文档首页/ Web应用防火墙 WAF/ 用户指南(安卡拉区域)/ 接入WAF/ 网站接入WAF/ 步骤一:添加防护网站
更新时间:2024-04-12 GMT+08:00
查看PDF
分享

步骤一:添加防护网站

如果您的业务服务器部署在云上,您可以将网站的域名或IP添加到WAF,使网站流量切入WAF。

前提条件

已申请WAF独享引擎实例。

约束条件

  • 接入Web应用防火墙的网站已使用公网ELB(Elastic Load Balance)代理用作负载均衡。
  • 为了保证WAF的安全策略能够针对真实源IP生效,成功获取Web访问者请求的真实IP地址,如果WAF前没有使用CDN、云加速等七层代理服务器,且ELB使用的是四层负载均衡(NAT等方式),“是否已使用代理”务必选择“否”,其他情况,“是否已使用代理”选择“是”

收集防护域名/IP的配置信息

在添加防护域名/IP前,请获取防护域名/IP如表1所示相关信息。

表1 准备防护域名/IP相关信息

获取信息

参数

说明

示例

配置参数

防护域名
  • 域名:由一串用点分隔的英文字母组成(以字符串的形式来表示服务器IP),用户通过域名来访问网站。
  • IP:访问网站所使用的IP地址。

www.example.com

防护对象端口

需要防护的域名对应的业务端口。

  • 标准端口
    • 80:HTTP对外协议默认使用端口
    • 443:HTTPS对外协议默认使用端口
  • 非标准端口

    80/443以外的端口

80

对外协议

客户端(例如浏览器)请求访问网站的协议类型。WAF支持“HTTP”“HTTPS”两种协议类型。

HTTP

源站协议

WAF转发客户端(例如浏览器)请求的协议类型。包括“HTTP”“HTTPS”两种协议类型。

HTTP

VPC

选择申请的独享引擎实例所在的VPC。

vpc-default

源站地址

客户端(例如浏览器)访问的网站服务器的私网IP地址。

192.168.1.1

(可选)证书

证书名称

对外协议选择“HTTPS”时,需要在WAF上配置证书,将证书绑定到防护域名。

须知:

WAF当前仅支持PEM格式证书。如果证书为非PEM格式,请参考如何将非PEM格式的证书转换为PEM格式?转化证书格式。

-

操作步骤

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全 > Web应用防火墙 WAF
  1. 在左侧导航树中,选择网站设置,进入“网站设置”页面。
  2. 在网站列表左上角,单击“添加防护网站”
  3. 配置“域名信息”

    • “网站名称”:可选参数,自定义网站名称。
    • “防护对象”:防护的域名或IP,域名支持单域名和泛域名。
      • 如果各子域名对应的服务器IP地址相同:输入防护的泛域名。例如:子域名a.example.com,b.example.com和c.example.com对应的服务器IP地址相同,可以直接添加泛域名*.example.com。
      • 如果各子域名对应的服务器IP地址不相同:请将子域名按“单域名”方式逐条添加。
    • “网站备注”:可选参数,网站的备注信息。

  4. 源站配置,参数说明如表2所示。

    表2 基本信息参数说明

    参数

    参数说明

    取值样例

    防护对象端口

    在下拉框中选择面要防护的端口。

    配置80/443端口,在下拉框中选择“标准端口”

    81

    服务器配置

    网站服务器地址的配置。包括对外协议、源站协议、VPC、源站地址和源站端口。

    • 对外协议:客户端请求访问服务器的协议类型。包括“HTTP”“HTTPS”两种协议类型。
    • 源站协议:Web应用防火墙转发客户端请求的协议类型。包括“HTTP”“HTTPS”两种协议类型。
    • VPC:选择独享引擎实例所在的VPC。
      说明:

      为了实现业务双活,避免业务单点故障,建议在同一VPC下申请两个WAF实例。

    • 源站地址:客户端(例如浏览器)访问的网站服务器的私网/内网IP地址。
      支持以下两种IP格式:
      • IPv4,例如:XXX.XXX.1.1
      • IPv6,例如:fe80:0000:0000:0000:0000:0000:0000:0000
    • 源站端口:WAF独享引擎转发客户端请求到服务器的业务端口。

    对外协议:HTTP

    源站协议:HTTP

    源站地址: XXX .XXX.1.1

    源站端口:80

    证书名称

    “对外协议”设置为“HTTPS”时,需要选择证书。

    您可以选择已创建的“国际证书”“国密证书”或选择导入的新证书。导入新证书的操作请参见导入新证书

    须知:
    • WAF当前仅支持PEM格式证书。如果证书为非PEM格式,请参考导入新证书证书转换为PEM格式,再上传。
    • 如果您的证书即将到期,为了不影响网站的使用,建议您在到期前重新使用新的证书,并在WAF中同步更新网站绑定的证书。
    • 域名和证书需要一一对应,泛域名只能使用泛域名证书。如果您没有泛域名证书,只有单域名对应的证书,则只能在WAF中按照单域名的方式逐条添加域名进行防护。

    --

  5. 高级配置。

    • “代理”:为了保证WAF的安全策略能够针对真实源IP生效,成功获取Web访问者请求的真实IP地址,如果WAF前已使用如CDN、云加速等提供七层Web代理的产品,请务必选择“是”
    • 选择“策略配置”:默认为“系统自动生成策略”,您也可以选择已创建的防护策略或在域名接入后根据防护需求配置防护规则。

      系统自动生成的策略说明如下:

      • Web基础防护(“仅记录”模式、常规检测)

        仅记录SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击行为。

      • 网站反爬虫(“仅记录”模式、扫描器)

        仅记录漏洞扫描、病毒扫描等Web扫描任务,如OpenVAS、Nmap的爬虫行为。

      “仅记录”模式:发现攻击行为后WAF只记录攻击事件不阻断攻击。

  6. 单击“确认”,添加域名完成。

生效条件

防护网站的初始“接入状态”“未接入”,配置完负载均衡以及为弹性负载均衡绑定弹性IP后,当访问请求到达该网站的WAF独享引擎时,该防护网站的接入状态将自动切换为“已接入”

导入新证书

“对外协议”设置为“HTTPS”时,可以导入新证书。

  1. 单击“导入新证书”,打开“导入新证书”对话框。
    • “类型”选择“国密证书”时,输入“证书名称”,并将“签名证书”“签名私钥”“加密证书”“加密私钥”分别粘贴到对应的文本框中。
    • “类型”选择“国际证书”时,输入“证书名称”,并将“证书文件”“证书私钥”分别粘贴到对应的文本框中。

    Web应用防火墙将对私钥进行加密保存,保障证书私钥的安全性。

    WAF当前仅支持PEM格式证书。如果证书为非PEM格式,请参考表3在本地将证书转换为PEM格式,再上传。
    表3 证书转换命令

    格式类型

    转换方式

    CER/CRT

    “cert.crt”证书文件直接重命名为“cert.pem”

    PFX
    • 提取私钥命令,以“cert.pfx”转换为“key.pem”为例。

      openssl pkcs12 -in cert.pfx -nocerts -out key.pem -nodes

    • 提取证书命令,以“cert.pfx”转换为“cert.pem”为例。

      openssl pkcs12 -in cert.pfx -nokeys -out cert.pem

    P7B
    1. 证书转换,以“cert.p7b”转换为“cert.cer”为例。

      openssl pkcs7 -print_certs -in cert.p7b -out cert.cer

    2. “cert.cer”证书文件直接重命名为“cert.pem”

    DER
    • 提取私钥命令,以“privatekey.der”转换为“privatekey.pem”为例。

      openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem

    • 提取证书命令,以“cert.der”转换为“cert.pem”为例。

      openssl x509 -inform der -in cert.der -out cert.pem
    • 执行openssl命令前,请确保本地已安装openssl
    • 如果本地为Windows操作系统,请进入“命令提示符”对话框后,再执行证书转换命令。
  2. 单击“确认”,上传证书。
父主题: 网站接入WAF