文档首页> Web应用防火墙 WAF> 快速入门> 通过精准访问防护规则拦截字段为空的请求
更新时间:2024-05-28 GMT+08:00
查看PDF
分享

通过精准访问防护规则拦截字段为空的请求

精准访问防护规则可对常见的HTTP字段(如IP、路径、Referer、User Agent、Params等)进行条件组合,用来筛选访问请求,并对命中条件的请求设置仅记录、放行或阻断操作。同时支持“JS挑战”验证,即WAF向客户端返回一段正常浏览器可以自动执行的JavaScript代码。如果客户端正常执行了JavaScript代码,则WAF在一段时间(默认30分钟)内放行该客户端的所有请求(不需要重复验证),否则拦截请求。

本场景以拦截字段为空值的请求为例进行介绍。

操作流程

操作步骤

说明

准备工作

注册华为账号、开通华为云,并为账户充值、赋予WAF权限。

步骤一:购买WAF

购买WAF,选择业务防护区域、WAF模式等信息。

步骤二:将防护网站添加到WAF

将防护网站添加到WAF防护,实现WAF流量检测并转发。

步骤四:配置精准访问防护规则

通过精准访问防护规则的Referer字段实现拦截字段为空值的请求。

准备工作

  1. 在购买Web应用防火墙之前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云实名认证

    如果您已开通华为云并进行实名认证,请忽略此步骤。

  2. 请保证账户有足够的资金,以免购买Web应用防火墙失败。具体操作详见账户充值
  3. 请确保已为账号赋予相关WAF权限。具体操作请参见创建用户组并授权使用WAF
    表1 WAF系统角色

    系统角色/策略名称

    描述

    类别

    依赖关系

    WAF Administrator

    Web应用防火墙服务的管理员权限。

    系统角色

    依赖Tenant Guest和Server Administrator角色。

    • Tenant Guest:全局级角色,在全局项目中勾选。
    • Server Administrator:项目级角色,在同项目中勾选。

    WAF FullAccess

    Web应用防火墙服务的所有权限。

    系统策略

    无。

    WAF ReadOnlyAccess

    Web应用防火墙的只读访问权限。

    系统策略

步骤一:购买WAF

WAF提供了三种不同的WAF接入模式,云模式-CNAME接入、云模式-ELB接入和独享模式,三种接入模式之间的差别,请参见服务版本差异

本节以购买WAF云模式,通过云模式-CNAME接入方式实现精准访问防护为例进行介绍。如需使用独享模式,请参考购买WAF独享模式

  1. 登录华为云管理控制台
  2. 在控制台页面中选择安全与合规 > Web应用防火墙 WAF,进入Web应用防火墙控制台。
  3. 在页面右上角,单击“购买WAF实例”,进入购买页面,选择“WAF模式”,完成WAF实例的购买。
    • “区域”:根据防护业务的所在区域就近选择购买的WAF区域。
    • “版本规格”:建议选择“标准版”及以上版本。
    • “扩展包”“购买时长”:根据具体情况进行选择。
  4. 确认参数配置无误后,在页面右下角单击“立即购买”
  5. 确认订单详情无误后,阅读并勾选《华为云Web应用防火墙免责声明》,单击“去支付”,完成购买操作。
  6. 进入“付款”页面,选择付款方式进行付款。

步骤二:将防护网站添加到WAF

添加防护网站前收集防护网站的配置信息:
表2 准备防护域名相关信息

获取信息

参数

说明

示例

域名是否使用代理

是否已使用代理
  • 七层代理:使用了DDoS高防(七层代理)、CDN、云加速等Web代理产品。
  • 四层代理:使用了DDoS高防(四层转发)等Web代理产品。
  • 无代理:未使用任何代理产品。

无代理

配置参数

防护域名

由一串用点分隔的英文字母组成(以字符串的形式来表示服务器IP),用户通过域名来访问网站。

www.example.com

防护域名端口

需要防护的域名对应的业务端口。

  • 标准端口
    • 80:HTTP对外协议默认使用端口
    • 443:HTTPS对外协议默认使用端口
  • 非标准端口

    80/443以外的端口

80

对外协议

客户端(例如浏览器)请求访问网站的协议类型。WAF支持“HTTP”“HTTPS”两种协议类型。

HTTP

源站协议

WAF转发客户端(例如浏览器)请求的协议类型。包括“HTTP”“HTTPS”两种协议类型。

HTTP

源站地址

客户端(例如浏览器)访问网站所在源站服务器的公网IP地址(一般对应该域名在DNS服务商处配置的A记录)或者域名(一般对应该域名在DNS服务商处配置的CNAME)。

XXX.XXX.1.1

(可选)证书

证书名称

对外协议选择“HTTPS”时,需要在WAF上配置证书,将证书绑定到防护域名。

须知:

WAF当前仅支持PEM格式证书。如果证书为非PEM格式,请参考如何将非PEM格式的证书转换为PEM格式?转化证书格式。

-

具体操作请参见将网站接入WAF防护(云模式-CNAME接入)

步骤四:配置精准访问防护规则

  1. 在左侧导航树中,选择“防护策略”,进入“防护策略”页面。
  2. 单击目标策略名称,进入目标策略的防护配置页面。
  3. 选择“精准访问防护”配置框,开启精准访问防护策略。

    • :开启状态。
    • :关闭状态。

  4. “精准访问防护”规则配置列表上方,单击“添加规则”,按照如图1所示进行配置。

    图1 拦截referer空值

  5. 单击“确认”,完成配置。

相关信息

关于精准访问防护更多详细的操作,请参见配置精准访问防护规则定制化防护策略

分享:

    相关文档

    相关产品