全部文档
Web应用防火墙 WAFWeb应用防火墙 WAF
- 最新动态
- 功能总览
- 产品介绍
- 快速入门
- 用户指南
- 最佳实践
- API参考
-
常见问题
- 高频常见问题
-
产品咨询
-
功能说明类
- Web应用防火墙是否能防护IP?
- Web应用防火墙是否支持防护非华为云和云下服务器?
- Web应用防火墙支持对哪些对象进行防护?
- Web应用防火墙支持哪些操作系统?
- Web应用防火墙提供的是几层防护?
- Web应用防火墙是否支持健康检查?
- Web应用防火墙是否支持文件缓存?
- Web应用防火墙支持漏洞检测吗?
- Web应用防火墙是否支持SSL双向认证?
- Web应用防火墙支持基于应用层协议和内容的访问控制吗?
- Web应用防火墙是否可以对用户添加的Post的body进行检查吗?
- Web应用防火墙可以限制域名访问速度吗?
- Web应用防火墙可以拦截multipart/form-data格式的数据包吗?
- Web应用防护墙可以部署在VPC内网吗?
- Web应用防火墙支持拦截包含特殊字符的URL请求吗?
- Web应用防火墙可以防止垃圾注册和恶意注册吗?
- Web应用防火墙可以拦截Web页面调用其他接口的请求数据吗?
- Web应用防火墙可以配置会话Cookie吗?
- Web应用防火墙与漏洞扫描服务有哪些区别?
- Web应用防火墙支持自定义POST拦截吗?
- Web应用防火墙支持跨域禁止访问功能吗?
- Web应用防火墙可以设置域名限制访问吗?
- Web应用防火墙有IPS入侵防御系统模块吗?
- Web应用防火墙是否支持IPv4和IPv6共存?
- WAF和HSS的网页防篡改有什么区别?
- Web应用防火墙支持哪些Web服务框架/协议?
- WAF可以防护使用HSTS策略/NTLM代理认证访问的网站吗?
- WAF支持弹性伸缩功能吗?
- WAF转发和Nginx转发有什么区别?
- WAF会缓存网站数据吗?
- Web应用防火墙是硬防火墙还是软防火墙?
- Web应用防火墙和云防火墙有什么区别?
-
使用说明类
- 接入WAF后为什么漏洞扫描工具扫描出未开通的非标准端口?
- 多Project下使用Web应用防火墙的限制条件?
- 使用Web应用防火墙对邮件收发和邮件端口有影响吗?
- 如何获取访问者真实IP?
- Web应用防火墙如何拦截请求内容?
- Web应用防火墙切换为Bypass模式后会放行流量吗 ?
- 在安全组中配置WAF白名单,需要开放所有端口吗?
- 如何获取Web应用防火墙销售许可证?
- 已使用华为云APIG还需要购买WAF吗?
- 本地文件包含和远程文件包含是指什么?
- QPS和请求次数有什么区别?
- 什么是并发数?
- 什么是防护IP?
- 接入Web应用防火墙的域名需要备案吗?
- 如果证书挂载在ELB上,WAF可以根据请求内容进行拦截吗?
- Web应用防火墙支持自定义授权策略吗?
- 接入WAF对现有业务和服务器运行有影响吗?
- 仅放行通过WAF的访问请求,如何配置?
- 为什么Cookie中有HWWAFSESID或HWWAFSESTIME字段?
- 云模式、独享模式和ELB模式可以互相切换吗?
- 同一防护域名/IP可以添加到不同的帐号进行防护吗?
- 网站部署了反向代理服务器,如何配置WAF?
- 泛域名和单域名都接入WAF,WAF如何转发访问请求?
- 源站开启gzip对WAF有影响吗?
- 使用WAF是否影响内网向外发送数据?
- 区域与可用区
- IPv6配置
- 企业项目
-
功能说明类
- 购买WAF
- 业务带宽/规格
- 计费、到期续费与退订重购
-
网站接入配置
-
域名/端口类
- 域名/IP如何接入Web应用防火墙?
- Web应用防火墙支持哪些非标准端口?
- 独享模式如何防护不支持的非标准端口?
- 多个域名对应同一源站,Web应用防火墙可以防护这些域名吗?
- 如何在添加域名中配置防护域名?
- 添加域名时,端口需要和源站端口配置一样吗?
- 添加防护域名时如何配置非标准端口?
- 多个端口的服务器,如果某个端口不需要WAF防护,如何处理?
- 域名/IP接入WAF前需要准备哪些数据?
- 删除防护域名时应该注意哪些事项?
- 域名添加到WAF后,域名是否可以修改?
- 后端服务器配置多个源站地址时的注意事项?
- Web应用防火墙支持配置泛域名吗?
- Web应用防火墙支持防护中文域名吗?
- 如何使网站流量切入云模式?
- 添加域名时提示“非法的源站地址”,如何处理?
- 证书管理
- 服务器配置类
- 域名解析类
- 接入后处理
-
域名/端口类
-
业务中断排查
- 如何排查404/502/504错误?
- 域名/IP接入状态显示“未接入”,如何处理?
- WAF误拦截了正常访问请求,如何处理?
- WAF误拦截了“非法请求”访问请求,如何处理?
- 为什么误报处理不能使用了?
- 如何放行回源IP段?
- 连接超时时长是多少,是否可以手动设置该时长?
- 如何解决重定向次数过多?
- 如何解决HTTPS请求在部分手机访问异常?
- 如何解决证书链不完整?
- 如何处理418错误码问题?
- 如何处理523错误码问题?
- 如何处理域名接入WAF后,登录首页不停地刷新?
- 如何解决HTTP配置转发策略后程序访问页面卡顿?
- 使用WAF后如何处理网站的文件不能上传?
- 如何处理接入WAF后报错414 Request-URI Too Large?
- 防护规则配置
- 防护日志
- WAF与其他华为云服务同时部署
- 修订记录
- 视频帮助
- 文档下载
链接复制成功!
配置精准访问防护规则
精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合,定制化防护策略,为您的网站带来更精准的防护。
精准访问防护规则允许您设置访问防护规则,对常见的HTTP字段(如IP、路径、Referer、User Agent、Params等)进行条件组合,用来筛选访问请求,并对命中条件的请求设置仅记录、放行或阻断操作。
精准访问防护规则可以添加引用表,引用表防护规则对所有防护域名都生效,即所有防护域名都可以使用精准防护规则的引用表。
如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名配置防护策略。
前提条件
已添加防护网站。
规格限制
检测版不支持该功能。
约束条件
- 标准版(原专业版)不支持“全检测”检测模式。
- 标准版(原专业版)不支持配置Response字段。
- 标准版(原专业版)不支持引用表管理功能。
- 添加或修改防护规则后,规则生效需要等待几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。
- 当精准访问防护规则的“防护动作”设置为“阻断”时,您可以配置攻击惩罚标准。配置攻击惩罚后,如果访问者的IP、Cookie或Params恶意请求被拦截时,WAF将根据攻击惩罚设置的拦截时长来封禁访问者。
应用场景
精准访问防护支持业务场景定制化的防护策略,可用于盗链防护、网站管理后台保护等场景。
操作步骤
- 登录管理控制台。
- 进入防护策略配置入口,如图1所示。
- 在“精准访问防护”配置框中,用户可根据自己的需要更改“状态”,单击“自定义精准访问防护规则”,进入精准访问防护规则配置页面,如图2所示。
- 在“精准访问防护配置”页面,设置“检测模式”,如图3所示。
- 在“精准访问防护配置”页面左上角,单击“添加规则”。
- 在弹出的对话框中,根据表1和配置示例-拦截特定的攻击请求添加精准访问防护规则。
以图4的配置为例,其含义为:当用户访问目标域名下包含“/admin”的URL地址时,WAF将阻断该用户访问目标URL地址。
如果不确定配置的精准访问防护规则是否会使WAF误拦截正常的访问请求,您可以先将精准访问防护规则的“防护动作”设置为“仅记录”,在“防护事件”页面查看防护事件,确认WAF不会误拦截正常的访问请求后,再将该精准访问防护规则的“防护动作”设置为“阻断”。
表1 规则参数说明 参数
参数说明
取值样例
防护动作
可选择“阻断”、“放行”或者“仅记录”。默认为“阻断”。
“阻断”
攻击惩罚
当“防护动作”设置为“阻断”时,您可以设置攻击惩罚标准。设置攻击惩罚后,当访问者的IP、Cookie或Params恶意请求被拦截时,WAF将根据惩罚标准设置的拦截时长来封禁访问者。
长时间IP拦截
生效时间
用户可以选择“立即生效”或者自定义设置生效时间段。
自定义设置的时间只能为将来的某一时间段。
“立即生效”
条件列表
单击“添加”增加新的条件,一个防护规则至少包含一项条件,最多可添加30项条件,多个条件同时满足时,本条规则才生效。
条件设置参数说明如下:- 字段
- 子字段:当字段选择“Params”、“Cookie”或者“Header”时,请根据实际使用需求配置子字段。须知:
子字段的长度不能超过2048字节,且只能由数字、字母、下划线和中划线组成。
- 逻辑:在“逻辑”下拉列表中选择需要的逻辑关系。说明:
- 选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时,“内容”需要选择引用表名称,创建引用表的详细操作请参见创建引用表。
- “不包含所有”、“不等于所有”、“前缀不为所有”、“后缀不为所有”是指当访问请求中字段不包含、不等于、前/后缀不为引用表中设置的任何一个值时,WAF将进行防护动作(阻断、放行或仅记录)。例如,设置“路径”字段的逻辑为“不包含所有”,选择了“test”引用表,如果“test”引用表中设置的值为test1、test2和test3,则当访问请求的路径不包含test1、test2或test3时,WAF将进行防护动作。
- 内容:输入或者选择条件匹配的内容。
说明:具体的配置请参见表2。
- “路径”包含“/admin/”
- “User Agent”前缀不为“mozilla/5.0”
- “IP”等于“192.168.2.3”
- “Cookie[key1]”前缀不为“jsessionid”
优先级
设置该条件规则检测的顺序值。如果您设置了多条规则,则多条规则间有先后匹配顺序,即访问请求将根据您设定的精准访问控制规则优先级依次进行匹配,优先级较小的精准访问控制规则优先匹配。
您可以通过优先级功能对所有精准访问控制规则进行排序,以获得最优的防护效果。
须知:如果多条精准访问控制规则的优先级取值相同,则WAF将根据添加防护规则的先后顺序进行排序匹配。
5
规则描述
可选参数,设置该规则的备注信息。
--
表2 条件列表配置 字段
子字段(举例)
逻辑
内容(举例)
路径:设置的防护路径,不包含域名,仅支持精准匹配(需要防护的路径需要与此处填写的路径完全相等。例如,需要防护的路径为“/admin”,该规则必须填写为“/admin”)
--
在“逻辑”下拉列表框中选择逻辑关系。
/buy/phone/
须知:路径设置为“/”时,表示防护网站所有路径。
User Agent:设置为需要防护的扫描器的用户代理。
--
Mozilla/5.0 (Windows NT 6.1)
IP:设置为需要防护的访问者IP地址。
支持IPv4和IPv6两种格式的IP地址。
须知:仅专业版(原企业版)和铂金版(原旗舰版)支持IPv6防护,且当前仅“华东”和“华北”区域支持IPv4/IPv6双栈和NAT64。
--
- IPv4,例如:192.168.1.1
- IPv6,例如:1050:0:0:0:5:600:300c:326b
Params:设置为需要防护的请求参数。
sttl
201901150929
Referer:设置为需要防护的自定义请求访问的来源。
例如:防护路径设置为“/admin/xxx”,若用户不希望访问者从“www.test.com”访问该页面,则“Referer”对应的“内容”设置为“http://www.test.com”。
-
http://www.test.com
Cookie:根据Cookie区分的Web访问者。
name
jsessionid
Header:设置为需要防护的自定义HTTP首部。
Accept
text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Method:需要防护的自定义请求的方法。
--
GET、POST、PUT、DELETE、PATCH
Request Line:需要防护的自定义请求行的长度。
--
50
Request:需要防护的自定义请求的长度。包含请求头、请求行、请求体。
--
--
Protocol:需要防护的请求的协议。
--
http
Response Code:请求返回的状态代码。
--
- 等于
- 不等于
- 等于任意一个
- 不等于所有
404
Response Length:请求返回的响应长度。
--
- 长度等于
- 长度不等于
- 长度大于
- 长度小于
--
Response Time:响应时间。
--
- 长度等于
- 长度不等于
- 长度大于
- 长度小于
--
Response Header:响应头。
--
- 包含
- 不包含
- 等于
- 不等于
--
Response Body:响应的消息体。
--
- 包含
- 不包含
- 包含任意一个
- 不包含所有
--
专业版(原企业版)、铂金版(原旗舰版)、独享模式和ELB模式支持“Response Code”、“Response Length”、“Response Time”、“Response Header”和“Response Body”字段,且仅以下区域支持这些字段:
- 华北-北京一
- 华北-北京四
- 华东-上海一
- 华南-广州
- 华东-上海二
- 中国-香港
- 亚太-曼谷
- 俄罗斯-莫斯科
- 单击“确认添加”,添加的精准访问防护规则展示在精准访问防护规则列表中。图5 精准访问防护规则列表
- 规则添加成功后,默认的“规则状态”为“已开启”,若您暂时不想使该规则生效,可在目标规则所在行的“操作”列,单击“关闭”。
- 若需要修改添加的精准访问防护规则时,可单击待修改的精准访问防护规则所在行的“修改”,修改精准访问防护规则。
- 若需要删除添加的精准访问防护规则时,可单击待删除的精准访问防护规则所在行的“删除”,删除精准访问防护规则。
防护效果
假如已添加域名“www.example.com”,且配置了如图4所示的精准访问防护规则。可参照以下步骤验证防护效果:
- 清理浏览器缓存,在浏览器中输入防护域名,测试网站域名是否能正常访问。
- 不能正常访问,参照步骤三:域名接入配置章节重新完成域名接入。
- 能正常访问,执行2。
- 清理浏览器缓存,在浏览器中访问“http://www.example.com/admin”页面或者包含/admin的任意页面,正常情况下,WAF会阻断满足条件的访问请求,返回拦截页面。
- 返回Web应用防火墙控制界面,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,查看防护域名拦截日志,您也可以下载防护事件数据。
配置示例-拦截特定的攻击请求
通过分析某类特定的WordPress反弹攻击,发现其特征是User-Agent字段都包含WordPress,如图6所示。
因此,可以设置精准访问控制规则,拦截该类WordPress反弹攻击请求。
配置示例-拦截特定的URL请求
如果您遇到有大量IP在访问某个特定且不存在的URL,您可以通过配置以下精准访问防护规则直接阻断所有该类请求,降低源站服务器的资源消耗,如图8所示。
配置示例-拦截字段为空值的请求
如果您需要拦截某个为空值的字段,您可以通过配置精准访问防护规则直接阻断该类请求。例如,防护域名“www.example.com”,您需要对Referer的空字段进行拦截,配置示例如图9所示。
配置示例-拦截指定文件类型(zip、tar、docx等)
通过配置路径字段匹配的文件类型,您可以阻断特定的文件类型。例如,您需要拦截“.zip”格式文件,您可以配置精准防护防护规则阻断“.zip”文件类型访问请求,如图10所示。
配置示例-防盗链
通过配置Referer匹配字段的访问控制规则,您可以阻断特定网站的盗链。例如,您发现“https://abc.blog.com”大量盗用本站的图片,您可以配置精准访问防护规则阻断相关访问请求。
