Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.

Central de ajuda/ Web Application Firewall/ Guia de usuário/ Ativação de proteção de WAF/ Conexão de um site ao WAF (Modo Dedicado)/ Passo 1: Adicionar um site ao WAF (Modo Dedicado)

Atualizado em 2024-08-05 GMT+08:00

Ver PDF

Passo 1: Adicionar um site ao WAF (Modo Dedicado)

Se seus servidores de serviço forem implantados no Huawei Cloud, você poderá adicionar o nome de domínio ou o endereço IP do site ao WAF para que o tráfego do site seja encaminhado ao WAF para inspeção.

Se você tiver ativado projetos da empresa, poderá selecionar seu projeto da empresa na lista suspensa Enterprise Project e adicionar sites a serem protegidos no projeto.

Pré-requisitos

Você adquiriu uma instância dedicada do WAF.
O nome de domínio ou endereço IP foi registrado com a licença ICP, mas não foi adicionado ao WAF.

Restrições

Um balanceador de carga voltado para a Internet foi implantado no site que você deseja proteger com instâncias WAF dedicadas.
Se seu site não tiver um servidor proxy de camada-7, como CDN e serviço de aceleração de nuvem implantado na frente do WAF, e usar apenas balanceadores de carga de camada-4 (ou NAT), defina Proxy Configured como No. Caso contrário, Proxy Configured deve ser definido como Yes. Isso garante que o WAF obtenha endereços IP reais dos visitantes do site e tome ações de proteção configuradas nas políticas de proteção.
Os nomes de domínio dos sites a serem protegidos devem ter licenças ICP. Caso contrário, os nomes de domínio não podem ser adicionados ao WAF.

Coletando Informações de Nome de Domínio/Endereço IP

Antes de adicionar um nome de domínio ou endereço IP, obtenha as informações listadas em Tabela 1.

**Tabela 1** Nome de domínio ou detalhes de endereço IP necessários
Informação	Parâmetro	Descrição	Valor de exemplo
Parâmetros	Nome de domínio/endereço IP	Nome de domínio: usado pelos visitantes para acessar seu site. Um nome de domínio consiste em letras separadas por pontos (.). É um endereço legível por humanos que mapeia para o endereço IP legível por máquina do seu servidor. IP: Endereço IP do site.	www.example.com
	Porto padrão/não padronizado	A porta de serviço correspondente ao nome de domínio do site que você deseja proteger. Portas padrão 80: porta padrão quando o protocolo do cliente é definido como HTTP 443: porta padrão quando o protocolo do cliente é definido como HTTPS Portas não padronizadas Portas diferentes das portas 80 e 443 AVISO: Se o seu site usa uma porta não padrão, verifique se a edição do WAF que você planeja comprar pode proteger a porta não padrão antes de fazer uma compra. Para mais detalhes, consulte Portas suportadas pelo WAF.	80
	Protocolo do cliente	Protocolo usado por um cliente (por exemplo, um navegador) para acessar o site. O WAF suporta HTTP e HTTPS.	HTTP
	Protocolo do servidor	Protocolo usado pelo WAF para encaminhar solicitações ao cliente (como um navegador). As opções são HTTP e HTTPS.	HTTP
	VPC	Selecione a VPC à qual a instância dedicada do WAF pertence.	vpc-default
	Endereço do servidor	Endereço IP privado ou nome de domínio do servidor do site que um cliente (por exemplo, um navegador) acessa	192.168.1.1
(Opcional) Certificado	Nenhum	Se você definir o Client Protocol como HTTPS, será necessário configurar um certificado no WAF e associá-lo ao nome de domínio. AVISO: Somente certificados .pem podem ser usados no WAF. Se o certificado não estiver no formato PEM, converta-o para o formato pem consultando Como faço para converter um certificado em formato PEM? Atualmente, os certificados comprados no Huawei Cloud SCM podem ser enviados apenas para o projeto corporativo default. Para outros projetos corporativos, os certificados SSL enviados pelo SCM não podem ser usados.	Nenhum

Procedimento

Efetue login no console de gerenciamento.
Clique em no canto superior esquerdo do console de gerenciamento e selecione uma região e um projeto.
Clique em no canto superior esquerdo e escolha Web Application Firewall em Security & Compliance.

No painel de navegação, escolha Website Settings.
No canto superior esquerdo da lista de sites, clique em Add Website.

Configure as informações básicas do nome de domínio. Figura 1 mostra um exemplo. Tabela 2 listas parâmetros.

Figura 1 Configurando as configurações básicas de um site

**Tabela 2** Descrição do parâmetro
Parâmetro	Descrição	Valor de exemplo
Nome do site	Nome do site que você quer proteger	Nenh
Site Protegido	Um nome de domínio ou endereço IP do site a ser protegido. O nome de domínio pode ser um único nome de domínio ou um nome de domínio curinga. Nome de domínio único: Insira um único nome de domínio. Por exemplo, o www.example.com. Nome de domínio Wildcard NOTA: Nomes de domínio curinga não podem conter sublinhados (_). Se o endereço IP do servidor de cada nome de subdomínio for o mesmo, digite um nome de domínio curinga a ser protegido. Por exemplo, se os nomes de subdomínio a.example.com , *b.example.com* , e c.example.com tiverem o mesmo endereço IP de servidor, você poderá adicionar o nome de domínio curinga *.example.com ao WAF para proteger os três. Se os endereços IP do servidor dos nomes de subdomínio forem diferentes, adicione nomes de subdomínio como nomes de domínio únicos, um por um.	Nome de domínio único: www.example.com Nome de domínio curinga: .example.com Formato do endereço IP: XXX.XXX.1.1*
Porta	Defina este parâmetro somente se Non-standard Port estiver selecionada. Exemplo de configuração 1: Protegendo o tráfego para a mesma porta padrão com diferentes endereços IP de servidor de origem atribuídos mostra um exemplo da configuração da porta. Se o Client Protocol for HTTP, o WAF protegerá os serviços na porta padrão 80 por padrão. Se o Client Protocol for HTTPS, o WAF protegerá os serviços na porta padrão 443 por padrão. Para configurar uma porta diferente das portas 80 e 443, selecione Non-standard Port e selecione uma porta não padrão na lista suspensa Port. Para obter detalhes sobre as portas não-padrão suportadas pelo WAF, consulte Quais portas não-padrão o WAF suporta? NOTA: Se uma porta não padrão estiver configurada, os visitantes precisarão adicionar a porta não padrão ao final do endereço do site quando acessarem o site. Caso contrário, ocorrerá um erro 404.	81
Observações do site	Uma breve descrição do site	-
Configuração do servidor	Endereço do servidor web. A configuração contém o Client Protocol, Server protocol, a VPC, Server Address, e Server Port. Client Protocol: Protocolo usado para encaminhar solicitações de um cliente para a instância dedicada do WAF. As opções são HTTP e HTTPS. Server Protocol: Protocolo usado para encaminhar uma solicitação de cliente para o servidor de origem por meio da instância dedicada do WAF. As opções são HTTP e HTTPS. NOTA: Para obter detalhes sobre como configurar Client Protocol e Server Protocol, consulte Regras para configurar o protocolo do cliente e o protocolo do servidor. O WAF pode verificar solicitações WebSocket e WebSockets, o que é ativado por padrão. VPC: Selecione a VPC à qual a instância dedicada do WAF pertence. Server Address: Endereço IP privado / interno ou nome de domínio do servidor do site que um cliente (por exemplo, um navegador) acessa. Server Port: porta de serviço do servidor para a qual a instância dedicada do WAF encaminha as solicitações do cliente.	Client Protocol: HTTP Server Protocol: HTTP VPC: vpc-default Server Address: 192.168.1.1 Server Port: 80
Nome do certificado	Se Client Protocol estiver definido como HTTPS, selecione um certificado. Você pode selecionar um certificado existente ou importar um certificado externo. Para obter detalhes sobre como importar um certificado, consulte Importando um Novo Certificado. Para obter detalhes sobre como criar um certificado, consulte Carregamento de um certificado. Além disso, você pode comprar um certificado no console do SCM e enviá-lo para o WAF. Para obter detalhes sobre como enviar um certificado SSL no SCM para o WAF, consulte Enviando um certificado SSL para outros serviços em Nuvem. AVISO: Somente certificados .pem podem ser usados no WAF. Se o certificado não estiver no formato.pem, converta-o em certificado a.pem consultando Importando um Novo Certificado antes de carregar o certificado. Atualmente, os certificados comprados no Huawei Cloud SCM podem ser enviados apenas para o projeto corporativo default. Para outros projetos corporativos, os certificados SSL enviados pelo SCM não podem ser usados. Cada nome de domínio deve ter um certificado associado. Um nome de domínio curinga só pode usar um certificado de domínio curinga. Se você tiver apenas certificados de domínio único, adicione nomes de domínio ao WAF um por um.	Nenhum

Configurar Proxy Configured .

Se seu site não tiver um servidor proxy de camada-7, como CDN e serviço de aceleração de nuvem implantado na frente do WAF, e usar apenas balanceadores de carga de camada-4 (ou NAT), defina Proxy Configured como No. Caso contrário, Proxy Configured deve ser definido como Yes. Isso garante que o WAF obtenha endereços IP reais dos visitantes do site e tome ações de proteção configuradas nas políticas de proteção.
Selecione uma política. Por padrão, system-generated policy é selecionada.

Você pode selecionar uma política configurada. Você também pode personalizar as regras depois que o nome de domínio for conectado ao WAF.

Políticas geradas pelo sistema:
- Proteção básica da Web (modo Log only e verificações comuns)
  The basic web protection defends against attacks such as SQL injections, XSS, remote overflow vulnerabilities, file inclusions, Bash vulnerabilities, remote command execution, directory traversal, sensitive file access, and command/code injections.
- Anti-crawler (modo de Log only e recurso Scanner)
  WAF only logs web scanning tasks, such as vulnerability scanning and virus scanning, such as crawling behavior of OpenVAS and Nmap.
Log only: WAF only logs detected attack events instead of blocking them.
Clique em OK .

Figura 2 Nome de domínio adicionado
- Clique em Configure Policy e configure uma política de proteção para o site.
- Clique em Add Another Domain Name e adicione mais sites a serem protegidos.
- Feche a caixa de diálogo e exiba os sites adicionados na lista de sites protegidos.

Verificação

O Access Status inicial de um site é Inaccessible. Depois de configurar um balanceador de carga e vincular um EIP ao balanceador de carga do seu site, quando uma solicitação atinge a instância dedicada do WAF, o status de acesso muda automaticamente para Accessible.

Importando um Novo Certificado

Se você definir o Client Protocol como HTTPS, será necessário um certificado SSL. Você pode executar as etapas a seguir para importar um novo certificado.

Clique em Import New Certificate. Na caixa de diálogo exibida, insira um nome de certificado e copie o arquivo de certificado e a chave privada para as caixas de texto correspondentes.

Figura 3 Importar Novo Certificado

O WAF criptografa e salva a chave privada para mantê-la segura.

Somente certificados .pem podem ser usados no WAF. Se o certificado não estiver no formato.pem, converta-o localmente para.pem consultando Tabela 3 antes de carregá-lo.

**Tabela 3** Comandos de conversão de certificados
Formato	Método de conversão
CER/CRT	Renomeie o arquivo de certificado cert.crt para cert.pem.
PFX (em inglês)	Obtenha uma chave privada. Por exemplo, execute o seguinte comando para converter cert.pfx em key.pem: openssl pkcs12 -in cert.pfx -nocerts -out key.pem -nodes Obter um certificado. Por exemplo, execute o seguinte comando para converter cert.pfx em cert.pem: openssl pkcs12 -in cert.pfx -nokeys -out cert.pem
P7B	Converter um certificado. Por exemplo, execute o seguinte comando para converter cert.p7b em cert.cer: openssl pkcs7 -print_certs -in cert.p7b -out cert.cer Renomeie o arquivo de certificado cert.cer para cert.pem.
DER	Obtenha uma chave privada. Por exemplo, execute o seguinte comando para converter privatekey.der em privatekey.pem: openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem Obter um certificado. Por exemplo, execute o seguinte comando para converter cert.cer em cert.pem: openssl x509 -inform der -in cert.cer -out cert.pem

Antes de executar um comando OpenSSL, verifique se a ferramenta OpenSSL foi instalada no host local.
Se seu PC local executa um sistema operacional Windows, vá para a interface de linha de comando (CLI) e execute o comando de conversão de certificados.

Clique em OK.

Tópico principal: Conexão de um site ao WAF (Modo Dedicado)

Tópico anterior: Processo de conexão (modo dedicado)

Próximo tópico: Passo 2: Configurar um balanceador de carga

Feedback

Esta página foi útil?

Sim Não

Deixar um comentário

Obrigado por seus comentários. Estamos trabalhando para melhorar a documentação.

O sistema está ocupado. Tente novamente mais tarde.

Quais dos seguintes problemas você encontrou?

O conteúdo é inconsistente com a UI do produto

Descrições pouco claras

Falta de exemplos ou código

Passos incorretos

Não encontro o que preciso

Falta de melhores práticas

Feedback (opcional)

0/500

Selecione pelo menos um tipo de problema e insira seus comentários ou sugestões.

Insira um máximo de 500 caracteres.

Enviar Cancelar