新手入门常见问题
本章节为您罗列了WAF入门级的常见问题。
接入WAF对现有业务和服务器运行有影响吗?
接入WAF不需要中断现有业务,不会影响源站服务器的运行状态,即不需要对源站服务站进行任何操作(例如关机或重启)。
Web应用防护墙可以部署在VPC内网吗?
可以。独享版WAF的独享引擎实例部署在VPC内。
独享版WAF是否支持跨VPC防护?
WAF独享引擎不支持跨VPC防护的场景。如果WAF独享引擎实例与源站不在同一个VPC中,建议您重新申请与源站在同一VPC下的WAF独享引擎实例进行防护。
Web应用防火墙支持哪些操作系统?
Web应用防火墙部署在云端,即与操作系统没有关系。故Web应用防火墙支持任意操作系统,任意操作系统上的域名服务器都可以接入WAF做防护。
Web应用防火墙提供的是几层防护?
Web应用防火墙提供的是七层(物理层、数据链路层、网络层、传输层、会话层、表示层和应用层)防护。
Web应用防火墙如何拦截请求内容?
WAF对请求的首部和body体都会进行检测。例如body的表单、xml、json等数据都会被WAF检测,WAF通过检测对不符合防护规则的请求内容进行拦截。
Web应用防火墙是否支持文件缓存?
WAF只缓存配置了网页防篡改的静态网页,用于将缓存的未被篡改的网页返回给Web访问者,以达到防篡改的目的。
WAF会缓存网站数据吗?
WAF的网页防篡改功能,可以为用户提供应用层的防护,只对网站的静态网页进行缓存,当用户访问网站时返回给用户缓存的正常页面,并随机检测网页是否被篡改。
Web应用防火墙是否支持健康检查?
WAF目前暂不支持健康检查的功能,如果您希望服务器有健康性检查的功能,建议您将弹性负载均衡(ELB)和WAF搭配使用,ELB配置完成后,再将ELB的EIP作为服务器的IP地址,接入WAF,实现健康检查。
Web应用防火墙是否支持SSL双向认证?
不支持。您可以在WAF上配置单向的SSL证书。
添加防护网站时,如果“对外协议”使用了HTTPS协议,您需要上传证书使证书绑定到防护网站。
Web应用防火墙支持基于应用层协议和内容的访问控制吗?
WAF支持应用层协议和内容的访问控制,应用层协议支持HTTP和HTTPS。
Web应用防火墙是否可以对用户添加的Post的body进行检查?
WAF的内置检测会检查Post数据,webshell是Post提交的文件。Post类型提交的表单、json等数据,都会被WAF的默认策略检查。
您可以通过配置精准访问防护规则,对添加的Post的body进行检查。
Web应用防火墙可以限制域名访问速度吗?
不支持。WAF支持通过自定义CC防护规则,限制单个IP/Cookie/Referer访问者对防护网站上特定路径(URL)的访问频率,精准识别CC攻击以及有效缓解CC攻击。
Web应用防火墙支持拦截包含特殊字符的URL请求吗?
WAF不支持将拦截请求URL中含有特殊字符作为拦截条件,即URL请求中有特殊字符,WAF不会拦截。WAF可以对来源IP进行检测和限制。
Web应用防火墙可以防止垃圾注册和恶意注册吗?
WAF不能防止垃圾注册和恶意注册等业务层面攻击行为。建议您在网站配置注册验证机制,以防止垃圾注册和恶意注册。
WAF通过对HTTP(S)请求进行检测,可以识别并阻断Web服务的网络攻击(SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等)。
Web应用防火墙可以拦截Web页面调用其他接口的请求数据吗?
当Web页面调用其他接口的请求数据在WAF防护域名内时,该请求数据将经过WAF,WAF会检测并阻断该请求数据。
如果Web页面调用其他接口的请求数据不在WAF防护域名内,则该请求数据不经过WAF,WAF不会拦截该请求数据。
Web应用防火墙可以设置域名限制访问吗?
WAF不能直接通过域名限制访问。WAF支持配置黑白名单规则(即设置IP黑/白名单),阻断、仅记录或放行指定IP或IP段的访问请求。
您可以通过配置黑白名单规则,阻断、仅记录或放行域名对应的IP或IP段的访问请求。
Web应用防火墙有IPS入侵防御系统模块吗?
Web应用防火墙没有传统防火墙的IPS模块,不支持IPS入侵防御,仅支持对HTTP/HTTPS协议的入侵检测。
HTTP 2.0业务接入WAF防护是否会对源站有影响?
HTTP 2.0业务接入WAF防护对源站有影响。HTTP 2.0业务接入WAF防护表示WAF可以处理客户端的HTTP 2.0请求,而WAF目前仅支持以HTTP 1.0/1.1协议转发回源请求,即WAF与源站间暂不支持HTTP 2.0。因此,如果您将HTTP 2.0业务接入WAF防护,则源站的HTTP 2.0特性将会受到影响,例如,源站HTTP 2.0的多路复用特性可能失效,造成源站业务请求量上升。
使用Web应用防火墙对邮件收发和邮件端口有影响吗?
WAF是对Web应用网页进行防护,当您的网站接入WAF后,对邮件收发和邮件端口不会产生影响。
什么是并发数?
并发数指系统能够同时处理请求的数目。对于网站而言,并发数即网站并发用户数,指同时提交请求的用户数目。
如果证书挂载在ELB上,WAF可以根据请求内容进行拦截吗?
如果证书挂载在ELB上,通过WAF的请求都是加密的。对于HTTPS的业务,您必须将证书上传到WAF上,WAF才能根据解密之后的请求判断是否进行拦截。
源站IP地址服务器更换安全组后,在WAF中需要做更改吗?
添加到WAF的网站的源站IP地址服务器更换安全组后,在WAF中不需要做任何操作,但是需要在源站放行WAF的回源IP或者实例IP。
使用WAF是否影响内网向外发送数据?
使用WAF不会影响内网机器向外发送数据。以云模式的CNAME方式或独享模式将网站成功接入WAF后,WAF对网站的HTTP(S)请求进行检测,网站所有访问请求将先流转到WAF,WAF检测过滤恶意攻击流量后,将正常流量返回给源站,从而确保源站安全、稳定、可用。
多个域名对应同一源站,Web应用防火墙可以防护这些域名吗?
可以。不同域名对应同一个源站时,您可以将这些域名都接入WAF进行防护。
WAF的防护对象是域名或IP,如果是多个域名使用了同一个EIP对外提供服务,必须将多个域名都接入WAF才能对所有域名进行防护。
防护规则的路径是否区分大小写?
WAF所有需要配置路径的防护规则,配置的防护路径都区分大小写。
什么是防护IP?
防护IP是指需要保护的网站的IP地址。
云模式WAF提供的解析地址是固定IP吗?
将域名通过云模式添加到WAF后,WAF会随机分配一个CNAME值给域名,用作域名解析,该CNAME值是WAF IP池内随机分配的,不是固定的。
源站IP更改后是否会改变CNAME值?
通过云模式WAF接入网站,源站IP更改后,不会改变WAF分配给该网站的CNAME值。
更换IP后,需要重新将域名添加到WAF吗?
如果网站所在的IP没有发生变化则无需重新在WAF中重新配置,如果网站解析到了新IP则需要重新配置。
WAF需要绑定EIP吗?
WAF云模式无需绑定EIP,独享WAF需要和七层的独享型ELB进行联动,EIB需要有公网IP地址作为业务地址。
Web应用防火墙支持漏洞检测吗?
WAF的网站反爬虫防护功能可以对第三方漏洞攻击等威胁进行检测和拦截。在配置网站反爬虫防护规则时,如果您开启了扫描器,WAF将对扫描器爬虫,如OpenVAS、Nmap等进行检测。
Web应用防火墙是否支持Exchange里的相关协议?
WAF支持exchange里登录网页webmail时的http和https协议;WAF不支持exchange里的SMTP 、POP3 、IMAP 等邮件相关的协议。
Web应用防火墙是否支持防御XOR注入攻击?
Web应用防火墙支持防御XOR注入。
如何理解WAF日志里的bind_ip参数?
网站接入WAF后,WAF作为反向代理存在客户端与源站服务器之间,检测过滤恶意攻击流量,用bind_ip(WAF的回源IP)将正常的流量转发传输到源站。
通过IP接入WAF后,WAF可以防护映射到这个IP的所有域名吗?
不支持。
WAF的独享模式支持源站IP接入WAF防护,且该IP支持私网IP或者内网IP,但WAF仅防护通过IP访问的流量,不能防护映射到这个IP的域名,如需防护域名,需要单独将域名接入WAF进行防护。
WAF是否支持防护CS架构的网站?
如果该网站的CS架构是七层HTTP/HTTPS协议,则WAF可以防护,否则不支持防护。
如何查看当前WAF业务QPS的使用情况和流入的流量?
您可以在源站上,查看源站IP地址的带宽/QPS使用情况流入的流量。
Web应用防火墙可以拦截multipart/form-data格式的数据包吗?
WAF支持拦截multipart/form-data格式的数据包。
Multipart/form-data是浏览器使用表单上传文件的方式。例如,在写邮件时,如果邮件添加了附件,附件通常使用multipart/form-data格式上传到服务器。