Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.

Centro de ayuda/ Web Application Firewall/ Guía del usuario/ Habilitación de la protección WAF/ Conexión de un sitio web a WAF (Modo dedicado)/ Paso 1: Agregar un sitio web a WAF (modo dedicado)

Actualización más reciente 2023-09-21 GMT+08:00

Ver PDF

Paso 1: Agregar un sitio web a WAF (modo dedicado)

Si sus servidores de servicio se implementan en Huawei Cloud, puede agregar el nombre de dominio o la dirección IP del sitio web a WAF para que el tráfico del sitio web se reenvíe a WAF para su inspección.

Si ha habilitado proyectos de empresa, puede seleccionar su proyecto de empresa en la lista desplegable de Enterprise Project y agregar sitios web para protegerse en el proyecto.

Prerrequisitos

Ha comprado una instancia de WAF dedicada.
El nombre de dominio o la dirección IP se ha registrado con la licencia ICP pero no se ha agregado a WAF.

Restricciones

Se ha implementado un balanceador de carga orientado a Internet en el sitio web que desea proteger con instancias de WAF dedicadas.
Si su sitio web no tiene un servidor proxy de capa 7 como CDN y un servicio de aceleración en la nube desplegado frente a WAF y utiliza solo balanceadores de carga de capa 4 (o NAT), establezca Proxy Configured en No. De lo contrario, Proxy Configured debe estar establecido en Yes. Esto garantiza que WAF obtenga direcciones IP reales de los visitantes del sitio web y tome medidas de protección configuradas en las políticas de protección.
Los nombres de dominio de los sitios web a proteger deben tener licencias ICP. De lo contrario, los nombres de dominio no se pueden agregar a WAF.

Recopilación de información de nombre de dominio/dirección IP

Antes de agregar un nombre de dominio o una dirección IP, obtenga la información que aparece en Tabla 1.

**Tabla 1** Nombre de dominio o detalles de la dirección IP requeridos
Información	Parámetro	Descripción	Valor de ejemplo
Parámetros	Domain Name/IP Address	Nombre de dominio: utilizado por los visitantes para acceder a su sitio web. Un nombre de dominio se compone de letras separadas por puntos (.). Es una dirección legible por humanos que se asigna a la dirección IP legible por máquina de su servidor. IP: dirección IP del sitio web.	www.example.com
	Standard/Non-standard Port	El puerto de servicio correspondiente al nombre de dominio del sitio web que desea proteger. Puertos estándares 80: puerto predeterminado cuando el protocolo cliente se establece en HTTP 443: puerto predeterminado cuando el protocolo cliente se establece en HTTPS Puertos no estándar Puertos distintos de los puertos 80 y 443 AVISO: Si su sitio web utiliza un puerto no estándar, compruebe si la edición WAF que planea comprar puede proteger el puerto no estándar antes de realizar una compra. Para obtener más información, consulte ¿Qué puertos no estándar pueden proteger WAF?	80
	Client Protocol	Protocolo utilizado por un cliente (por ejemplo, un navegador) para acceder al sitio web. WAF soporta HTTP y HTTPS.	HTTP
	Server Protocol	Protocolo utilizado por WAF para reenviar solicitudes al cliente (como un navegador). Las opciones son HTTP y HTTPS.	HTTP
	VPC	Seleccione la VPC a la que pertenece la instancia WAF dedicada.	vpc-predeterminado
	Server Address	Dirección IP privada o nombre de dominio del servidor web al que accede un cliente (por ejemplo, un navegador)	192.168.1.1
(Opcional) Certificado	None	Si establece Client Protocol en HTTPS, debe configurar un certificado en WAF y asociar el certificado con el nombre de dominio. AVISO: Solo se pueden utilizar certificados .pem en WAF. Si el certificado no está en formato PEM, conviértelo en formato pem consultando ¿Cómo convierto un certificado en formato PEM? Actualmente, los certificados adquiridos en Huawei Cloud SCM solo se pueden enviar al proyecto empresarial default. Para otros proyectos empresariales, los certificados SSL enviados por SCM no se pueden utilizar.	None

Procedimiento

Inicie sesión en la consola de gestión.
Haga clic en la esquina superior izquierda de la consola de gestión y seleccione una región o proyecto.
Haga clic en la esquina superior izquierda y elija Web Application Firewall en Security & Compliance.

En la esquina superior izquierda de la lista de sitios web, haz clic en Add Website.

Configurar la información básica del nombre de dominio. Figura 1 muestra uln ejemplo. Tabla 2 lists parameters.lists parameters.lists parameters.

Figura 1 Configuración de la configuración básica de un sitio web

**Tabla 2** Descripción del parámetro
Parámetro	Descripción	Valor de ejemplo
Website Name	Nombre del sitio web que desea proteger	None
Protected Website	Un nombre de dominio o dirección IP del sitio web que se va a proteger. El nombre de dominio puede ser un nombre de dominio único o un nombre de dominio de carácter comodín. Nombre de dominio único: Ingrese un nombre de dominio único. Por ejemplo, el www.example.com. Nombre de dominio carácter comodín NOTA: Los nombres de dominio de comodín no pueden contener guiones bajos (_). Si la dirección IP del servidor de cada nombre de subdominio es la misma, introduzca un nombre de dominio comodín que se va a proteger. Por ejemplo, si los nombres de subdominio a.example.com, *b.example.com* y c.example.com tienen la misma dirección IP del servidor, puede agregar el nombre de dominio de comodín *.example.com a WAF para proteger los tres. Si las direcciones IP del servidor de los nombres de subdominio son diferentes, agregue nombres de subdominio como nombres de dominio únicos uno por uno.	Nombre de dominio único www.example.com Nombre de dominio comodín: .example.com Formato de dirección IP: XXX.XXX.1.1*
Port	Establezca este parámetro sólo si se selecciona Non-standard Port. Ejemplo de configuración 1: Protección del tráfico al mismo puerto estándar con diferentes direcciones IP del servidor de origen asignadas muestra un ejemplo de la configuración del puerto. Si Client Protocol es HTTP, WAF protege los servicios en el puerto estándar 80 de forma predeterminada. Si Client Protocol es HTTPS, WAF protege los servicios en el puerto estándar 443 de forma predeterminada. Para configurar un puerto distinto de los puertos 80 y 443, seleccione Non-standard Port y seleccione un puerto no estándar de la lista desplegable de Port. Para obtener más información sobre los puertos no estándar soportados por WAF, consulte ¿Qué puertos no estándar soporta WAF? NOTA: Si se configura un puerto no estándar, los visitantes deben agregar el puerto no estándar al final de la dirección del sitio web cuando acceden al sitio web. De lo contrario, se producirá un error 404. Si se produce un error 404, consulte ¿Cómo soluciono los errores 404/502/504?	81
Website Remarks	Una breve descripción del sitio web	-
Server Configuration	Dirección del servidor de web. La configuración contiene el protocolo del cliente, el protocolo del servidor, la VPC, la dirección del servidor y el puerto del servidor. Protocolo de cliente: Protocolo utilizado para reenviar solicitudes de cliente a la instancia WAF dedicada. Las opciones son HTTP y HTTPS. Protocolo de servidor: Protocolo utilizado para reenviar una solicitud de cliente al servidor de origen a través de la instancia WAF dedicada. Las opciones son HTTP y HTTPS. NOTA: Para obtener más información sobre cómo configurar el Client Protocol y el Server Protocol, consulte Reglas para configurar el protocolo de cliente y el protocolo de servidor. WAF puede comprobar las solicitudes WebSocket y WebSockets que están habilitadas por defecto. VPC: Seleccione la VPC a la que pertenece la instancia WAF dedicada. Dirección del servidor: Dirección IP privada o nombre de dominio del servidor del sitio web al que accede un cliente (por ejemplo, un navegador). Puerto del servidor: puerto de servicio del servidor al que la instancia WAF dedicada reenvía las solicitudes del cliente.	Protocolo de cliente: HTTP Protocolo de servidor: HTTP VPC: vpc-default Dirección del servidor: 192.168.1.1 Server Port: 80
Certificate Name	Si el protocolo de cliente está establecido en HTTPS, seleccione un certificado. Puede seleccionar un certificado existente o importar un certificado externo. Para obtener más información sobre cómo importar un certificado, consulte Importación de un nuevo certificado. Para obtener más información sobre cómo crear un certificado, consulte Carga de un certificado. Además, puede comprar un certificado en la consola SCM y enviarlo a WAF. Para obtener más información sobre cómo enviar un certificado SSL en SCM a WAF, consulte Envío de un certificado SSL a otros servicios en la nube. AVISO: Solo se pueden utilizar certificados .pem en WAF. Si el certificado no está en formato.pem, conviértelo en un certificado.pem haciendo referencia a Importación de un nuevo certificado antes de cargar el certificado. Actualmente, los certificados adquiridos en Huawei Cloud SCM solo se pueden enviar al proyecto empresarial default. Para otros proyectos empresariales, los certificados SSL enviados por SCM no se pueden utilizar. Cada nombre de dominio debe tener un certificado asociado. Un nombre de dominio de carácter comodín solo puede usar un certificado de dominio de carácter comodín. Si solo tiene certificados de dominio único, agregue nombres de dominio a WAF uno por uno.	None

Configurar Proxy Configured.

Si su sitio web no tiene un servidor proxy de capa 7 como CDN y un servicio de aceleración en la nube desplegado frente a WAF y utiliza solo balanceadores de carga de capa 4 (o NAT), establezca Proxy Configured en No. De lo contrario, Proxy Configured debe estar establecido en Yes. Esto garantiza que WAF obtenga direcciones IP reales de los visitantes del sitio web y tome medidas de protección configuradas en las políticas de protección.
Seleccione una política. De forma predeterminada, se selecciona system-generated policy.

Puede seleccionar una política que haya configurado. También puede personalizar las reglas después de que el nombre de dominio esté conectado a WAF.

Políticas generadas por el sistema:
- Protección web básica (modo Log only y comprobaciones comunes)
  La protección web básica protege contra ataques como inyecciones SQL, XSS, vulnerabilidades de desbordamiento remoto, inclusiones de archivos, vulnerabilidades Bash, ejecución remota de comandos, recorrido de directorios, acceso sensible a archivos e inyecciones de comandos/código.
- Anti-crawler (modo de Log only y función de Scanner)
  WAF solo registra tareas de análisis web, como análisis de vulnerabilidades y análisis de virus, como el comportamiento de rastreo de OpenVAS y Nmap.
Log only: WAF solo registra los eventos de ataque detectados en lugar de bloquearlos.
Haga clic en OK.

Figura 2 Nombre de dominio agregado
- Haga clic en Configure Policy y configure una política de protección para el sitio web.
- Haga clic en Add Another Domain Name y agregue más sitios web para protegerse.
- Cierre el cuadro de diálogo y vea los sitios web agregados en la lista de sitios web protegidos.

Verificación

El estado de acceso inicial de un sitio web es Inaccesible. Después de configurar un balanceador de carga y vincular un EIP al balanceador de carga de su sitio web, cuando una solicitud llega a la instancia dedicada WAF, el estado de acceso cambia automáticamente a Accesible.

Importación de un nuevo certificado

Si establece Client Protocol en HTTPS, se requiere un certificado SSL. Puede realizar los siguientes pasos para importar un nuevo certificado.

Haga clic en Import New Certificate. En el cuadro de diálogo que aparece, escriba un nombre de certificado y copie el archivo de certificado y la clave privada en los cuadros de texto correspondiente.

Figura 3 Importar certificado nuevo

WAF encripta y guarda la clave privada para mantenerla segura.

Solo se pueden utilizar certificados .pem en WAF. Si el certificado no está en formato in.pem, conviértelo a.pem localmente haciendo referencia a Tabla 3 antes de cargarlo.

**Tabla 3** Comandos de conversión de certificados
Formato	Método de conversión
CER/CRT	Cambie el nombre del archivo de certificado cert.crt a cert.pem.
PFX	Obtener una clave privada. Por ejemplo, ejecute el siguiente comando para convertir cert.pfx en key.pem: openssl pkcs12 -in cert.pfx -nocerts -out key.pem -nodes Obtener un certificado. Por ejemplo, ejecute el siguiente comando para convertir cert.pfx en cert.pem: openssl pkcs12 -in cert.pfx -nokeys -out cert.pem
P7B	Convertir un certificado. Por ejemplo, ejecute el siguiente comando para convertir cert.p7b en cert.cer: openssl pkcs7 -print_certs -in cert.p7b -out cert.cer Cambie el nombre del archivo de certificado cert.cer a cert.pem.
DER	Obtener una clave privada. Por ejemplo, ejecute el siguiente comando para convertir privatekey.der en privatekey.pem: openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem Obtener un certificado. Por ejemplo, ejecute el siguiente comando para convertir cert.cer en cert.pem: openssl x509 -inform der -in cert.cer -out cert.pem

Antes de ejecutar un comando OpenSSL, asegúrese de que la herramienta OpenSSL se haya instalado en el host local.
Si su PC local ejecuta un sistema operativo Windows, vaya a la interfaz de línea de comandos (CLI) y, a continuación, ejecute el comando de conversión de certificados.

Haga clic en OK.

Tema principal: Conexión de un sitio web a WAF (Modo dedicado)

Tema anterior: Proceso de conexión (Modo dedicado)

Tema siguiente: Paso 2: Configurar un balanceador de carga

Comentarios

¿Le pareció útil esta página?

Sí No

Deje algún comentario

Muchas gracias por sus comentarios. Seguiremos trabajando para mejorar la documentación.

El sistema está ocupado. Vuelva a intentarlo más tarde.

¿Cuáles de los siguientes problemas se presentaron?

Contenido diferente a la de la IU del producto

Descripciones poco claras

Falta de ejemplos o código

Pasos incorrectos

No puedo encontrar lo que necesito

Falta de prácticas recomendadas

Comentarios (opcional)

0/500

Seleccione al menos un tipo de problema e ingrese sus comentarios o sugerencias.

Ingrese 500 caracteres como máximo.

Enviar Cancelar