更新时间:2024-08-01 GMT+08:00

管理独享引擎

创建WAF独享引擎实例后,您可以查看实例信息、查看实例的监控信息、升级实例版本以及删除实例。

如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能管理该企业项目下的独享引擎。

前提条件

  • 登录账号已授予“IAM ReadOnly”权限。

独享引擎版本迭代

引擎版本

特性

2024年6月

  • 支持健康检查接口 “health-check”
  • 支持检测非法的Cookie字符串。
  • CC攻击防护规则中“防护动作”支持“JS挑战”
  • 精准访问防护规则中支持“已知特征爬虫”条件。
  • 精准访问防护规则中支持配置“生效模式”
  • 用户可配置仅记录异常响应码(4xx 和 5xx)的请求日志,开关为 upstream.extend.only_log_abnormal_status。
  • 独享模式下“X-Real-IP”“X-Hwwaf-Real-IP”默认值从“$remote_addr”恢复为“$client_ip”

2023年12月

  • 支持用户配置“不检测非法请求”的全局白名单。
  • JS反爬虫可单独设定动作,支持拦截、仅记录以及人机验证。

2023年8月

  • IP标识增加$remote_addr,可直接取TCP连接IP。
  • CC、精准防护、黑白名单支持使用TCP连接IP。
  • 支持CC人机验证锁定时长。

2023年4月

  • HTTP2全局开启,不需要手动开启。
  • 默认支持流量可通过四次WAF,如果回源还是失败,会返回523错误码。
  • 支持multipart严格格式校验。
  • 支持独享型-网络型规格ELB实例(历史版本仅支持共享性ELB、独享性-应用型ELB实例)。

2022年11月

  • 命中内置规则后攻击日志(hit_data)增加内置标签信息。
  • CC规则支持目的限速和响应码条件。

2022年9月

  • 支持TLS v1.3。
  • 支持IDC检测功能。
  • 新增多种类型的攻击数据统计至心跳日志。
  • 增加 300 个 HTTPS 端口:60700-60999。

2022年7月

  • 支持泛域名标准匹配逻辑。
  • 支持全局白名单功能。

2022年5月

新增基于实例配置TLS最低版本的功能。

2022年3月

  • 支持从管理面下发更新规则。
  • 误报屏蔽支持全流量域名及全流量自定义域名。
  • 误报屏蔽支持配置所有条件。

2022年2月

优化请求日志机制。

2022年1月

优化部分正则匹配机制。

2021年11月

  • 敏感信息泄露规则增加仅记录模式。
  • 新增非法请求类的攻击日志。
  • 精准防护IP条件支持全匹配XFF请求头内所有IP(仅限 IPv4)。
  • 新增按域名设置超时时间功能。
  • 优化部分功能。

2021年10月

提升部分功能的性能。

2021年9月

  • 支持对“request body”的精准防护。
  • 精准防护支持正则匹配功能、全部子字段选择。
  • 部分日志支持对接到 LTS 服务。

2021年6月

  • HTTPS 端口支持 HTTP/2 协议。
  • 在请求日志(access log)中增加“region ID”
  • 在攻击日志中增加“region ID”和引擎 IP。

查看独享引擎实例信息

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全与合规 > Web应用防火墙 WAF,进入“安全总览”页面。
  4. 在左侧导航树中,选择系统管理 > 独享引擎,进入“独享引擎”页面。

    图1 独享引擎列表

  5. 查看独享引擎实例信息,如表1所示。

    表1 独享引擎实例关键参数说明

    参数

    说明

    示例

    实例名

    创建实例时自动生成的名称。

    -

    防护网站

    实例当前防护的网站。

    www.example.com

    VPC

    实例所在的VPC。

    vpc-waf

    子网

    实例所在的子网。

    subnet-62bb

    IP地址

    实例所在业务VPC的子网IP地址。

    192.168.0.186

    接入状态

    实例的接入状态。

    已接入

    运行状态

    实例的运行状态。

    运行中

    版本

    独享引擎版本。

    202304

    模式

    实例的部署模式。

    标准模式(反向代理)

    规格

    实例的资源规格。

    8vCPUs | 16GB

查看独享实例的云监控信息

当实例的“运行状态”“运行中”时,您可以查看实例的云监控信息。

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全与合规 > Web应用防火墙 WAF,进入“安全总览”页面。
  4. 在左侧导航树中,选择系统管理 > 独享引擎,进入“独享引擎”页面。

    图2 独享引擎列表

  5. 在目标实例所在行的“操作”列,单击“云监控”,跳转到云监控,查看实例的CPU、内存、带宽等监控信息。

升级独享引擎实例版本

当实例的“运行状态”“运行中”时,您可以通过升级操作,将WAF独享引擎实例升级到最新版本。根据独享引擎实例个数不同选择不同升级方法:

如果您的业务只部署了一个独享引擎实例,请参照以下操作升级实例。

  1. 建议申请一个新的独享引擎实例。

    • 新申请的独享引擎实例为最新版本。当实例为最新版本时,“升级”按钮为灰化状态。
    • 确保新申请的实例,虚拟私有云,子网,安全组等配置,与原实例一致。在这些参数都一致的情况下,新实例会自动同步原实例的所有WAF防护配置。

  2. 在原独享引擎实例所属VPC下的任一台ECS上,执行curl命令,验证业务是否正常。

    • HTTP业务

      curl http://WAF独享引擎实例IP:业务端口 -H "host:业务域名" -H "User-Agent: Test"

    • HTTPS业务

      curl https://WAF独享引擎实例IP:业务端口 -H "host:业务域名" -H "User-Agent: Test"

    检查业务是否正常,如果业务正常,请执行3;如果业务异常,请参照域名/IP接入状态显示“未接入”,如何处理?如何排查404/502/504错误排查故障后,再执行3

    执行curl命令的主机需要满足以下条件:
    • 网络通信正常。
    • 已安装curl命令。Windows操作系统的主机需要手动安装curl,其他操作系统自带curl。

  3. 将新购买的独享引擎实例添加到ELB的后端服务器上。

    以添加共享型后端服务器为例说明,添加后端服务器操作步骤如下。

    1. 单击页面左上方的,选择安全与合规 > Web应用防火墙,进入“安全总览”页面。
    2. 在左侧导航树中,选择系统管理 > 独享引擎,进入“独享引擎”页面。
    3. 在目标实例所在行的“操作”列,单击更多 > 添加到ELB
    4. “添加到ELB”页面中,选择原独享引擎实例配置的“ELB(负载均衡器)”“ELB监听器”“后端服务器组”
    5. 单击“确认”,为WAF实例配置业务端口,“业务端口”需要配置为原WAF独享引擎实例实际监听的业务端口。

  4. 参见后端服务器配置权重,在ELB管理控制台上,将原独享引擎实例的流量权重设置为“0”

    新的请求不会转发到权重为0的后端。

  5. 待业务流量降下来后,删除原独享引擎实例。

    查看独享实例的云监控信息“新建连接数”较小时(例如,小于5),说明业务流量已经降下来。

    1. 在WAF控制台的左侧导航树中,选择系统管理 > 独享引擎,进入“独享引擎”页面。
    2. 在目标实例所在行的“操作”列,单击更多 > 删除
    3. 在弹出的提示框中,单击“确认”

      删除实例后,该实例上的资源将被释放且不可恢复。

如果您的业务部署了多个独享引擎实例,请参照以下操作升级实例。

  1. 参见后端服务器配置权重,在ELB管理控制台上,记录任一独享引擎实例的流量权重后,将该实例的流量权重设置为“0”

    新的请求不会转发到权重为0的后端。

  2. 待业务流量降下来后,升级独享引擎实例版本。

    查看独享实例的云监控信息“新建连接数”较小时(例如,小于5),说明业务流量已经降下来。

    1. 在WAF控制台的左侧导航树中,选择系统管理 > 独享引擎,进入“独享引擎”页面。
    2. 在目标实例所在行的“操作”列,单击“升级”
    3. 在弹出的对话框中,确认并勾选业务已满足提示框中所描述的相关配置后,单击“确认”,升级实例版本。

      升级大约需要5分钟。

  3. 在独享引擎实例所属VPC下的任一台ECS上,执行curl命令,验证业务是否正常。

    • HTTP业务

      curl http://WAF独享引擎实例IP:业务端口 -H "host:业务域名" -H "User-Agent: Test"

    • HTTPS业务

      curl https://WAF独享引擎实例IP:业务端口 -H "host:业务域名" -H "User-Agent: Test"

    检查业务是否正常,如果业务正常,请执行4;如果业务异常,请参照域名/IP接入状态显示“未接入”,如何处理?如何排查404/502/504错误排查故障后,再执行4

    执行curl命令的主机需要满足以下条件:
    • 网络通信正常。
    • 已安装curl命令。Windows操作系统的主机需要手动安装curl,其他操作系统自带curl。

  4. 参见后端服务器配置权重,在ELB管理控制台上,将引擎实例的流量权重从0调整为1中记录的原值。
  5. 参照1~4,分别对其他独享引擎实例节点执行升级操作。

回退独享引擎实例版本

仅支持回退到升级前的版本。

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全与合规 > Web应用防火墙 WAF,进入“安全总览”页面。
  4. 在左侧导航树中,选择系统管理 > 独享引擎,进入“独享引擎”页面。
  5. 在目标实例所在行的“操作”列,单击更多 > 回退
  6. 在弹出的对话框中,确认满足并勾选以下三个条件后单击“确认”

    必须满足以下条件,才支持回退实例:
    • 实例所在的ELB后端服务器组中存在多个活动实例,或该实例未接入业务。
    • ELB已开启HTTP/HTTPS健康检查。
    • ELB已关闭会话保持。

切换独享引擎实例安全组

“实例类别”“资源租户类”时,您可以切换独享引擎所属的安全组。切换安全组后,实例将受到该安全组访问规则的保护。

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全与合规 > Web应用防火墙 WAF,进入“安全总览”页面。
  4. 在左侧导航树中,选择系统管理 > 独享引擎,进入“独享引擎”页面。

    图3 独享引擎列表

  5. 在目标实例所在行的“操作”列,单击更多 > 切换安全组
  6. 在弹出的对话框中,选择目标安全组后,单击“确认”,切换独享引擎实例安全组。

删除独享引擎实例

当您不需要使用独享引擎实例时,您可以删除实例,删除实例时将结束计费。

删除实例后,该实例上的资源将被释放且不可恢复,请谨慎操作。

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全与合规 > Web应用防火墙 WAF,进入“安全总览”页面。
  4. 在左侧导航树中,选择系统管理 > 独享引擎,进入“独享引擎”页面。

    图4 独享引擎列表

  5. 在目标实例所在行的“操作”列,单击更多 > 删除
  6. 在弹出的对话框中,输入“DELETE”后单击“确定”