更新时间:2024-04-17 GMT+08:00
网站接入WAF(云模式-ELB接入)
如果您的业务服务器部署在华为云,您可以使用云模式的ELB接入方式将网站的域名或IP添加到WAF进行防护。
- 通过SDK模块化的方式将WAF集成在ELB的网关中,WAF通过内嵌在网关中的SDK提取流量并进行检测和防护。
- WAF将检测结果同步给ELB,由ELB根据WAF的检测结果决定是否将客户端请求转发到源站。
- 该过程中,WAF不参与流量转发,避免因额外引入一层转发而带来各种兼容性和稳定性问题。
如果您已开通企业项目,您可以在“企业项目”下拉列表中选择您所在的企业项目,在该企业项目下添加防护网站。
前提条件
- 已购买WAF的云模式。
- 已购买独享型负载均衡,且“规格”为“应用型(HTTP/HTTPS)”,详见创建独享型负载均衡器。
约束限制
- 仅支持与独享型ELB配套使用,且“规格”必须为“应用型(HTTP/HTTPS)”,不支持“网络型(TCP/UDP)”的独享型的ELB。
- “策略配置”:只有专业版和铂金版支持选择自定义的防护策略。
收集防护域名/IP的配置信息
在添加防护域名/IP前,请获取防护域名/IP如表1所示相关信息。
操作步骤
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域或项目。 - 单击页面左上方的
,选择。 - 在网站列表左上角,单击“添加防护网站”。
- 选择“云模式-ELB接入”后,在页面配置域名基本信息,如图1所示,相关参数说明如表2所示。
表2 基本信息参数说明 参数
参数说明
取值样例
ELB(负载均衡器)
在下拉框中选择ELB。
elb-waf-test
ELB监听器
- “所有监听器”
- “指定监听器”,在下拉框中选择指定的监听器。
所有监听器
网站名称
网站的名称。
-
防护域名
防护的域名或IP,域名支持单域名和泛域名。
- 单域名:输入防护的单域名。例如:www.example.com。
- 泛域名
- 如果各子域名对应的服务器IP地址相同:输入防护的泛域名。例如:子域名a.example.com,b.example.com和c.example.com对应的服务器IP地址相同,可以直接添加泛域名*.example.com。
- 如果各子域名对应的服务器IP地址不相同:请将子域名按“单域名”方式逐条添加。
单域名:www.example.com
泛域名:*.example.com
IP:
XXX.XXX.1.1
网站备注
网站补充信息。
-
策略配置
默认为“系统自动生成策略”,您也可以选择已创建的防护策略或在域名接入后根据防护需求配置防护规则。
系统自动生成的策略说明如下:
- Web基础防护(“仅记录”模式、常规检测)
仅记录SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击行为。
- 网站反爬虫(“仅记录”模式、扫描器)
仅记录漏洞扫描、病毒扫描等Web扫描任务,如OpenVAS、Nmap的爬虫行为。
说明:- “仅记录”模式:发现攻击行为后WAF只记录攻击事件不阻断攻击。
- 只有专业版和铂金版支持选择自定义的防护策略。
系统自动生成策略
- 单击“确认”,防护网站添加成功。
您可在防护网站列表中查看已添加防护网站。
生效条件
防护网站的初始“接入状态”为“未接入”,当访问请求到达该网站的WAF时,该防护网站的接入状态将自动切换为“已接入”。
