Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Cómputo
Elastic Cloud Server
Bare Metal Server
Auto Scaling
Image Management Service
Dedicated Host
FunctionGraph
Cloud Phone Host
Huawei Cloud EulerOS
Redes
Virtual Private Cloud
Elastic IP
Elastic Load Balance
NAT Gateway
Direct Connect
Virtual Private Network
VPC Endpoint
Cloud Connect
Enterprise Router
Enterprise Switch
Global Accelerator
Gestión y gobernanza
Cloud Eye
Identity and Access Management
Cloud Trace Service
Resource Formation Service
Tag Management Service
Log Tank Service
Config
Resource Access Manager
Simple Message Notification
Application Performance Management
Application Operations Management
Organizations
Optimization Advisor
Cloud Operations Center
Resource Governance Center
Migración
Server Migration Service
Object Storage Migration Service
Cloud Data Migration
Migration Center
Cloud Ecosystem
KooGallery
Partner Center
User Support
My Account
Billing Center
Cost Center
Resource Center
Enterprise Management
Service Tickets
HUAWEI CLOUD (International) FAQs
ICP Filing
Support Plans
My Credentials
Customer Operation Capabilities
Partner Support Plans
Professional Services
Análisis
MapReduce Service
Data Lake Insight
CloudTable Service
Cloud Search Service
Data Lake Visualization
Data Ingestion Service
GaussDB(DWS)
DataArts Studio
IoT
IoT Device Access
Otros
Product Pricing Details
System Permissions
Console Quick Start
Common FAQs
Instructions for Associating with a HUAWEI CLOUD Partner
Message Center
Seguridad y cumplimiento
Security Technologies and Applications
Web Application Firewall
Host Security Service
Cloud Firewall
SecMaster
Data Encryption Workshop
Database Security Service
Cloud Bastion Host
Data Security Center
Cloud Certificate Manager
Situation Awareness
Managed Threat Detection
Blockchain
Blockchain Service
Servicios multimedia
Media Processing Center
Video On Demand
Live
SparkRTC
Almacenamiento
Object Storage Service
Elastic Volume Service
Cloud Backup and Recovery
Storage Disaster Recovery Service
Scalable File Service
Volume Backup Service
Cloud Server Backup Service
Data Express Service
Dedicated Distributed Storage Service
Contenedores
Cloud Container Engine
SoftWare Repository for Container
Application Service Mesh
Ubiquitous Cloud Native Service
Cloud Container Instance
Bases de datos
Relational Database Service
Document Database Service
Data Admin Service
Data Replication Service
GeminiDB
GaussDB
Distributed Database Middleware
Database and Application Migration UGO
TaurusDB
Middleware
Distributed Cache Service
API Gateway
Distributed Message Service for Kafka
Distributed Message Service for RabbitMQ
Distributed Message Service for RocketMQ
Cloud Service Engine
EventGrid
Dedicated Cloud
Dedicated Computing Cluster
Aplicaciones empresariales
ROMA Connect
Message & SMS
Domain Name Service
Edge Data Center Management
Meeting
AI
Face Recognition Service
Graph Engine Service
Content Moderation
Image Recognition
Data Lake Factory
Optical Character Recognition
ModelArts
ImageSearch
Conversational Bot Service
Speech Interaction Service
Huawei HiLens
Developer Tools
SDK Developer Guide
API Request Signing Guide
Terraform
Koo Command Line Interface
Distribución de contenido y cómputo de borde
Content Delivery Network
Intelligent EdgeFabric
CloudPond
Soluciones
SAP Cloud
High Performance Computing
Servicios para desarrolladores
ServiceStage
CodeArts
CodeArts PerfTest
CodeArts Req
CodeArts Pipeline
CodeArts Build
CodeArts Deploy
CodeArts Artifact
CodeArts TestPlan
CodeArts Check
Cloud Application Engine
aPaaS MacroVerse
KooPhone
KooDrive

Paso 1: Agregar un sitio web a WAF (modo dedicado)

Actualización más reciente 2023-09-21 GMT+08:00

Si sus servidores de servicio se implementan en Huawei Cloud, puede agregar el nombre de dominio o la dirección IP del sitio web a WAF para que el tráfico del sitio web se reenvíe a WAF para su inspección.

NOTA:

Si ha habilitado proyectos de empresa, puede seleccionar su proyecto de empresa en la lista desplegable de Enterprise Project y agregar sitios web para protegerse en el proyecto.

Prerrequisitos

  • Ha comprado una instancia de WAF dedicada.
  • El nombre de dominio o la dirección IP se ha registrado con la licencia ICP pero no se ha agregado a WAF.

Restricciones

  • Se ha implementado un balanceador de carga orientado a Internet en el sitio web que desea proteger con instancias de WAF dedicadas.
  • Si su sitio web no tiene un servidor proxy de capa 7 como CDN y un servicio de aceleración en la nube desplegado frente a WAF y utiliza solo balanceadores de carga de capa 4 (o NAT), establezca Proxy Configured en No. De lo contrario, Proxy Configured debe estar establecido en Yes. Esto garantiza que WAF obtenga direcciones IP reales de los visitantes del sitio web y tome medidas de protección configuradas en las políticas de protección.
  • Los nombres de dominio de los sitios web a proteger deben tener licencias ICP. De lo contrario, los nombres de dominio no se pueden agregar a WAF.

Recopilación de información de nombre de dominio/dirección IP

Antes de agregar un nombre de dominio o una dirección IP, obtenga la información que aparece en Tabla 1.

Tabla 1 Nombre de dominio o detalles de la dirección IP requeridos

Información

Parámetro

Descripción

Valor de ejemplo

Parámetros

Domain Name/IP Address

  • Nombre de dominio: utilizado por los visitantes para acceder a su sitio web. Un nombre de dominio se compone de letras separadas por puntos (.). Es una dirección legible por humanos que se asigna a la dirección IP legible por máquina de su servidor.
  • IP: dirección IP del sitio web.

www.example.com

Standard/Non-standard Port

El puerto de servicio correspondiente al nombre de dominio del sitio web que desea proteger.

  • Puertos estándares
    • 80: puerto predeterminado cuando el protocolo cliente se establece en HTTP
    • 443: puerto predeterminado cuando el protocolo cliente se establece en HTTPS
  • Puertos no estándar

    Puertos distintos de los puertos 80 y 443

    AVISO:

    Si su sitio web utiliza un puerto no estándar, compruebe si la edición WAF que planea comprar puede proteger el puerto no estándar antes de realizar una compra. Para obtener más información, consulte ¿Qué puertos no estándar pueden proteger WAF?

80

Client Protocol

Protocolo utilizado por un cliente (por ejemplo, un navegador) para acceder al sitio web. WAF soporta HTTP y HTTPS.

HTTP

Server Protocol

Protocolo utilizado por WAF para reenviar solicitudes al cliente (como un navegador). Las opciones son HTTP y HTTPS.

HTTP

VPC

Seleccione la VPC a la que pertenece la instancia WAF dedicada.

vpc-predeterminado

Server Address

Dirección IP privada o nombre de dominio del servidor web al que accede un cliente (por ejemplo, un navegador)

192.168.1.1

(Opcional) Certificado

None

Si establece Client Protocol en HTTPS, debe configurar un certificado en WAF y asociar el certificado con el nombre de dominio.

AVISO:
  • Solo se pueden utilizar certificados .pem en WAF. Si el certificado no está en formato PEM, conviértelo en formato pem consultando ¿Cómo convierto un certificado en formato PEM?
  • Actualmente, los certificados adquiridos en Huawei Cloud SCM solo se pueden enviar al proyecto empresarial default. Para otros proyectos empresariales, los certificados SSL enviados por SCM no se pueden utilizar.

None

Procedimiento

  1. Inicie sesión en la consola de gestión.
  2. Haga clic en la esquina superior izquierda de la consola de gestión y seleccione una región o proyecto.
  3. Haga clic en la esquina superior izquierda y elija Web Application Firewall en Security & Compliance.
  1. En la esquina superior izquierda de la lista de sitios web, haz clic en Add Website.
  2. Configurar la información básica del nombre de dominio. Figura 1 muestra uln ejemplo. Tabla 2 lists parameters.lists parameters.lists parameters.

    Figura 1 Configuración de la configuración básica de un sitio web
    Tabla 2 Descripción del parámetro

    Parámetro

    Descripción

    Valor de ejemplo

    Website Name

    Nombre del sitio web que desea proteger

    None

    Protected Website

    Un nombre de dominio o dirección IP del sitio web que se va a proteger. El nombre de dominio puede ser un nombre de dominio único o un nombre de dominio de carácter comodín.

    • Nombre de dominio único: Ingrese un nombre de dominio único. Por ejemplo, el www.example.com.
    • Nombre de dominio carácter comodín
      NOTA:

      Los nombres de dominio de comodín no pueden contener guiones bajos (_).

      • Si la dirección IP del servidor de cada nombre de subdominio es la misma, introduzca un nombre de dominio comodín que se va a proteger. Por ejemplo, si los nombres de subdominio a.example.com, b.example.com y c.example.com tienen la misma dirección IP del servidor, puede agregar el nombre de dominio de comodín *.example.com a WAF para proteger los tres.
      • Si las direcciones IP del servidor de los nombres de subdominio son diferentes, agregue nombres de subdominio como nombres de dominio únicos uno por uno.

    Nombre de dominio único www.example.com

    Nombre de dominio comodín: *.example.com

    Formato de dirección IP: XXX.XXX.1.1

    Port

    Establezca este parámetro sólo si se selecciona Non-standard Port. Ejemplo de configuración 1: Protección del tráfico al mismo puerto estándar con diferentes direcciones IP del servidor de origen asignadas muestra un ejemplo de la configuración del puerto.

    • Si Client Protocol es HTTP, WAF protege los servicios en el puerto estándar 80 de forma predeterminada. Si Client Protocol es HTTPS, WAF protege los servicios en el puerto estándar 443 de forma predeterminada.
    • Para configurar un puerto distinto de los puertos 80 y 443, seleccione Non-standard Port y seleccione un puerto no estándar de la lista desplegable de Port.

      Para obtener más información sobre los puertos no estándar soportados por WAF, consulte ¿Qué puertos no estándar soporta WAF?

    NOTA:

    Si se configura un puerto no estándar, los visitantes deben agregar el puerto no estándar al final de la dirección del sitio web cuando acceden al sitio web. De lo contrario, se producirá un error 404. Si se produce un error 404, consulte ¿Cómo soluciono los errores 404/502/504?

    81

    Website Remarks

    Una breve descripción del sitio web

    -

    Server Configuration

    Dirección del servidor de web. La configuración contiene el protocolo del cliente, el protocolo del servidor, la VPC, la dirección del servidor y el puerto del servidor.

    • Protocolo de cliente: Protocolo utilizado para reenviar solicitudes de cliente a la instancia WAF dedicada. Las opciones son HTTP y HTTPS.
    • Protocolo de servidor: Protocolo utilizado para reenviar una solicitud de cliente al servidor de origen a través de la instancia WAF dedicada. Las opciones son HTTP y HTTPS.
      NOTA:
    • VPC: Seleccione la VPC a la que pertenece la instancia WAF dedicada.
    • Dirección del servidor: Dirección IP privada o nombre de dominio del servidor del sitio web al que accede un cliente (por ejemplo, un navegador).
    • Puerto del servidor: puerto de servicio del servidor al que la instancia WAF dedicada reenvía las solicitudes del cliente.

    Protocolo de cliente: HTTP

    Protocolo de servidor: HTTP

    VPC: vpc-default

    Dirección del servidor: 192.168.1.1

    Server Port: 80

    Certificate Name

    Si el protocolo de cliente está establecido en HTTPS, seleccione un certificado. Puede seleccionar un certificado existente o importar un certificado externo. Para obtener más información sobre cómo importar un certificado, consulte Importación de un nuevo certificado.

    Para obtener más información sobre cómo crear un certificado, consulte Carga de un certificado.

    Además, puede comprar un certificado en la consola SCM y enviarlo a WAF. Para obtener más información sobre cómo enviar un certificado SSL en SCM a WAF, consulte Envío de un certificado SSL a otros servicios en la nube.

    AVISO:
    • Solo se pueden utilizar certificados .pem en WAF. Si el certificado no está en formato.pem, conviértelo en un certificado.pem haciendo referencia a Importación de un nuevo certificado antes de cargar el certificado.
    • Actualmente, los certificados adquiridos en Huawei Cloud SCM solo se pueden enviar al proyecto empresarial default. Para otros proyectos empresariales, los certificados SSL enviados por SCM no se pueden utilizar.
    • Cada nombre de dominio debe tener un certificado asociado. Un nombre de dominio de carácter comodín solo puede usar un certificado de dominio de carácter comodín. Si solo tiene certificados de dominio único, agregue nombres de dominio a WAF uno por uno.

    None

  3. Configurar Proxy Configured.

    Si su sitio web no tiene un servidor proxy de capa 7 como CDN y un servicio de aceleración en la nube desplegado frente a WAF y utiliza solo balanceadores de carga de capa 4 (o NAT), establezca Proxy Configured en No. De lo contrario, Proxy Configured debe estar establecido en Yes. Esto garantiza que WAF obtenga direcciones IP reales de los visitantes del sitio web y tome medidas de protección configuradas en las políticas de protección.

  4. Seleccione una política. De forma predeterminada, se selecciona system-generated policy.

    Puede seleccionar una política que haya configurado. También puede personalizar las reglas después de que el nombre de dominio esté conectado a WAF.

    Políticas generadas por el sistema:

    • Protección web básica (modo Log only y comprobaciones comunes)

      La protección web básica protege contra ataques como inyecciones SQL, XSS, vulnerabilidades de desbordamiento remoto, inclusiones de archivos, vulnerabilidades Bash, ejecución remota de comandos, recorrido de directorios, acceso sensible a archivos e inyecciones de comandos/código.

    • Anti-crawler (modo de Log only y función de Scanner)

      WAF solo registra tareas de análisis web, como análisis de vulnerabilidades y análisis de virus, como el comportamiento de rastreo de OpenVAS y Nmap.

    NOTA:

    Log only: WAF solo registra los eventos de ataque detectados en lugar de bloquearlos.

  5. Haga clic en OK.

    Figura 2 Nombre de dominio agregado
    • Haga clic en Configure Policy y configure una política de protección para el sitio web.
    • Haga clic en Add Another Domain Name y agregue más sitios web para protegerse.
    • Cierre el cuadro de diálogo y vea los sitios web agregados en la lista de sitios web protegidos.

Verificación

El estado de acceso inicial de un sitio web es Inaccesible. Después de configurar un balanceador de carga y vincular un EIP al balanceador de carga de su sitio web, cuando una solicitud llega a la instancia dedicada WAF, el estado de acceso cambia automáticamente a Accesible.

Importación de un nuevo certificado

Si establece Client Protocol en HTTPS, se requiere un certificado SSL. Puede realizar los siguientes pasos para importar un nuevo certificado.

  1. Haga clic en Import New Certificate. En el cuadro de diálogo que aparece, escriba un nombre de certificado y copie el archivo de certificado y la clave privada en los cuadros de texto correspondiente.
    Figura 3 Importar certificado nuevo
    NOTA:

    WAF encripta y guarda la clave privada para mantenerla segura.

    Solo se pueden utilizar certificados .pem en WAF. Si el certificado no está en formato in.pem, conviértelo a.pem localmente haciendo referencia a Tabla 3 antes de cargarlo.
    Tabla 3 Comandos de conversión de certificados

    Formato

    Método de conversión

    CER/CRT

    Cambie el nombre del archivo de certificado cert.crt a cert.pem.

    PFX

    • Obtener una clave privada. Por ejemplo, ejecute el siguiente comando para convertir cert.pfx en key.pem:

      openssl pkcs12 -in cert.pfx -nocerts -out key.pem -nodes

    • Obtener un certificado. Por ejemplo, ejecute el siguiente comando para convertir cert.pfx en cert.pem:

      openssl pkcs12 -in cert.pfx -nokeys -out cert.pem

    P7B

    1. Convertir un certificado. Por ejemplo, ejecute el siguiente comando para convertir cert.p7b en cert.cer:

      openssl pkcs7 -print_certs -in cert.p7b -out cert.cer

    2. Cambie el nombre del archivo de certificado cert.cer a cert.pem.

    DER

    • Obtener una clave privada. Por ejemplo, ejecute el siguiente comando para convertir privatekey.der en privatekey.pem:

      openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem

    • Obtener un certificado. Por ejemplo, ejecute el siguiente comando para convertir cert.cer en cert.pem:

      openssl x509 -inform der -in cert.cer -out cert.pem

    NOTA:
    • Antes de ejecutar un comando OpenSSL, asegúrese de que la herramienta OpenSSL se haya instalado en el host local.
    • Si su PC local ejecuta un sistema operativo Windows, vaya a la interfaz de línea de comandos (CLI) y, a continuación, ejecute el comando de conversión de certificados.
  2. Haga clic en OK.

Utilizamos cookies para mejorar nuestro sitio y tu experiencia. Al continuar navegando en nuestro sitio, tú aceptas nuestra política de cookies. Descubre más

Comentarios

Comentarios

Comentarios

0/500

Seleccionar contenido

Enviar el contenido seleccionado con los comentarios