAF, se debe seleccionar Yes para Proxy Configured.

Limitaciones de la especificación

Después de que su sitio web esté conectado a WAF, el archivo que los visitantes pueden subir cada vez no puede exceder los 512 MB.

Cómo funciona WAF

  • No proxy utilizado

    DNS resuelve su nombre de dominio a la dirección IP del servidor de origen antes de que el sitio se conecte a WAF. DNS resuelve su nombre de dominio en el CNAME de WAF después de que el sitio se conecta a WAF. A continuación, WAF inspecciona el tráfico entrante y filtra el tráfico malicioso.

  • Un proxy (como el servicio anti-DDoS) utilizado

    Si se utiliza un proxy como el servicio anti-DDoS en su sitio antes de conectarse a WAF, DNS resuelve el nombre de dominio de su sitio a la dirección IP anti-DDoS. El tráfico va al servicio anti-DDoS y el servicio anti-DDoS luego enruta el tráfico de regreso al servidor de origen. Después de conectar su sitio web a WAF, cambie la dirección de back-to-source del proxy (como el servicio anti-DDoS) al CNAME de WAF. De esta manera, el proxy reenvía el tráfico a WAF. A continuación, WAF filtra el tráfico ilegítimo y solo enruta el tráfico legítimo de vuelta al servidor de origen.

    • Para asegurarse de que WAF puede reenviar solicitudes correctamente, realice una verificación local haciendo referencia a Pruebas de WAF antes de modificar la configuración DNS.
    • Para evitar que otros usuarios configuren sus nombres de dominio en WAF por adelantado (esto causará interferencias en la protección de su nombre de dominio), agregue el nombre de subdominio y el registro TXT en su plataforma de gestión DNS. WAF puede determinar qué usuario posee el nombre de dominio basándose en el nombre de subdominio y el registro TXT. Para obtener más información sobre el método de configuración, consulte ¿Cuáles son los impactos si no hay ningún nombre de subdominio y registro TXT configurados?

Guía de operación

Después de agregar un nombre de dominio, WAF genera un registro CNAME, o CNAME, nombre de subdominio y registro TXT para que DNS resuelva el nombre de dominio en WAF para que el tráfico del sitio web pueda pasar a través de WAF para su detección. Para obtener más información, consulte Tabla 1.

Tabla 1 Guía de operación

Escenario

Valor de parámetro generado

Operación relacionada con la resolución de nombres de dominio

No proxy utilizado

CNAME

El DNS obtiene el CNAME de WAF.

Proxy utilizado

CNAME, nombre de subdominio y registro TXT

  • Cambie la dirección IP de origen del proxy, como el servicio anti-DDoS, al CNAME de WAF.
  • (Opcional) Agregue un nombre de subdominio WAF y un registro TXT en su proveedor DNS.

Procedimiento

  1. Inicie sesión en la consola de gestión
  2. Haga clic en la esquina superior izquierda de la consola de gestión y seleccione una región o proyecto.
  3. Haga clic en la esquina superior izquierda y elija Web Application Firewall en Security & Compliance.
  4. In the navigation pane, choose Website Settings.
  5. En la columna Protected Website, haga clic en el nombre de dominio para ir a la página Basic Information.
  6. En la fila CNAME, haga clic en para copiar el registro CNAME. Figura 1 muestra un ejemplo.

    Figura 1 Copia del registro CNAME

    Si se muestra el mensaje "CNAME copiado correctamente" en la esquina superior derecha de la página, el registro CNAME se copia correctamente.

  7. Conecte el nombre de dominio a WAF.

    • No proxy used

      Configure el registro CNAME en su proveedor DNS. Para obtener más información, póngase en contacto con su proveedor de DNS.

      A continuación, se utiliza Huawei Cloud DNS como ejemplo para mostrar cómo configurar un registro CNAME. Si la siguiente configuración no es coherente con la configuración, utilice la información proporcionada por los proveedores DNS.

    • Proxy used

      Si su sitio web tiene proxies, como anti-DDoS avanzado, Red de entrega de contenido (CDN) y servicio de aceleración en la nube, establezca Proxy configured en Yes para asegurarse de que las políticas de seguridad WAF surtan efecto. Para más detalles, consulte Consulta de información básica.

      Cambie la dirección IP de origen del proxy usado, como los servicios anti-DDoS y CDN, al registro CNAME copiado.

      Para evitar que otros usuarios configuren sus nombres de dominio en WAF por adelantado (esto causará interferencias en la protección de su nombre de dominio), agregue el nombre de subdominio y el registro TXT en su plataforma de gestión DNS.

      1. Obtener Subdomain Name y TXT Record: En la fila de Access Status, haga clic en How to Access. En el cuadro de diálogo Access Guide, copie Subdomain Name y TXT Record.
      2. Agregue Subdomain Name en el proveedor DNS y configure TXT Record para el nombre del subdominio. Para obtener más información sobre el método de configuración, consulte ¿Cuáles son los impactos si un nombre de subdominio y un registro TXT no están configurados?

      WAF determina qué usuario posee el nombre de dominio basándose en Subdomain Name and TXT Record configurados.

  8. Verifique que se haya configurado el CNAME del nombre de dominio.

    1. En Windows, elija Start > Run. A continuación, introduzca cmd y Enter.
    2. Ejecute un comando nslookup para consultar el registro CNAME.

      Si se devuelve el CNAME configurado, la configuración se realiza correctamente. Se muestra una respuesta de comando de ejemplo en Figura 2.

      Comando de ejemplo:

      nslookup www.example.com
      Figura 2 Consulta del CNAME

Procedimiento posterior

  • Si su servidor utiliza otros firewalls de red, deshabilite estos firewalls de red o agregue el intervalo de direcciones IP WAF a la lista blanca de direcciones IP de estos firewalls de red. De lo contrario, estos firewalls pueden considerar la dirección IP WAF como una dirección IP maliciosa. Para obtener más información, consulte ¿Cómo poner en lista blanca el intervalo de direcciones IP de origen WAF?
  • Si su servidor web utiliza software de seguridad personal, reemplácelo con software de seguridad empresarial y incluya en la lista blanca los intervalos de direcciones WAF IP.

Verificación

  • De forma predeterminada, WAF detecta Access Status de cada nombre de dominio protegido cada hora.
  • Generalmente, si ha realizado la conexión de dominio y Access Status es Accessible, el nombre de dominio está conectado a WAF.