WAF基础知识
本章节为您罗列了WAF入门级的常见问题。
接入WAF对现有业务和服务器运行有影响吗?
接入WAF不需要中断现有业务,不会影响源站服务器的运行状态,即不需要对源站服务器进行任何操作(例如关机或重启)。
以云模式的CNAME接入方式接入WAF时,您需要修改DNS解析使流量经过WAF进行转发。修改DNS解析可能会影响网站访问业务,建议您在业务量少时进行修改。有关网站接入WAF的详细操作,请参见域名接入配置。
- 云模式-CNAME接入:域名,华为云、非华为云或云下的Web业务
- 云模式-ELB接入:域名或IP(公网IP/私网IP),华为云的Web业务
- 独享模式:域名或IP(公网IP/私网IP),华为云的Web业务
Web应用防护墙可以部署在VPC内网吗?
可以。独享版WAF的独享引擎实例部署在VPC内。
独享版WAF是否支持跨VPC防护?
如果WAF独享引擎实例与源站不在同一个VPC中,可通过对等连接打通两个VPC之间网络,但受限于网络的不稳定性,建议WAF独享引擎实例与源站在同一个VPC中。
Web应用防火墙是否支持防护非华为云和云下服务器?
WAF云模式可以跨云使用,支持防护非华为云和云下服务器,但是该服务器必须已连接互联网。
WAF云模式是基于域名进行防护的,只要有域名就能防护,不区分云上云下服务器,也不受Region、Project和账户的影响。
Web应用防火墙支持哪些操作系统?
Web应用防火墙部署在云端,即与操作系统没有关系。故Web应用防火墙支持任意操作系统,任意操作系统上的域名服务器都可以接入WAF做防护。
Web应用防火墙提供的是几层防护?
Web应用防火墙提供的是七层(物理层、数据链路层、网络层、传输层、会话层、表示层和应用层)防护。
Web应用防火墙如何拦截请求内容?
WAF对请求的首部和body体都会进行检测。例如body的表单、xml、json等数据都会被WAF检测,WAF通过检测对不符合防护规则的请求内容进行拦截。
有关WAF防护流程的详细介绍,请参见配置引导。
Web应用防火墙是否支持文件缓存?
WAF只缓存配置了网页防篡改的静态网页,用于将缓存的未被篡改的网页返回给Web访问者,以达到防篡改的目的。
如果您需要缓存所有的网站内容,可以选择部署CDN,WAF部署在CDN和源站之间,具体的配置方式请参见同时部署CDN和WAF的配置指导。
WAF会缓存网站数据吗?
WAF的网页防篡改功能,可以为用户提供应用层的防护,只对网站的静态网页进行缓存,当用户访问网站时返回给用户缓存的正常页面,并随机检测网页是否被篡改。
WAF不会缓存网站数据。如果你需要缓存网站内容,可以使用CDN,或者同时部署WAF和CDN。
有关同时部署CDN和WAF的详细介绍,请参见“CDN+WAF”联动提升网站防护能力和访问速度。
Web应用防火墙是否支持健康检查?
WAF目前暂不支持健康检查的功能,如果您希望服务器有健康性检查的功能,建议您将弹性负载均衡(ELB)和WAF搭配使用,ELB配置完成后,再将ELB的EIP作为服务器的IP地址,接入WAF,实现健康检查。
Web应用防火墙是否支持SSL双向认证?
不支持。您可以在WAF上配置单向的SSL证书。
添加防护网站时,如果“对外协议”使用了HTTPS协议,您需要上传证书使证书绑定到防护网站。
Web应用防火墙支持基于应用层协议和内容的访问控制吗?
WAF支持应用层协议和内容的访问控制,应用层协议支持HTTP和HTTPS。
Web应用防火墙是否可以对用户添加的Post的body进行检查?
WAF的内置检测会检查Post数据,webshell是Post提交的文件。Post类型提交的表单、json等数据,都会被WAF的默认策略检查。
您可以通过配置精准访问防护规则,对添加的Post的body进行检查。有关配置精准访问防护规则的详细操作,请参见配置精准访问防护规则。
Web应用防火墙可以限制域名访问速度吗?
不支持。WAF支持通过自定义CC防护规则,限制单个IP/Cookie/Referer访问者对防护网站上特定路径(URL)的访问频率,精准识别CC攻击以及有效缓解CC攻击。
有关CC防护规则的详细介绍,请参见配置CC攻击防护规则。
Web应用防火墙支持拦截包含特殊字符的URL请求吗?
WAF不支持将拦截请求URL中含有特殊字符作为拦截条件,即URL请求中有特殊字符,WAF不会拦截。WAF可以对来源IP进行检测和限制。
Web应用防火墙可以防止垃圾注册和恶意注册吗?
WAF不能防止垃圾注册和恶意注册等业务层面攻击行为。建议您在网站配置注册验证机制,以防止垃圾注册和恶意注册。
WAF通过对HTTP(S)请求进行检测,可以识别并阻断Web服务的网络攻击(SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等)。
Web应用防火墙可以拦截Web页面调用其他接口的请求数据吗?
当Web页面调用其他接口的请求数据在WAF防护域名内时,该请求数据将经过WAF,WAF会检测并阻断该请求数据。
如果Web页面调用其他接口的请求数据不在WAF防护域名内,则该请求数据不经过WAF,WAF不会拦截该请求数据。
Web应用防火墙可以设置域名限制访问吗?
WAF不能直接通过域名限制访问。WAF支持配置黑白名单规则(即设置IP黑/白名单),阻断、仅记录或放行指定IP或IP段的访问请求。
您可以通过配置黑白名单规则,阻断、仅记录或放行域名对应的IP或IP段的访问请求。
Web应用防火墙有IPS入侵防御系统模块吗?
Web应用防火墙没有传统防火墙的IPS模块,不支持IPS入侵防御,仅支持对HTTP/HTTPS协议的入侵检测。
WAF支持弹性伸缩功能吗?
WAF暂不支持弹性伸缩功能。
WAF支持云模式和独享模式,请根据您的业务需求和资源,选择WAF模式。
HTTP 2.0业务接入WAF防护是否会对源站有影响?
HTTP 2.0业务接入WAF防护对源站有影响。HTTP 2.0业务接入WAF防护表示WAF可以处理客户端的HTTP 2.0请求,而WAF目前仅支持以HTTP 1.0/1.1协议转发回源请求,即WAF与源站间暂不支持HTTP 2.0。因此,如果您将HTTP 2.0业务接入WAF防护,则源站的HTTP 2.0特性将会受到影响,例如,源站HTTP 2.0的多路复用特性可能失效,造成源站业务请求量上升。
WAF中的防SQL注入攻击和DBSS中的SQL注入的区别?
WAF支持对SQL注入攻击进行防护,防止恶意SQL命令的执行。具体的防护检测原理参见WAF针对SQL注入攻击的检测原理。
数据库安全审计(DBSS)提供SQL注入库,可以基于SQL命令特征或风险等级,发现数据库异常行为立即告警。
使用Web应用防火墙对邮件收发和邮件端口有影响吗?
WAF是对Web应用网页进行防护,当您的网站接入WAF后,对邮件收发和邮件端口不会产生影响。
在安全组中配置WAF白名单,需要开放所有端口吗?
可以开放所有端口。为了降低网络安全风险,建议只开放80和443端口。
如果证书挂载在ELB上,WAF可以根据请求内容进行拦截吗?
如果证书挂载在ELB上,通过WAF的请求都是加密的。对于HTTPS的业务,您必须将证书上传到WAF上,WAF才能根据解密之后的请求判断是否进行拦截。
源站IP地址服务器更换安全组后,在WAF中需要做更改吗?
添加到WAF的网站的源站IP地址服务器更换安全组后,在WAF中不需要做任何操作,但是需要在源站放行WAF的回源IP或者实例IP。
- 云模式:放行WAF回源IP。
- 独享模式:放行独享引擎回源IP。
WAF配置多个源站时如何负载?
如果您配置了多个源站IP地址,WAF默认使用加权轮询的方式对访问请求进行负载均衡。您也可以根据需要自定义负载均衡算法。更多信息,请参见修改负载均衡算法。
源站开启gzip对WAF有影响吗?
如果源站开启gzip,WAF可能误拦截源站正常访问请求。如果确认拦截的为正常访问请求,您可以参照处理误报事件将该事件处理为误报事件。处理后,WAF将不再拦截该事件,即“防护事件”页面中将不再显示该攻击事件,您也不会收到该攻击事件的告警通知。
使用WAF是否影响内网向外发送数据?
使用WAF不会影响内网机器向外发送数据。以云模式的CNAME方式或独享模式将网站成功接入WAF后,WAF对网站的HTTP(S)请求进行检测,网站所有访问请求将先流转到WAF,WAF检测过滤恶意攻击流量后,将正常流量返回给源站,从而确保源站安全、稳定、可用。
多个域名对应同一源站,Web应用防火墙可以防护这些域名吗?
可以。不同域名对应同一个源站时,您可以将这些域名都接入WAF进行防护。
WAF的防护对象是域名或IP,如果是多个域名使用了同一个EIP对外提供服务,必须将多个域名都接入WAF才能对所有域名进行防护。
什么是防护IP?
防护IP是指需要保护的网站的IP地址。
云模式WAF提供的解析地址是固定IP吗?
将域名通过云模式添加到WAF后,WAF会随机分配一个CNAME值给域名,用作域名解析,该CNAME值是WAF IP池内随机分配的,不是固定的。
源站IP更改后是否会改变CNAME值?
通过云模式WAF接入网站,源站IP更改后,不会改变WAF分配给该网站的CNAME值。
更换IP后,需要重新将域名添加到WAF吗?
如果网站所在的IP没有发生变化则无需重新在WAF中重新配置,如果网站解析到了新IP则需要重新配置。
WAF需要绑定EIP吗?
WAF云模式无需绑定EIP,独享WAF需要和七层的独享型ELB进行联动,ELB需要有公网IP地址作为业务地址。详细的操作请参见为弹性负载均衡绑定弹性公网IP.。
Web应用防火墙支持漏洞检测吗?
WAF的网站反爬虫防护功能可以对第三方漏洞攻击等威胁进行检测和拦截。在配置网站反爬虫防护规则时,如果您开启了扫描器,WAF将对扫描器爬虫,如OpenVAS、Nmap等进行检测。
有关网站反爬虫防护规则的详细操作,请参见配置网站反爬虫防护规则。
Web应用防火墙是否支持Exchange里的相关协议?
WAF支持exchange里登录网页webmail时的http和https协议;WAF不支持exchange里的SMTP 、POP3 、IMAP 等邮件相关的协议。
Web应用防火墙是否支持防御XOR注入攻击?
Web应用防火墙支持防御XOR注入。
为什么域名接入WAF后,有的攻击场景还是触发不了拦截呢?
大概率是因为客户没有开启Web基础防护的header全检测。在header自定义字段中携带攻击载荷,“header全检测”必须开启拦截模式,才可以拦截此类攻击。具体的操作请参见配置Web基础防护规则。
如何理解WAF日志里的bind_ip参数?
网站接入WAF后,WAF作为反向代理存在客户端与源站服务器之间,检测过滤恶意攻击流量,用bind_ip(WAF的回源IP)将正常的流量转发传输到源站。参考如何放行云模式WAF的回源IP段?查看WAF的回源IP并放行回源IP。
通过IP接入WAF后,WAF可以防护映射到这个IP的所有域名吗?
不支持。
WAF的独享模式支持源站IP接入WAF防护,且该IP支持私网IP或者内网IP,但WAF仅防护通过IP访问的流量,不能防护映射到这个IP的域名,如需防护域名,需要单独将域名接入WAF进行防护。
如果业务超时数据较多,如何处理?
云模式WAF为多租共享,随着其他客户业务的增长,可能会影响业务转发的时延,如果您对时延要求严格,建议您使用WAF的独享模式,该模式不会因其他客户业务增长而受到影响。
WAF是否支持HTTP/3协议吗?
目前WAF最高支持HTTP/2协议,还不支持HTTP/3协议。
WAF是否支持防护CS架构的网站?
如果该网站的CS架构是七层HTTP/HTTPS协议,则WAF可以防护,否则不支持防护。
WAF云模式是否能防护其他账号下的域名?
可以。WAF云模式的防护对象是域名,只需要将该域名在当前账号下添加到WAF云模式中进行防护即可。
如何查看当前WAF业务QPS的使用情况和流入的流量?
您可以在源站上,查看源站IP地址的带宽/QPS使用情况流入的流量。
Web应用防火墙可以拦截multipart/form-data格式的数据包吗?
WAF支持拦截multipart/form-data格式的数据包。
Multipart/form-data是浏览器使用表单上传文件的方式。例如,在写邮件时,如果邮件添加了附件,附件通常使用multipart/form-data格式上传到服务器。
Web应用防火墙支持跨域禁止访问功能吗?
WAF不支持配置跨域禁止访问功能。有关WAF功能的详细介绍,请参见功能特性。
WAF支持防御哪些CVE漏洞?
WAF支持防御的CVE漏洞:CVE-2017-7525、CVE-2019-17571、CVE-2018-1270、CVE-2016-1000027、CVE-2022-22965、CVE-2022-22968、CVE-2018-20318。
网站部署了反向代理服务器,如何配置WAF?
如果网站部署了反向代理服务器,网站接入WAF后不会影响反向代理服务器。以云模式的CNAME接入将网站接入WAF后,WAF作为一个反向代理部署在客户端和服务器之间,服务器的真实IP被隐藏起来,Web访问者只能看到WAF的IP地址。
域名添加到WAF后,域名是否可以修改?
防护域名添加到WAF后,您不能修改防护域名的名称。如果您需要修改防护域名的名称,建议您删除原域名后再重新添加待防护的域名。
一个独享WAF实例可以接入多个ELB吗?
多个ELB可以共用一个WAF独享引擎实例,将独享WAF实例添加到对应的ELB后端服务器组即可。
将网站以独享模式接入WAF的具体操作请参见网站接入WAF(独享模式)。