Passo 1: Adicionando um nome de domínio ao WAF (Modo de Nuvem)

Pré-requisitos

• Você adquiriu uma instância do WAF.
• O nome de domínio foi registrado com a licença ICP e não foi adicionado ao WAF.

Restrições

• Os nomes de domínio adicionados por um usuário do IAM podem ser visualizados pela conta que cria o usuário do IAM, mas os nomes de domínio adicionados por uma conta não podem ser visualizados pelos usuários do IAM criados na conta.
• Um nome de domínio não pode ser adicionado ao WAF repetidamente.

  Cada combinação de um nome de domínio e uma porta não padrão é contada para a cota de nome de domínio da edição do WAF que você está usando. Por exemplo, o www.example.com:8080 e o www.example.com:8081 usam dois nomes de domínio da cota. Se você quiser proteger serviços da Web em várias portas com o mesmo nome de domínio, adicione o nome de domínio e cada porta ao WAF.

• Você pode inserir um nome de domínio único multinível (por exemplo, nome de domínio de nível superior exemplo.com e nome de domínio de nível 2 www.example.com) ou um nome de domínio curinga (*.exemplo.com).
  

  • Nomes de domínio curinga não podem conter sublinhados (_).
  • A seguir estão as regras para adicionar curingas a nomes de domínio:
    • Se o endereço IP do servidor de cada nome de subdomínio for o mesmo, digite um nome de domínio curinga a ser protegido. Por exemplo, se os nomes de subdomínio a.exemplo.com, b.exemplo.com e c.exemplo.com tiverem o mesmo endereço IP de servidor, você poderá adicionar o nome de domínio curinga *.exemplo.com ao WAF para proteger os três.
    • Se os endereços IP do servidor dos nomes de subdomínio forem diferentes, adicione nomes de subdomínio como nomes de domínio únicos, um por um.
• O WAF não oferece suporte a cabeçalhos HTTP definidos pelo usuário para nomes de domínio protegidos.
• Somente os nomes de domínio que foram registrados com licenças ICP podem ser adicionados ao WAF.
• Um registro CNAME é gerado com base em um nome de domínio. Para o mesmo nome de domínio, os registros CNAME são os mesmos.
• Somente certificados .pem podem ser usados no WAF.
• Atualmente, os certificados comprados no Huawei Cloud SCM podem ser enviados apenas para o projeto corporativo default. Para outros projetos corporativos, os certificados SSL enviados pelo SCM não podem ser usados.
• O WAF oferece suporte ao protocolo WebSocket, que é ativado por padrão.
  • WebSocket request inspection is enabled by default if Client Protocol is set to HTTP.
  • WebSockets request inspection is enabled by default if Client Protocol is set to HTTPS.
• Se você estiver usando o WAF standard edition (antiga edição profissional), somente system-generated policy poderá ser selecionada para Configure Policy.
• As políticas de segurança do WAF entram em vigor para endereços IP de clientes reais onde as solicitações são iniciadas. Para garantir que o WAF obtenha endereços IP de cliente reais, se seu site tiver servidores proxy de camada-7, como CDN e produtos de aceleração de nuvem implantados na frente do WAF, selecione Yes para Proxy Configured.

Limitações da especificação

Depois que seu site é conectado ao WAF, o arquivo que os visitantes podem carregar a cada vez não pode exceder 512 MB.

Impacto no sistema

Se uma porta não-padrão estiver configurada, os visitantes precisarão adicionar a porta não-padrão ao final do endereço do site quando acessarem o site. Caso contrário, ocorrerá um erro 404. Se ocorrer um erro 404, consulte Como solucionar erros 404/502/504?

Coletando informações de nome de domínio

Antes de adicionar um nome de domínio, obtenha as informações listadas em Tabela 1.

Procedimento

1. Efetue login no console de gerenciamento.
2. Clique em no canto superior esquerdo do console de gerenciamento e selecione uma região ou projeto.
3. Clique em no canto superior esquerdo e escolha Web Application Firewall em Security & Compliance.
4. No painel de navegação, escolha Website Settings.
5. No canto superior esquerdo da lista de sites, clique em Add Website.
6. Selecionar Modo de Nuvem. Digite o nome de domínio na caixa de texto Domain Name e clique em OK.
   Figura 1 Nome de domínio
   

   Você pode inserir um nome de domínio único multinível . (por exemplo, nome de domínio de nível superior exemplo.com e nome de domínio de nível 2 www.example.com) ou um nome de domínio curinga (*.exemplo.com).

   

   • Nomes de domínio curinga não podem conter sublinhados (_).
   • A seguir estão as regras para adicionar curingas a nomes de domínio:
     • Se o endereço IP do servidor de cada nome de subdomínio for o mesmo, digite um nome de domínio curinga a ser protegido. Por exemplo, se os nomes de subdomínio a.exemplo.com, b.exemplo.com e c.exemplo.com tiverem o mesmo endereço IP de servidor, você poderá adicionar o nome de domínio curinga *.exemplo.com ao WAF para proteger os três.
     • Se os endereços IP do servidor dos nomes de subdomínio forem diferentes, adicione nomes de subdomínio como nomes de domínio únicos, um por um.

   Se o seu nome de domínio estiver hospedado no Huawei Cloud, você pode clicar em Quick Add. Na caixa de diálogo Select Domain Name exibida, selecione o nome de domínio que deseja proteger e clique em OK. O nome de domínio hospedado é adicionado automaticamente.

7. Configurar Domain Name e outros parâmetros, referindo-se a Tabela 2. Figura 2 mostra um exemplo.
   Figura 2 Configurando as configurações básicas
   

   Tabela 2 Descrição do parâmetro

   Parâmetro	Descrição	Valor de exemplo
   Nome do site	Nome do site que você quer proteger	N/D
   Nome de domínio	O nome de domínio de um site a ser protegido. Pode ser um único nome de domínio ou um nome de domínio curinga. Nome de domínio único: Insira um único nome de domínio. Nome de domínio wildcard: Digite um nome de domínio curinga do site a ser protegido. Nomes de domínio curinga não podem conter sublinhados (_). NOTA: Se o endereço IP do servidor de cada nome de subdomínio for o mesmo, insira um nome de domínio curinga. Por exemplo, se os nomes de subdomínio a.exemplo.com, b.exemplo.com e c.exemplo.com tiverem o mesmo endereço IP de servidor, você poderá adicionar o nome de domínio curinga *.exemplo.com ao WAF para proteger os três. Se os endereços IP do servidor dos nomes de subdomínio forem diferentes, adicione nomes de subdomínio como nomes de domínio únicos, um por um.	Nome de domínio único: www.example.com Nome de domínio de nível superior: example.com Nome de domínio Wildcard: *.example.com
   Observações do site	(Opcional) Você pode fornecer comentários sobre seu site, se desejar.	-
   Porto não padronizado	Defina este parâmetro somente se Non-standard Port estiver selecionada. Para mais detalhes, consulte Exemplo de configuração 1: Protegendo o tráfego para a mesma porta padrão com diferentes endereços IP de servidor de origem atribuídos. Se você definir o Client Protocol como HTTP, o WAF protegerá os serviços na porta padrão 80 por padrão. Se você definir o Client Protocol como HTTPS, o WAF protegerá os serviços na porta padrão 443 por padrão. Para configurar uma porta diferente das portas 80 e 443, selecione Non-standard Port e selecione uma porta não padrão na lista suspensa Port. Para obter detalhes sobre as portas não padrão suportadas pelo WAF, consulte Quais portas não padrão o WAF suporta? NOTA: Se uma porta não-padrão estiver configurada, os visitantes precisarão adicionar a porta não-padrão ao final do endereço do site quando acessarem o site. Caso contrário, ocorrerá um erro 404. Se ocorrer um erro 404, consulte Como solucionar erros 404/502/504?	81
   Usar HTTP/2	Se o seu site precisa oferecer suporte ao acesso HTTP/2, selecione esse parâmetro. O protocolo HTTP/2 pode ser usado apenas para acesso entre o cliente e o WAF com a condição de que pelo menos um servidor de origem tenha HTTPS usado para o Client Protocol.	-
   Observações do site	Uma breve descrição do site	-
   Configuração do servidor	Configurações de endereço do servidor web, incluindo Client Protocol, Server Protocol, Server Address, e Server Port. Client Protocol: protocolo usado por um cliente para acessar um servidor. As opções são HTTP e HTTPS. Server Protocol: protocolo usado pelo WAF para encaminhar solicitações de clientes. As opções são HTTP e HTTPS. NOTA: Para obter detalhes sobre a configuração do Client Protocol e do Server Protocol, consulte Regras para configurar o protocolo do cliente e o protocolo do servidor. O WAF pode verificar a solicitação WebSocket e WebSockets, que é ativada por padrão. Server Address: endereço IP público (geralmente correspondente ao registro A do nome de domínio configurado no DNS) ou nome de domínio (geralmente correspondendo ao CNAME do nome de domínio configurado no DNS) do servidor web que um cliente acessa. Server Port: porta de serviço do servidor para a qual a instância do WAF encaminha as solicitações do cliente.	Client Protocol: HTTP Server Protocol: HTTP Server Address: XXX.XXX.1.1 Server Port: 80
   Nome do certificado	Se você definir o Client Protocol como HTTPS, será necessário um certificado SSL. Você pode selecionar um certificado criado ou importar um certificado. Para obter detalhes sobre como importar um certificado, consulte Importando um novo certificado. Os certificados importados são listados na página Certificates. Para mais detalhes, veja Carregamento de um certificado. Além disso, você pode comprar um certificado no console do SCM e enviá-lo para o WAF. Para obter detalhes sobre como enviar um certificado SSL no SCM para o WAF, consulte Enviando um certificado SSL para outros serviços em Nuvem. AVISO: Somente certificados .pem podem ser usados no WAF. Se o certificado não estiver no formato.pem, converta-o em.pem consultando-o Tabela 4 antes de carregar o certificado. Atualmente, os certificados comprados no Huawei Cloud SCM podem ser enviados apenas para o projeto corporativo default. Para outros projetos corporativos, os certificados SSL enviados pelo SCM não podem ser usados. Se o certificado do seu site estiver prestes a expirar, compre um novo certificado antes da data de expiração e atualize o certificado associado ao site no WAF. Cada nome de domínio deve ter um certificado associado. Um nome de domínio curinga só pode usar um certificado de domínio curinga. Se você tiver apenas certificados de domínio único, adicione nomes de domínio um a um no WAF.	Nenh
   Proteção IPv6	Se você selecionar IPv6 para Server Address, IPv6 Protection será ativada por padrão. Se você selecionar IPv4 para o Server Address e ativar a IPv6 Protection, o WAF atribuirá um endereço IPv6 ao nome de domínio para que o site seja acessível por meio do endereço IPv6. Desta forma, as solicitações para o endereço IPv6 são roteadas pelo WAF para o endereço IPv4 do servidor de origem. NOTA: Se o servidor de origem usar endereços IPv6, a proteção IPv6 será ativada por padrão. Para evitar a interrupção do serviço IPv6, mantenha a proteção IPv6 ativada. Se a proteção IPv6 não for necessária, edite a configuração do servidor e exclua a configuração IPv6 do servidor de origem primeiro. Para obter detalhes, consulte Editando Informações do Servidor.	Ativar
   Algoritmo de balanceamento de carga	Selecione um algoritmo de balanceamento de carga. Origin server IP hash: As solicitações do mesmo endereço IP são roteadas para o mesmo servidor de back-end. Weighted round robin: As solicitações são distribuídas pelos servidores de back-end, por sua vez, com base no peso atribuído a cada servidor. Session hash: Solicitações com a mesma tag de sessão são roteadas para o mesmo servidor de origem. Para ativar esse algoritmo, configure identificadores de tráfego para fontes de ataque conhecidas, ou o algoritmo de hash de sessão não pode ter efeito. Para mais detalhes, consulte Alternação de algoritmo de balanceamento de carga.	Round Robin ponderado

8. Configurar Proxy Configured.
   Se seu site tiver servidores proxy de camada-7, como CDN e produtos de aceleração de nuvem implantados na frente do WAF, selecione Yes para Proxy Configured. Isso garante que o WAF obtenha endereços IP reais do cliente, pois a proteção do WAF só entra em vigor para endereços IP reais do cliente onde as solicitações são iniciadas. Além disso, pode haver vários endereços IP no campo de endereço IP de origem.Para garantir que o WAF obtenha o endereço IP real do visitante que inicia a solicitação, adicione um identificador de tráfego IP para o site protegido . (por exemplo, CDN-Src-IP pode ser adicionado para um proxy CDN). Para mais detalhes, consulte Configuração de um identificador de tráfego para uma origem de ataque conhecida

   

   • If a proxy is deployed before WAF on your website, the WAF working mode cannot be switched to Bypassed. Para mais detalhes, veja Alternação de modo de trabalho do WAF.
   • Se um site não usar nenhum proxy, mas você selecionar Yes para Proxy Configured, o WAF confiará no campo X-Forwarded-For no cabeçalho da solicitação HTTP ao obter o endereço IP de origem real. Portanto, seu negócio não é afetado.

9. Especifique Configure Policy. Por padrão, system-generated policy é selecionada. Você pode selecionar regras personalizadas. Para mais detalhes, consulte Tabela 3.
   

   Se você estiver usando o WAF standard edition (antiga edição profissional), somente System-generated policy estará disponível.

   Você pode selecionar uma política configurada. Você também pode personalizar as regras depois que o nome de domínio for conectado ao WAF.

   Tabela 3 Políticas geradas pelo sistema

   Edição	Política	Descrição
   Edição padrão (antiga edição profissional)	Proteção básica da Web (modo de Log only e verificações comuns)	The basic web protection defends against attacks such as SQL injections, XSS, remote overflow vulnerabilities, file inclusions, Bash vulnerabilities, remote command execution, directory traversal, sensitive file access, and command/code injections.
   Edição Professional (anteriormente Enterprise Edition) e Platinum Edition (anteriormente Premium)	Proteção básica da Web (modo de Log only e verificações comuns)	The basic web protection defends against attacks such as SQL injections, XSS, remote overflow vulnerabilities, file inclusions, Bash vulnerabilities, remote command execution, directory traversal, sensitive file access, and command/code injections.
   	Anti-crawler (modo de Log only e recurso Scanner)	WAF only logs web scanning tasks, such as vulnerability scanning and virus scanning, such as crawling behavior of OpenVAS and Nmap.

   

   Log only: WAF only logs detected attack events instead of blocking them.

10. Clique em Next.

    É aconselhável ignorar esta etapa clicando em Next e, em seguida, Finish. Em seguida, conecte o nome de domínio ao WAF posteriormente, referindo-se a Passo 3: Testando o WAF e Passo 4: Encaminhamento do tráfego do site para o WAF.

    Um registro CNAME é gerado com base em um nome de domínio. Para o mesmo nome de domínio, os registros CNAME são os mesmos.

11. Clique em Next e, em seguida, em Finish.

    Em seguida, você pode ver o status de acesso e o modo de trabalho para o nome de domínio adicionado na página Website Settings.

    Figura 3 Nome de domínio adicionado
    
    • Para configurar uma política de proteção para o site, clique em Configure Policy.
    • Para adicionar mais sites a serem protegidos, clique em Add Another Domain Name.
    • Para exibir o site adicionado, feche a caixa de diálogo.
    

    • Se o servidor usar outros firewalls de rede, desative esses firewalls de rede ou adicione o intervalo de endereços IP do WAF à lista de permissões de endereços IP desses firewalls de rede. Caso contrário, esses firewalls podem considerar o endereço IP do WAF como um endereço IP malicioso. Para obter detalhes, consulte Como faço para colocar na lista branca o intervalo de endereços IP back-to-source do WAF?
    • Se o servidor da Web estiver usando software de segurança pessoal, substitua-o por software de segurança empresarial e coloque na lista de permissões os intervalos de endereços IP do WAF.

Verificação

• Por padrão, o WAF detecta o Access Status de cada nome de domínio protegido a cada hora.
• Geralmente, se você executou uma conexão de domínio e Access Status é Accessible, o nome de domínio é conectado ao WAF.

  Se um nome de domínio tiver sido conectado ao WAF, mas Access Status estiver Inaccessible, clique em para atualizar. Se o Access Status ainda estiver Inaccessible, conecte o nome de domínio ao WAF novamente, referindo-se a Passo 4: Encaminhamento do tráfego do site para o WAF.

Importando um novo certificado

Se você definir o Client Protocol como HTTPS, será necessário um certificado SSL. Você pode executar as etapas a seguir para importar um novo certificado.

1. Clique em Import New Certificate. Na caixa de diálogo Import New Certificate exibida, insira o nome do certificado e cole o arquivo do certificado e a chave privada nas caixas de texto correspondentes. Figura 4 mostra um exemplo.
   Figura 4 Importar Novo Certificado
   
   

   O WAF criptografa e salva a chave privada para mantê-la segura.

   Somente certificados .pem podem ser usados no WAF. Se o certificado não estiver no formato.pem, converta-o localmente para.pem consultando Tabela 4 antes de carregá-lo.

   Tabela 4 Comandos de conversão de certificados

   Formato	Método de conversão
   CER/CRT	Renomeie o arquivo de certificado cert.crt para cert.pem.
   PFX (em inglês)	Obtenha uma chave privada. Por exemplo, execute o seguinte comando para converter cert.pfx em key.pem: openssl pkcs12 -in cert.pfx -nocerts -out key.pem -nodes Obter um certificado. Por exemplo, execute o seguinte comando para converter cert.pfx em cert.pem: openssl pkcs12 -in cert.pfx -nokeys -out cert.pem
   P7B	Converter um certificado. Por exemplo, execute o seguinte comando para converter cert.p7b em cert.cer: openssl pkcs7 -print_certs -in cert.p7b -out cert.cer Renomeie o arquivo de certificado cert.cer para cert.pem.
   DER	Obtenha uma chave privada. Por exemplo, execute o seguinte comando para converter privatekey.der em privatekey.pem: openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem Obter um certificado. Por exemplo, execute o seguinte comando para converter cert.cer em cert.pem: openssl x509 -inform der -in cert.cer -out cert.pem

   

   • Antes de executar um comando OpenSSL, verifique se a ferramenta OpenSSL foi instalada no host local.
   • Se seu PC local executa um sistema operacional Windows, vá para a interface de linha de comando (CLI) e execute o comando de conversão de certificados.
2. Clique em OK.

Exemplo de configuração 1: Protegendo o tráfego para a mesma porta padrão com diferentes endereços IP de servidor de origem atribuídos

1. Desmarque Non-standard Port.
2. Selecione HTTP ou HTTPS para Client Protocol. Figura 5 e Figura 6 mostrar configurações de porta padrão quando o protocolo do cliente é HTTP ou HTTPS.
   Figura 5 Porto 80
   
   Figura 6 Porto 443
   
   

   Se o Client Protocol estiver definido como HTTPS, é necessário um certificado.

3. Os visitantes do seu site podem acessar o site sem adicionar uma porta ao final do nome de domínio. Por exemplo, digite http://www.example.com na caixa de endereço do navegador para acessar o site.

Exemplo de configuração 1: Protegendo o tráfego para uma porta não padrão com diferentes endereços IP do servidor de origem atribuídos

1. Selecione Non-standard Port e selecione uma porta não padrão a ser protegida na lista suspensa Port. Para obter detalhes sobre as portas não padrão suportadas pelo WAF, consulte Quais portas não padrão o WAF suporta?
2. Selecione HTTP ou HTTPS para Client Protocol para todas as portas do servidor. Figura 7 e Figura 8 mostrar a configuração da porta HTTP ou HTTPS não padrão, respectivamente.
   Figura 7 Outra porta HTTP além da porta 80
   
   Figura 8 Outra porta HTTPS além da porta 443
   
   

   Se o Client Protocol estiver definido como HTTPS, é necessário um certificado.

3. Os visitantes devem adicionar a porta não padrão configurada ao nome de domínio quando acessam seu site. Caso contrário, o erro 404 é retornado. Se a porta não padrão for 8080, digite http://www.example.com:8080 na caixa de endereço do navegador.

Exemplo de configuração 3: Protegendo diferentes portas de serviço

Se as portas de serviço a serem protegidas forem diferentes, configure-as separadamente. Por exemplo, para proteger as portas 8080 e 6443 para o site www.example.com, adicione o domínio separadamente para cada porta, como mostrado em Figura 9 e Figura 10.

Figura 9 Protegendo o porto 8080

Figura 10 Protegendo a porta 6443

Regras para configurar o protocolo do cliente e o protocolo do servidor

O WAF fornece vários tipos de protocolo. Se o seu site for www.example.com, o WAF fornece os seguintes quatro modos de acesso:

• Método HTTP (Figura 11)
  Figura 11 Modo HTTP
  
  

  Essa configuração permite que os visitantes da Web acessem o http://www.example.com apenas por HTTP. Se eles acessarem via HTTPS, eles receberão o código 302 Found e serão redirecionados para http://www.example.com.

• Método HTTPS. Essa configuração permite que os visitantes da Web acessem seu site apenas por HTTPS. Se eles acessarem via HTTP, eles serão redirecionados para a URL HTTPS. Figura 12 mostra um exemplo.
  Figura 12 Modo HTTPS
  
  

  • Se os visitantes da Web acessarem seu site por HTTPS, o site retornará uma resposta bem-sucedida.
  • Se os visitantes da web acessarem o http://www.example.com por HTTP, eles receberão o código 302 Found e serão direcionados para https://www.example.com.
• Método de encaminhamento HTTP/HTTPS. Figura 13 mostra um exemplo.
  Figura 13 Modo HTTP e HTTPS
  
  

  • Se os visitantes da Web acessarem seu site por HTTP, o site retornará uma resposta bem-sucedida, mas nenhuma comunicação entre o navegador e o site será criptografada.
  • Se os visitantes da Web acessarem seu site por HTTPS, o site retornará uma resposta bem-sucedida e todas as comunicações entre o navegador e o site serão criptografadas.
• Descarregamento HTTPS pelo WAF. Figura 14 mostra um exemplo.
  Figura 14 Descarregamento HTTPS
  
  

  Se os visitantes da Web acessarem seu site por HTTPS, o WAF encaminhará as solicitações para o servidor de origem por HTTP.