文档首页/ Web应用防火墙 WAF/ 最佳实践/ 防护网站迁移策略
更新时间:2024-10-23 GMT+08:00
查看PDF
分享

防护网站迁移策略

应用场景

本手册指导您如何将网站防护策略从阿里云WAF迁移到华为云WAF。

本文以阿里云“按量付费WAF3.0”迁移到华为云“云模式-专业版”为例进行讲解。

资源与成本规划

表1 资源和成本规划

资源

资源说明

每月费用

Web应用防火墙
云模式-专业版:
  • 计费模式:包年/包月
  • 域名数量:50个防护域名(最多支持5个一级域名)
  • QPS配额:5,000QPS业务请求
  • 支持带宽峰值:云内200Mbps/云外50Mbps

具体的计费方式及标准请参考计费说明

步骤一:购买华为云WAF云模式专业版

  1. 登录华为云管理控制台
  2. 在控制台页面中选择安全与合规 > Web应用防火墙 WAF,进入Web应用防火墙控制台。
  3. 在页面右上角,单击“购买WAF实例”,进入购买页面,“WAF模式”选择“云模式”

    • “区域”:根据防护业务的所在区域就近选择购买的WAF区域。
    • “版本规格”:选择“专业版”
    • “扩展包”“购买时长”:根据具体情况进行选择。

  4. 确认参数配置无误后,在页面右下角单击“立即购买”
  5. 确认订单详情无误后,阅读并勾选《Web应用防火墙免责声明》,单击“去支付”,完成购买操作。
  6. 进入“付款”页面,选择付款方式进行付款。

步骤二:网站接入华为云WAF

  1. 在左侧导航树中,选择“网站设置”,进入网站设置列表。
  2. 在网站列表的左上角,单击“添加防护网站”
  3. 选择“云模式-CNAME接入”并单击“开始配置”
  4. 配置网站信息,各项参数配置与阿里云参数配置对照表如表2所示。

    在阿里云控制台接入管理 > CNAME接入页面,在目标域名所在行的“操作”列,单击“编辑”,可查看各项配置信息。

    图1 防护域名配置页面
    表2 参数对应表

    图1中参数编号

    阿里云参数

    对应华为云参数

    域名

    防护域名

    协议类型/端口

    对外协议/防护端口

    WAF前是否有七层代理

    是否使用七层代理

    开启IPV6防护

    IPv6防护

    负载均衡算法

    负载均衡算法

    服务器地址

    源站地址

    防护资源

    默认支持(无需手动配置)

  5. 单击“下一步”,根据界面提示,完成WAF回源IP加白本地验证修改域名DNS解析设置的配置操作。

    图2 添加域名完成

步骤三:防护规则迁移

阿里云WAF和华为云WAF规则的对应参照表3所示。

表3 防护规则对应表

阿里云

华为云

参考文档

基础防护规则

Web基础防护

配置Web基础防护规则防御常见Web攻击

白名单
  • 黑白名单设置
  • 全局白名单

IP黑名单

黑白名单设置

自定义规则

精准访问防护

配置精准访问防护规则定制化防护策略

扫描防护

扫描防护

配置扫描防护规则自动阻断高频攻击

自定义响应

告警页面

修改拦截返回页面

CC防护

CC攻击防护

配置CC攻击防护规则防御CC攻击

区域封禁

地理位置访问控制

配置地理位置访问控制规则拦截/放行特定区域请求

网页防篡改

网页防篡改

配置网页防篡改规则避免静态网页被篡改

信息泄露防护

防敏感信息泄露

配置防敏感信息泄露规则避免敏感信息泄露

基础防护规则迁移

  1. 在阿里云WAF控制台,在左侧导航树中,选择防护配置 > 防护规则,进入“防护规则”页面,展开“基础防护规则”,在目标规则所在行的“操作”列,单击“编辑”查看详细的配置信息。
  2. 登录华为云WAF控制台,参考图3进入华为云WAF防护规则配置页面。

    图3 防护规则配置页面入口

  3. 选择“Web基础防护”配置框,开启Web基础防护规则,根据表4将相关配置迁移到华为云WAF。

    表4 参数对应表

    阿里云

    华为云

    基础防护规则

    Web基础防护

    模板开关

    规则开关

    • :开启状态。
    • :关闭状态。

    智能白名单

    防护规则

    常规检测/深度检测/header全检测/Shiro解密检测

    协议合规

    语义防护

    常规检测

白名单规则迁移

  1. 在阿里云控制台,在左侧导航树中,选择防护配置 > 防护规则,进入“防护规则”页面,展开“白名单”规则,在目标规则所在行的“操作”列,单击“编辑”查看详细的配置信息。
  2. 登录华为云WAF控制台,参考图4进入华为云WAF防护规则配置页面。

    图4 防护规则配置页面入口

  3. 选择“全局白名单”配置框,开启全局白名单规则,单击“添加规则”,根据表5将相关配置迁移到华为云WAF。

    表5 参数对应表

    阿里云

    华为云

    白名单

    全局白名单

    模板开关

    规则开关

    • :开启状态。
    • :关闭状态。

    匹配字段

    “条件列表”中的“字段”,在下拉框中选择对应的字段

    逻辑符

    逻辑

    匹配内容

    内容

    不检测模块

    例如:基础防护规则-全部规则

    不检测模块

    例如:Web基础防护模块-所有内置规则

IP黑名单规则迁移

  1. 在阿里云控制台,在左侧导航树中,选择防护配置 > 防护规则,进入“防护规则”页面,展开“IP黑名单”规则,在目标规则所在行的“操作”列,单击“编辑”查看详细的配置信息。
  2. 登录华为云WAF控制台,参考图5进入华为云WAF防护规则配置页面。

    图5 防护规则配置页面入口

  3. 选择“黑白名单设置”配置框,开启黑白名单设置规则,单击“添加规则”,根据表6将相关配置迁移到华为云WAF。

    表6 参数对应表

    阿里云

    华为云

    IP黑名单

    黑白名单设置

    模板开关

    规则开关

    • :开启状态。
    • :关闭状态。

    IP黑名单

    IP/IP段

    规则动作

    防护动作

自定义规则迁移

  1. 在阿里云控制台,在左侧导航树中,选择防护配置 > 防护规则,进入“防护规则”页面,展开“自定义规则”,在目标规则所在行的“操作”列,单击“编辑”查看详细的配置信息。
  2. 登录华为云WAF控制台,参考图6进入华为云WAF防护规则配置页面。

    图6 防护规则配置页面入口

  3. 选择“精准访问防护”配置框,开启精准访问防护规则,单击“添加规则”,根据表7将相关配置迁移到华为云WAF。

    表7 参数对应表

    阿里云

    华为云

    自定义规则

    精准访问防护

    模板开关

    规则开关

    • :开启状态。
    • :关闭状态。

    匹配字段

    字段

    逻辑符

    逻辑

    匹配内容

    内容

    防护类型

    规则动作

    防护动作

    生效模式

    生效模式

自定义响应迁移

  1. 在阿里云控制台,在左侧导航树中,选择防护配置 > 防护规则,进入“防护规则”页面,展开“白名单”,在目标规则所在行的“操作”列,单击“编辑”查看详细的配置信息。
  2. 登录华为云WAF控制台,在左侧导航栏中,选择“网站设置”,单击目标域名名称,进入域名基本信息页面。
  3. “告警页面”所在行的页面模板名称后,单击编辑图标,在弹出的“告警页面”对话框中,选择“页面模板”进行配置。

    根据表8将相关配置迁移到华为云WAF。
    表8 参数对应表

    阿里云

    华为云

    自定义响应

    告警页面

    模板开关

    页面模板

    响应码

    HTTP返回码

    页面响应体

    页面内容

CC攻击防护规则迁移

  1. 在阿里云控制台,在左侧导航树中,选择防护配置 > 防护规则,进入“防护规则”页面,展开“CC防护”规则,在目标规则所在行的“操作”列,单击“编辑”查看详细的配置信息。
  2. 登录华为云WAF控制台,参考图7进入华为云WAF防护规则配置页面。

    图7 防护规则配置页面入口

  3. 选择“CC攻击防护”配置框,开启CC攻击防护规则,单击“添加规则”,根据表9将相关配置迁移到华为云WAF。

    表9 参数对应表

    阿里云

    华为云

    CC防护

    CC攻击防护

    模板开关

    规则开关

    • :开启状态。
    • :关闭状态。

    规则动作

    防护动作

    防护对象

    华为云WAF不需要配置

区域封禁规则迁移

  1. 在阿里云控制台,在左侧导航树中,选择防护配置 > 防护规则,进入“防护规则”页面,展开“区域封禁”规则,在目标规则所在行的“操作”列,单击“编辑”查看详细的配置信息。
  2. 登录华为云WAF控制台,参考图8进入华为云WAF防护规则配置页面。

    图8 防护规则配置页面入口

  3. 选择“地理位置访问控制”配置框,开启地理位置访问控制规则,单击“添加规则”,根据表10将相关配置迁移到华为云WAF。

    表10 参数对应表

    阿里云

    华为云

    区域封禁

    地理位置访问控制

    模板开关

    规则开关

    • :开启状态。
    • :关闭状态。

    规则动作

    防护动作

    选择封禁区域

    地理位置

网页防篡改规则迁移

  1. 在阿里云控制台,在左侧导航树中,选择防护配置 > 防护规则,进入“防护规则”页面,展开“网页防篡改”规则,在目标规则所在行的“操作”列,单击“编辑”查看详细的配置信息。
  2. 登录华为云WAF控制台,参考图9进入华为云WAF防护规则配置页面。

    图9 防护规则配置页面入口

  3. 选择“网页防篡改”配置框,开启网页防篡改规则,单击“添加规则”,根据表11将相关配置迁移到华为云WAF。

    表11 参数对应表

    阿里云

    华为云

    网页防篡改

    网页防篡改

    模板开关

    规则开关

    • :开启状态。
    • :关闭状态。

    缓存页面的地址

    路径

信息泄露防护规则迁移

  1. 在阿里云控制台,在左侧导航树中,选择防护配置 > 防护规则,进入“防护规则”页面,展开“信息泄露防护”规则,在目标规则所在行的“操作”列,单击“编辑”查看详细的配置信息。
  2. 登录华为云WAF控制台,参考图10进入华为云WAF防护规则配置页面。

    图10 防护规则配置页面入口

  3. 选择“防敏感信息泄露”配置框,开启防敏感信息泄露规则,单击“添加规则”,根据表12将相关配置迁移到华为云WAF。

    表12 参数对应表

    阿里云

    华为云

    信息泄露防护

    防敏感信息泄露

    模板开关

    规则开关

    • :开启状态。
    • :关闭状态。

    匹配条件

    类型

    敏感信息

    内容

    规则动作

    防护动作