更新时间:2024-11-14 GMT+08:00
什么是Web应用防火墙
Web应用防火墙(Web Application Firewall,WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。
防护原理(云模式-CNAME接入、独享模式接入)
通过WAF云模式-CNAME接入或者独享模式将网站添加并接入WAF后,网站所有访问请求将先流转到WAF,WAF检测过滤恶意攻击流量后,将正常流量返回给源站,从而确保源站安全、稳定、可用。
独享模式在部分区域已经停售,详见独享模式停售通知。
图1 防护原理
流量经WAF返回源站的过程称为回源。WAF通过回源IP代替客户端发送请求到源站服务器,接入WAF后,在客户端看来,所有的目标IP都是WAF的IP,从而隐藏源站IP。
图2 回源IP
防护原理(云模式-ELB接入)
通过云模式-ELB接入的方式将网站接入WAF防护,其原理如下:
- 通过SDK模块化的方式将WAF集成在ELB的网关中,WAF通过内嵌在网关中的SDK提取流量并进行检测和防护。
- WAF将检测结果同步给ELB,由ELB根据WAF的检测结果决定是否将客户端请求转发到源站。
- 该过程中,WAF不参与流量转发,避免因额外引入一层转发而带来各种兼容性和稳定性问题。
图3 ELB接入防护原理
防护对象
WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式,各部署模式支持防护的对象说明如下:
- 云模式-CNAME接入:域名,华为云、非华为云或云下的Web业务
- 云模式-ELB接入:域名或IP(公网IP/私网IP),华为云的Web业务
- 独享模式:域名或IP(公网IP/私网IP),华为云的Web业务