Passo 1: Adicionando um nome de domínio ao WAF (Modo de Nuvem)
Este tópico descreve como adicionar um nome de domínio ao WAF para que o tráfego do site possa passar pelo WAF. Depois de conectar um nome de domínio de site à instância do WAF, o WAF funciona como um proxy reverso entre o cliente e o servidor. O endereço IP real do servidor é oculto e apenas o endereço IP do WAF é visível para os visitantes da web.
Se você tiver ativado projetos da empresa, poderá selecionar seu projeto da empresa na lista suspensa Enterprise Project e adicionar nomes de domínio de sites a serem protegidos no projeto.
Pré-requisitos
- Você adquiriu uma instância do WAF.
- O nome de domínio foi registrado com a licença ICP e não foi adicionado ao WAF.
Restrições
- Os nomes de domínio adicionados por um usuário do IAM podem ser visualizados pela conta que cria o usuário do IAM, mas os nomes de domínio adicionados por uma conta não podem ser visualizados pelos usuários do IAM criados na conta.
- Um nome de domínio não pode ser adicionado ao WAF repetidamente.
Cada combinação de um nome de domínio e uma porta não padrão é contada para a cota de nome de domínio da edição do WAF que você está usando. Por exemplo, o www.example.com:8080 e o www.example.com:8081 usam dois nomes de domínio da cota. Se você quiser proteger serviços da Web em várias portas com o mesmo nome de domínio, adicione o nome de domínio e cada porta ao WAF.
- Você pode inserir um nome de domínio único multinível (por exemplo, nome de domínio de nível superior exemplo.com e nome de domínio de nível 2 www.example.com) ou um nome de domínio curinga (*.exemplo.com).
- Nomes de domínio curinga não podem conter sublinhados (_).
- A seguir estão as regras para adicionar curingas a nomes de domínio:
- Se o endereço IP do servidor de cada nome de subdomínio for o mesmo, digite um nome de domínio curinga a ser protegido. Por exemplo, se os nomes de subdomínio a.exemplo.com, b.exemplo.com e c.exemplo.com tiverem o mesmo endereço IP de servidor, você poderá adicionar o nome de domínio curinga *.exemplo.com ao WAF para proteger os três.
- Se os endereços IP do servidor dos nomes de subdomínio forem diferentes, adicione nomes de subdomínio como nomes de domínio únicos, um por um.
- O WAF não oferece suporte a cabeçalhos HTTP definidos pelo usuário para nomes de domínio protegidos.
- Somente os nomes de domínio que foram registrados com licenças ICP podem ser adicionados ao WAF.
- Um registro CNAME é gerado com base em um nome de domínio. Para o mesmo nome de domínio, os registros CNAME são os mesmos.
- Somente certificados .pem podem ser usados no WAF.
- Atualmente, os certificados comprados no Huawei Cloud SCM podem ser enviados apenas para o projeto corporativo default. Para outros projetos corporativos, os certificados SSL enviados pelo SCM não podem ser usados.
- O WAF oferece suporte ao protocolo WebSocket, que é ativado por padrão.
- WebSocket request inspection is enabled by default if Client Protocol is set to HTTP.
- WebSockets request inspection is enabled by default if Client Protocol is set to HTTPS.
- Se você estiver usando o WAF standard edition (antiga edição profissional), somente system-generated policy poderá ser selecionada para Configure Policy.
- As políticas de segurança do WAF entram em vigor para endereços IP de clientes reais onde as solicitações são iniciadas. Para garantir que o WAF obtenha endereços IP de cliente reais, se seu site tiver servidores proxy de camada-7, como CDN e produtos de aceleração de nuvem implantados na frente do WAF, selecione Yes para Proxy Configured.
Limitações da especificação
Depois que seu site é conectado ao WAF, o arquivo que os visitantes podem carregar a cada vez não pode exceder 512 MB.
Impacto no sistema
Se uma porta não-padrão estiver configurada, os visitantes precisarão adicionar a porta não-padrão ao final do endereço do site quando acessarem o site. Caso contrário, ocorrerá um erro 404. Se ocorrer um erro 404, consulte Como solucionar erros 404/502/504?
Coletando informações de nome de domínio
Antes de adicionar um nome de domínio, obtenha as informações listadas em Tabela 1.
Informação |
Parâmetro |
Descrição |
Valor de exemplo |
---|---|---|---|
Se um proxy é usado para o nome de domínio |
Proxy configurado |
Esse parâmetro deve ser definido como Yes se um proxy da Web de camada 7, como CDN e serviço de aceleração de nuvem, tiver sido implantado para seu site antes de você conectá-lo ao WAF. |
N/D |
gerais |
Nome de domínio |
O nome de domínio é usado pelos visitantes para acessar seu site. Um nome de domínio consiste em letras separadas por pontos (.). É um endereço legível por humanos que mapeia para o endereço IP legível por máquina do seu servidor. |
www.example.com |
Porto padrão/não padronizado |
A porta de serviço correspondente ao nome de domínio do site que você deseja proteger.
|
80 |
|
HTTP/2 Usado |
O protocolo HTTP/2 pode ser usado apenas para acesso entre o cliente e o WAF com a condição de que pelo menos um servidor de origem tenha HTTPS usado para o Client Protocol. |
- |
|
Protocolo do cliente |
Protocolo usado por um cliente (por exemplo, um navegador) para acessar um site. O WAF suporta HTTP e HTTPS. |
HTTP |
|
Protocolo do servidor |
Protocolo usado pelo WAF para encaminhar solicitações ao cliente (como um navegador). As opções são HTTP e HTTPS. |
HTTP |
|
Endereço do servidor |
Endereço IP público ou nome de domínio do servidor de origem para um cliente (como um navegador) acessar. Geralmente, um endereço IP público mapeia para o registro A do nome de domínio configurado no DNS e um nome de domínio para o registro CNAME. |
XXX.XXX.1.1 |
|
(Opcional) Certificado |
- |
Se você definir o Client Protocol como HTTPS, será necessário configurar um certificado no WAF e associá-lo ao nome de domínio.
AVISO:
Somente certificados .pem podem ser usados no WAF. Se o certificado não estiver no formato PEM, converta-o para o formato pem consultando Como faço para converter um certificado em Formato PEM? |
Nenhum |
Procedimento
- Efetue login no console de gerenciamento.
- Clique em no canto superior esquerdo do console de gerenciamento e selecione uma região ou projeto.
- Clique em no canto superior esquerdo e escolha Web Application Firewall em Security & Compliance.
- No painel de navegação, escolha Website Settings.
- No canto superior esquerdo da lista de sites, clique em Add Website.
- Selecionar Modo de Nuvem. Digite o nome de domínio na caixa de texto Domain Name e clique em OK.
Figura 1 Nome de domínio
Você pode inserir um nome de domínio único multinível . (por exemplo, nome de domínio de nível superior exemplo.com e nome de domínio de nível 2 www.example.com) ou um nome de domínio curinga (*.exemplo.com).
- Nomes de domínio curinga não podem conter sublinhados (_).
- A seguir estão as regras para adicionar curingas a nomes de domínio:
- Se o endereço IP do servidor de cada nome de subdomínio for o mesmo, digite um nome de domínio curinga a ser protegido. Por exemplo, se os nomes de subdomínio a.exemplo.com, b.exemplo.com e c.exemplo.com tiverem o mesmo endereço IP de servidor, você poderá adicionar o nome de domínio curinga *.exemplo.com ao WAF para proteger os três.
- Se os endereços IP do servidor dos nomes de subdomínio forem diferentes, adicione nomes de subdomínio como nomes de domínio únicos, um por um.
Se o seu nome de domínio estiver hospedado no Huawei Cloud, você pode clicar em Quick Add. Na caixa de diálogo Select Domain Name exibida, selecione o nome de domínio que deseja proteger e clique em OK. O nome de domínio hospedado é adicionado automaticamente.
- Configurar Domain Name e outros parâmetros, referindo-se a Tabela 2. Figura 2 mostra um exemplo.
Tabela 2 Descrição do parâmetro Parâmetro
Descrição
Valor de exemplo
Nome do site
Nome do site que você quer proteger
N/D
Nome de domínio
O nome de domínio de um site a ser protegido. Pode ser um único nome de domínio ou um nome de domínio curinga.
- Nome de domínio único: Insira um único nome de domínio.
- Nome de domínio wildcard: Digite um nome de domínio curinga do site a ser protegido. Nomes de domínio curinga não podem conter sublinhados (_).
NOTA:- Se o endereço IP do servidor de cada nome de subdomínio for o mesmo, insira um nome de domínio curinga. Por exemplo, se os nomes de subdomínio a.exemplo.com, b.exemplo.com e c.exemplo.com tiverem o mesmo endereço IP de servidor, você poderá adicionar o nome de domínio curinga *.exemplo.com ao WAF para proteger os três.
- Se os endereços IP do servidor dos nomes de subdomínio forem diferentes, adicione nomes de subdomínio como nomes de domínio únicos, um por um.
Nome de domínio único: www.example.com
Nome de domínio de nível superior: example.com
Nome de domínio Wildcard: *.example.com
Observações do site
(Opcional) Você pode fornecer comentários sobre seu site, se desejar.
-
Porto não padronizado
Defina este parâmetro somente se Non-standard Port estiver selecionada. Para mais detalhes, consulte Exemplo de configuração 1: Protegendo o tráfego para a mesma porta padrão com diferentes endereços IP de servidor de origem atribuídos.
- Se você definir o Client Protocol como HTTP, o WAF protegerá os serviços na porta padrão 80 por padrão. Se você definir o Client Protocol como HTTPS, o WAF protegerá os serviços na porta padrão 443 por padrão.
- Para configurar uma porta diferente das portas 80 e 443, selecione Non-standard Port e selecione uma porta não padrão na lista suspensa Port.
Para obter detalhes sobre as portas não padrão suportadas pelo WAF, consulte Quais portas não padrão o WAF suporta?
NOTA:Se uma porta não-padrão estiver configurada, os visitantes precisarão adicionar a porta não-padrão ao final do endereço do site quando acessarem o site. Caso contrário, ocorrerá um erro 404. Se ocorrer um erro 404, consulte Como solucionar erros 404/502/504?
81
Usar HTTP/2
Se o seu site precisa oferecer suporte ao acesso HTTP/2, selecione esse parâmetro.
O protocolo HTTP/2 pode ser usado apenas para acesso entre o cliente e o WAF com a condição de que pelo menos um servidor de origem tenha HTTPS usado para o Client Protocol.
-
Observações do site
Uma breve descrição do site
-
Configuração do servidor
Configurações de endereço do servidor web, incluindo Client Protocol, Server Protocol, Server Address, e Server Port.
- Client Protocol: protocolo usado por um cliente para acessar um servidor. As opções são HTTP e HTTPS.
- Server Protocol: protocolo usado pelo WAF para encaminhar solicitações de clientes. As opções são HTTP e HTTPS.
NOTA:
- Para obter detalhes sobre a configuração do Client Protocol e do Server Protocol, consulte Regras para configurar o protocolo do cliente e o protocolo do servidor.
- O WAF pode verificar a solicitação WebSocket e WebSockets, que é ativada por padrão.
- Server Address: endereço IP público (geralmente correspondente ao registro A do nome de domínio configurado no DNS) ou nome de domínio (geralmente correspondendo ao CNAME do nome de domínio configurado no DNS) do servidor web que um cliente acessa.
- Server Port: porta de serviço do servidor para a qual a instância do WAF encaminha as solicitações do cliente.
Client Protocol: HTTP
Server Protocol: HTTP
Server Address: XXX.XXX.1.1
Server Port: 80
Nome do certificado
Se você definir o Client Protocol como HTTPS, será necessário um certificado SSL. Você pode selecionar um certificado criado ou importar um certificado. Para obter detalhes sobre como importar um certificado, consulte Importando um novo certificado.
Os certificados importados são listados na página Certificates. Para mais detalhes, veja Carregamento de um certificado.
Além disso, você pode comprar um certificado no console do SCM e enviá-lo para o WAF. Para obter detalhes sobre como enviar um certificado SSL no SCM para o WAF, consulte Enviando um certificado SSL para outros serviços em Nuvem.
AVISO:- Somente certificados .pem podem ser usados no WAF. Se o certificado não estiver no formato.pem, converta-o em.pem consultando-o Tabela 4 antes de carregar o certificado.
- Atualmente, os certificados comprados no Huawei Cloud SCM podem ser enviados apenas para o projeto corporativo default. Para outros projetos corporativos, os certificados SSL enviados pelo SCM não podem ser usados.
- Se o certificado do seu site estiver prestes a expirar, compre um novo certificado antes da data de expiração e atualize o certificado associado ao site no WAF.
- Cada nome de domínio deve ter um certificado associado. Um nome de domínio curinga só pode usar um certificado de domínio curinga. Se você tiver apenas certificados de domínio único, adicione nomes de domínio um a um no WAF.
Nenh
Proteção IPv6
- Se você selecionar IPv6 para Server Address, IPv6 Protection será ativada por padrão.
- Se você selecionar IPv4 para o Server Address e ativar a IPv6 Protection, o WAF atribuirá um endereço IPv6 ao nome de domínio para que o site seja acessível por meio do endereço IPv6. Desta forma, as solicitações para o endereço IPv6 são roteadas pelo WAF para o endereço IPv4 do servidor de origem.
NOTA:Se o servidor de origem usar endereços IPv6, a proteção IPv6 será ativada por padrão. Para evitar a interrupção do serviço IPv6, mantenha a proteção IPv6 ativada. Se a proteção IPv6 não for necessária, edite a configuração do servidor e exclua a configuração IPv6 do servidor de origem primeiro. Para obter detalhes, consulte Editando Informações do Servidor.
Ativar
Algoritmo de balanceamento de carga
Selecione um algoritmo de balanceamento de carga.
- Origin server IP hash: As solicitações do mesmo endereço IP são roteadas para o mesmo servidor de back-end.
- Weighted round robin: As solicitações são distribuídas pelos servidores de back-end, por sua vez, com base no peso atribuído a cada servidor.
- Session hash: Solicitações com a mesma tag de sessão são roteadas para o mesmo servidor de origem. Para ativar esse algoritmo, configure identificadores de tráfego para fontes de ataque conhecidas, ou o algoritmo de hash de sessão não pode ter efeito.
Para mais detalhes, consulte Alternação de algoritmo de balanceamento de carga.
Round Robin ponderado
- Configurar Proxy Configured.
Se seu site tiver servidores proxy de camada-7, como CDN e produtos de aceleração de nuvem implantados na frente do WAF, selecione Yes para Proxy Configured. Isso garante que o WAF obtenha endereços IP reais do cliente, pois a proteção do WAF só entra em vigor para endereços IP reais do cliente onde as solicitações são iniciadas. Além disso, pode haver vários endereços IP no campo de endereço IP de origem.Para garantir que o WAF obtenha o endereço IP real do visitante que inicia a solicitação, adicione um identificador de tráfego IP para o site protegido . (por exemplo, CDN-Src-IP pode ser adicionado para um proxy CDN). Para mais detalhes, consulte Configuração de um identificador de tráfego para uma origem de ataque conhecida
- If a proxy is deployed before WAF on your website, the WAF working mode cannot be switched to Bypassed. Para mais detalhes, veja Alternação de modo de trabalho do WAF.
- Se um site não usar nenhum proxy, mas você selecionar Yes para Proxy Configured, o WAF confiará no campo X-Forwarded-For no cabeçalho da solicitação HTTP ao obter o endereço IP de origem real. Portanto, seu negócio não é afetado.
- Especifique Configure Policy. Por padrão, system-generated policy é selecionada. Você pode selecionar regras personalizadas. Para mais detalhes, consulte Tabela 3.
Se você estiver usando o WAF standard edition (antiga edição profissional), somente System-generated policy estará disponível.
Você pode selecionar uma política configurada. Você também pode personalizar as regras depois que o nome de domínio for conectado ao WAF.
Tabela 3 Políticas geradas pelo sistema Edição
Política
Descrição
Edição padrão (antiga edição profissional)
Proteção básica da Web (modo de Log only e verificações comuns)
The basic web protection defends against attacks such as SQL injections, XSS, remote overflow vulnerabilities, file inclusions, Bash vulnerabilities, remote command execution, directory traversal, sensitive file access, and command/code injections.
Edição Professional (anteriormente Enterprise Edition) e Platinum Edition (anteriormente Premium)
Proteção básica da Web (modo de Log only e verificações comuns)
The basic web protection defends against attacks such as SQL injections, XSS, remote overflow vulnerabilities, file inclusions, Bash vulnerabilities, remote command execution, directory traversal, sensitive file access, and command/code injections.
Anti-crawler (modo de Log only e recurso Scanner)
WAF only logs web scanning tasks, such as vulnerability scanning and virus scanning, such as crawling behavior of OpenVAS and Nmap.
Log only: WAF only logs detected attack events instead of blocking them.
- Clique em Next.
É aconselhável ignorar esta etapa clicando em Next e, em seguida, Finish. Em seguida, conecte o nome de domínio ao WAF posteriormente, referindo-se a Passo 3: Testando o WAF e Passo 4: Encaminhamento do tráfego do site para o WAF.
Um registro CNAME é gerado com base em um nome de domínio. Para o mesmo nome de domínio, os registros CNAME são os mesmos.
- Clique em Next e, em seguida, em Finish.
Em seguida, você pode ver o status de acesso e o modo de trabalho para o nome de domínio adicionado na página Website Settings.
Figura 3 Nome de domínio adicionado
- Para configurar uma política de proteção para o site, clique em Configure Policy.
- Para adicionar mais sites a serem protegidos, clique em Add Another Domain Name.
- Para exibir o site adicionado, feche a caixa de diálogo.
- Se o servidor usar outros firewalls de rede, desative esses firewalls de rede ou adicione o intervalo de endereços IP do WAF à lista de permissões de endereços IP desses firewalls de rede. Caso contrário, esses firewalls podem considerar o endereço IP do WAF como um endereço IP malicioso. Para obter detalhes, consulte Como faço para colocar na lista branca o intervalo de endereços IP back-to-source do WAF?
- Se o servidor da Web estiver usando software de segurança pessoal, substitua-o por software de segurança empresarial e coloque na lista de permissões os intervalos de endereços IP do WAF.
Verificação
- Por padrão, o WAF detecta o Access Status de cada nome de domínio protegido a cada hora.
- Geralmente, se você executou uma conexão de domínio e Access Status é Accessible, o nome de domínio é conectado ao WAF.
Se um nome de domínio tiver sido conectado ao WAF, mas Access Status estiver Inaccessible, clique em para atualizar. Se o Access Status ainda estiver Inaccessible, conecte o nome de domínio ao WAF novamente, referindo-se a Passo 4: Encaminhamento do tráfego do site para o WAF.
Importando um novo certificado
Se você definir o Client Protocol como HTTPS, será necessário um certificado SSL. Você pode executar as etapas a seguir para importar um novo certificado.
- Clique em Import New Certificate. Na caixa de diálogo Import New Certificate exibida, insira o nome do certificado e cole o arquivo do certificado e a chave privada nas caixas de texto correspondentes. Figura 4 mostra um exemplo.
O WAF criptografa e salva a chave privada para mantê-la segura.
Somente certificados .pem podem ser usados no WAF. Se o certificado não estiver no formato.pem, converta-o localmente para.pem consultando Tabela 4 antes de carregá-lo.Tabela 4 Comandos de conversão de certificados Formato
Método de conversão
CER/CRT
Renomeie o arquivo de certificado cert.crt para cert.pem.
PFX (em inglês)
- Obtenha uma chave privada. Por exemplo, execute o seguinte comando para converter cert.pfx em key.pem:
openssl pkcs12 -in cert.pfx -nocerts -out key.pem -nodes
- Obter um certificado. Por exemplo, execute o seguinte comando para converter cert.pfx em cert.pem:
openssl pkcs12 -in cert.pfx -nokeys -out cert.pem
P7B
- Converter um certificado. Por exemplo, execute o seguinte comando para converter cert.p7b em cert.cer:
openssl pkcs7 -print_certs -in cert.p7b -out cert.cer
- Renomeie o arquivo de certificado cert.cer para cert.pem.
DER
- Obtenha uma chave privada. Por exemplo, execute o seguinte comando para converter privatekey.der em privatekey.pem:
openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem
- Obter um certificado. Por exemplo, execute o seguinte comando para converter cert.cer em cert.pem:
openssl x509 -inform der -in cert.cer -out cert.pem
- Antes de executar um comando OpenSSL, verifique se a ferramenta OpenSSL foi instalada no host local.
- Se seu PC local executa um sistema operacional Windows, vá para a interface de linha de comando (CLI) e execute o comando de conversão de certificados.
- Obtenha uma chave privada. Por exemplo, execute o seguinte comando para converter cert.pfx em key.pem:
- Clique em OK.
Exemplo de configuração 1: Protegendo o tráfego para a mesma porta padrão com diferentes endereços IP de servidor de origem atribuídos
- Desmarque Non-standard Port.
- Selecione HTTP ou HTTPS para Client Protocol. Figura 5 e Figura 6 mostrar configurações de porta padrão quando o protocolo do cliente é HTTP ou HTTPS.
Se o Client Protocol estiver definido como HTTPS, é necessário um certificado.
- Os visitantes do seu site podem acessar o site sem adicionar uma porta ao final do nome de domínio. Por exemplo, digite http://www.example.com na caixa de endereço do navegador para acessar o site.
Exemplo de configuração 1: Protegendo o tráfego para uma porta não padrão com diferentes endereços IP do servidor de origem atribuídos
- Selecione Non-standard Port e selecione uma porta não padrão a ser protegida na lista suspensa Port. Para obter detalhes sobre as portas não padrão suportadas pelo WAF, consulte Quais portas não padrão o WAF suporta?
- Selecione HTTP ou HTTPS para Client Protocol para todas as portas do servidor. Figura 7 e Figura 8 mostrar a configuração da porta HTTP ou HTTPS não padrão, respectivamente.
Se o Client Protocol estiver definido como HTTPS, é necessário um certificado.
- Os visitantes devem adicionar a porta não padrão configurada ao nome de domínio quando acessam seu site. Caso contrário, o erro 404 é retornado. Se a porta não padrão for 8080, digite http://www.example.com:8080 na caixa de endereço do navegador.
Exemplo de configuração 3: Protegendo diferentes portas de serviço
Regras para configurar o protocolo do cliente e o protocolo do servidor
O WAF fornece vários tipos de protocolo. Se o seu site for www.example.com, o WAF fornece os seguintes quatro modos de acesso:
- Método HTTP (Figura 11)
Essa configuração permite que os visitantes da Web acessem o http://www.example.com apenas por HTTP. Se eles acessarem via HTTPS, eles receberão o código 302 Found e serão redirecionados para http://www.example.com.
- Método HTTPS. Essa configuração permite que os visitantes da Web acessem seu site apenas por HTTPS. Se eles acessarem via HTTP, eles serão redirecionados para a URL HTTPS. Figura 12 mostra um exemplo.
- Se os visitantes da Web acessarem seu site por HTTPS, o site retornará uma resposta bem-sucedida.
- Se os visitantes da web acessarem o http://www.example.com por HTTP, eles receberão o código 302 Found e serão direcionados para https://www.example.com.
- Método de encaminhamento HTTP/HTTPS. Figura 13 mostra um exemplo.
- Se os visitantes da Web acessarem seu site por HTTP, o site retornará uma resposta bem-sucedida, mas nenhuma comunicação entre o navegador e o site será criptografada.
- Se os visitantes da Web acessarem seu site por HTTPS, o site retornará uma resposta bem-sucedida e todas as comunicações entre o navegador e o site serão criptografadas.
- Descarregamento HTTPS pelo WAF. Figura 14 mostra um exemplo.
Se os visitantes da Web acessarem seu site por HTTPS, o WAF encaminhará as solicitações para o servidor de origem por HTTP.