Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Cómputo
Elastic Cloud Server
Bare Metal Server
Auto Scaling
Image Management Service
Dedicated Host
FunctionGraph
Cloud Phone Host
Huawei Cloud EulerOS
Redes
Virtual Private Cloud
Elastic IP
Elastic Load Balance
NAT Gateway
Direct Connect
Virtual Private Network
VPC Endpoint
Cloud Connect
Enterprise Router
Enterprise Switch
Global Accelerator
Gestión y gobernanza
Cloud Eye
Identity and Access Management
Cloud Trace Service
Resource Formation Service
Tag Management Service
Log Tank Service
Config
Resource Access Manager
Simple Message Notification
Application Performance Management
Application Operations Management
Organizations
Optimization Advisor
Cloud Operations Center
Resource Governance Center
Migración
Server Migration Service
Object Storage Migration Service
Cloud Data Migration
Migration Center
Cloud Ecosystem
KooGallery
Partner Center
User Support
My Account
Billing Center
Cost Center
Resource Center
Enterprise Management
Service Tickets
HUAWEI CLOUD (International) FAQs
ICP Filing
Support Plans
My Credentials
Customer Operation Capabilities
Partner Support Plans
Professional Services
Análisis
MapReduce Service
Data Lake Insight
CloudTable Service
Cloud Search Service
Data Lake Visualization
Data Ingestion Service
GaussDB(DWS)
DataArts Studio
IoT
IoT Device Access
Otros
Product Pricing Details
System Permissions
Console Quick Start
Common FAQs
Instructions for Associating with a HUAWEI CLOUD Partner
Message Center
Seguridad y cumplimiento
Security Technologies and Applications
Web Application Firewall
Host Security Service
Cloud Firewall
SecMaster
Data Encryption Workshop
Database Security Service
Cloud Bastion Host
Data Security Center
Cloud Certificate Manager
Situation Awareness
Managed Threat Detection
Blockchain
Blockchain Service
Servicios multimedia
Media Processing Center
Video On Demand
Live
SparkRTC
Almacenamiento
Object Storage Service
Elastic Volume Service
Cloud Backup and Recovery
Storage Disaster Recovery Service
Scalable File Service
Volume Backup Service
Cloud Server Backup Service
Data Express Service
Dedicated Distributed Storage Service
Contenedores
Cloud Container Engine
SoftWare Repository for Container
Application Service Mesh
Ubiquitous Cloud Native Service
Cloud Container Instance
Bases de datos
Relational Database Service
Document Database Service
Data Admin Service
Data Replication Service
GeminiDB
GaussDB
Distributed Database Middleware
Database and Application Migration UGO
TaurusDB
Middleware
Distributed Cache Service
API Gateway
Distributed Message Service for Kafka
Distributed Message Service for RabbitMQ
Distributed Message Service for RocketMQ
Cloud Service Engine
EventGrid
Dedicated Cloud
Dedicated Computing Cluster
Aplicaciones empresariales
ROMA Connect
Message & SMS
Domain Name Service
Edge Data Center Management
Meeting
AI
Face Recognition Service
Graph Engine Service
Content Moderation
Image Recognition
Data Lake Factory
Optical Character Recognition
ModelArts
ImageSearch
Conversational Bot Service
Speech Interaction Service
Huawei HiLens
Developer Tools
SDK Developer Guide
API Request Signing Guide
Terraform
Koo Command Line Interface
Distribución de contenido y cómputo de borde
Content Delivery Network
Intelligent EdgeFabric
CloudPond
Soluciones
SAP Cloud
High Performance Computing
Servicios para desarrolladores
ServiceStage
CodeArts
CodeArts PerfTest
CodeArts Req
CodeArts Pipeline
CodeArts Build
CodeArts Deploy
CodeArts Artifact
CodeArts TestPlan
CodeArts Check
Cloud Application Engine
aPaaS MacroVerse
KooPhone
KooDrive

Paso 3: Enrutación del tráfico del sitio web a WAF

Actualización más reciente 2023-09-21 GMT+08:00

Después de conectar un nombre de dominio a WAF, WAF funciona como un proxy inverso entre el cliente y el servidor. La dirección IP real del servidor está oculta y solo la dirección IP de WAF es visible para los visitantes de la web.

Para asegurarse de que su instancia WAF funciona correctamente, pruébela de acuerdo con las instrucciones en Paso 2: Prueba de WAF antes de enrutar el tráfico de su empresa a WAF.

Prerrequisitos

Se ha agregado un nombre de dominio a WAF pero no está conectado a WAF.

Restricciones

La protección WAF solo tiene efecto para las direcciones IP reales de los clientes donde se originan las solicitudes. Para asegurarse de que WAF obtiene direcciones IP de cliente reales, si su sitio web tiene proxys de capa 7 como CDN y productos de aceleración de nube implementados delante de WAF, se debe seleccionar Yes para Proxy Configured.

Limitaciones de la especificación

Después de que su sitio web esté conectado a WAF, el archivo que los visitantes pueden subir cada vez no puede exceder los 512 MB.

Cómo funciona WAF

  • No proxy utilizado

    DNS resuelve su nombre de dominio a la dirección IP del servidor de origen antes de que el sitio se conecte a WAF. DNS resuelve su nombre de dominio en el CNAME de WAF después de que el sitio se conecta a WAF. A continuación, WAF inspecciona el tráfico entrante y filtra el tráfico malicioso.

  • Un proxy (como el servicio anti-DDoS) utilizado

    Si se utiliza un proxy como el servicio anti-DDoS en su sitio antes de conectarse a WAF, DNS resuelve el nombre de dominio de su sitio a la dirección IP anti-DDoS. El tráfico va al servicio anti-DDoS y el servicio anti-DDoS luego enruta el tráfico de regreso al servidor de origen. Después de conectar su sitio web a WAF, cambie la dirección de back-to-source del proxy (como el servicio anti-DDoS) al CNAME de WAF. De esta manera, el proxy reenvía el tráfico a WAF. A continuación, WAF filtra el tráfico ilegítimo y solo enruta el tráfico legítimo de vuelta al servidor de origen.

    NOTA:
    • Para asegurarse de que WAF puede reenviar solicitudes correctamente, realice una verificación local haciendo referencia a Pruebas de WAF antes de modificar la configuración DNS.
    • Para evitar que otros usuarios configuren sus nombres de dominio en WAF por adelantado (esto causará interferencias en la protección de su nombre de dominio), agregue el nombre de subdominio y el registro TXT en su plataforma de gestión DNS. WAF puede determinar qué usuario posee el nombre de dominio basándose en el nombre de subdominio y el registro TXT. Para obtener más información sobre el método de configuración, consulte ¿Cuáles son los impactos si no hay ningún nombre de subdominio y registro TXT configurados?

Guía de operación

Después de agregar un nombre de dominio, WAF genera un registro CNAME, o CNAME, nombre de subdominio y registro TXT para que DNS resuelva el nombre de dominio en WAF para que el tráfico del sitio web pueda pasar a través de WAF para su detección. Para obtener más información, consulte Tabla 1.

Tabla 1 Guía de operación

Escenario

Valor de parámetro generado

Operación relacionada con la resolución de nombres de dominio

No proxy utilizado

CNAME

El DNS obtiene el CNAME de WAF.

Proxy utilizado

CNAME, nombre de subdominio y registro TXT

  • Cambie la dirección IP de origen del proxy, como el servicio anti-DDoS, al CNAME de WAF.
  • (Opcional) Agregue un nombre de subdominio WAF y un registro TXT en su proveedor DNS.

Procedimiento

  1. Inicie sesión en la consola de gestión
  2. Haga clic en la esquina superior izquierda de la consola de gestión y seleccione una región o proyecto.
  3. Haga clic en la esquina superior izquierda y elija Web Application Firewall en Security & Compliance.
  4. In the navigation pane, choose Website Settings.
  5. En la columna Protected Website, haga clic en el nombre de dominio para ir a la página Basic Information.
  6. En la fila CNAME, haga clic en para copiar el registro CNAME. Figura 1 muestra un ejemplo.

    Figura 1 Copia del registro CNAME

    Si se muestra el mensaje "CNAME copiado correctamente" en la esquina superior derecha de la página, el registro CNAME se copia correctamente.

  7. Conecte el nombre de dominio a WAF.

    • No proxy used

      Configure el registro CNAME en su proveedor DNS. Para obtener más información, póngase en contacto con su proveedor de DNS.

      A continuación, se utiliza Huawei Cloud DNS como ejemplo para mostrar cómo configurar un registro CNAME. Si la siguiente configuración no es coherente con la configuración, utilice la información proporcionada por los proveedores DNS.

    • Proxy used
      AVISO:

      Si su sitio web tiene proxies, como anti-DDoS avanzado, Red de entrega de contenido (CDN) y servicio de aceleración en la nube, establezca Proxy configured en Yes para asegurarse de que las políticas de seguridad WAF surtan efecto. Para más detalles, consulte Consulta de información básica.

      Cambie la dirección IP de origen del proxy usado, como los servicios anti-DDoS y CDN, al registro CNAME copiado.

      NOTA:

      Para evitar que otros usuarios configuren sus nombres de dominio en WAF por adelantado (esto causará interferencias en la protección de su nombre de dominio), agregue el nombre de subdominio y el registro TXT en su plataforma de gestión DNS.

      1. Obtener Subdomain Name y TXT Record: En la fila de Access Status, haga clic en How to Access. En el cuadro de diálogo Access Guide, copie Subdomain Name y TXT Record.
      2. Agregue Subdomain Name en el proveedor DNS y configure TXT Record para el nombre del subdominio. Para obtener más información sobre el método de configuración, consulte ¿Cuáles son los impactos si un nombre de subdominio y un registro TXT no están configurados?

      WAF determina qué usuario posee el nombre de dominio basándose en Subdomain Name and TXT Record configurados.

  8. Verifique que se haya configurado el CNAME del nombre de dominio.

    1. En Windows, elija Start > Run. A continuación, introduzca cmd y Enter.
    2. Ejecute un comando nslookup para consultar el registro CNAME.

      Si se devuelve el CNAME configurado, la configuración se realiza correctamente. Se muestra una respuesta de comando de ejemplo en Figura 2.

      Comando de ejemplo:

      nslookup www.example.com
      Figura 2 Consulta del CNAME

Procedimiento posterior

  • Si su servidor utiliza otros firewalls de red, deshabilite estos firewalls de red o agregue el intervalo de direcciones IP WAF a la lista blanca de direcciones IP de estos firewalls de red. De lo contrario, estos firewalls pueden considerar la dirección IP WAF como una dirección IP maliciosa. Para obtener más información, consulte ¿Cómo poner en lista blanca el intervalo de direcciones IP de origen WAF?
  • Si su servidor web utiliza software de seguridad personal, reemplácelo con software de seguridad empresarial y incluya en la lista blanca los intervalos de direcciones WAF IP.

Verificación

  • De forma predeterminada, WAF detecta Access Status de cada nombre de dominio protegido cada hora.
  • Generalmente, si ha realizado la conexión de dominio y Access Status es Accessible, el nombre de dominio está conectado a WAF.

Utilizamos cookies para mejorar nuestro sitio y tu experiencia. Al continuar navegando en nuestro sitio, tú aceptas nuestra política de cookies. Descubre más

Comentarios

Comentarios

Comentarios

0/500

Seleccionar contenido

Enviar el contenido seleccionado con los comentarios