防火墙windows防火墙作用

Web应用防火墙常见问题文档版本64发布日期2020-11-18华为技术有限公司版权所有华为技术有限公司2020.
保留一切权利.
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播.
商标声明和其他华为商标均为华为技术有限公司的商标.
本文档提及的其他所有商标或注册商标,由各自的所有人拥有.
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内.
除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证.
由于产品版本升级或其他原因,本文档内容会不定期进行更新.
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保.
文档版本64(2020-11-18)版权所有华为技术有限公司i目录1防护带宽/规格.
11.
1如何计算防护带宽11.
2若流量超过Web应用防火墙的防护带宽,该如何处理11.
3防护规则条数不够用时,如何处理11.
4QPS超过当前WAF版本支持的峰值时有什么影响21.
5Web应用防火墙对并发数有限制吗21.
6续费时如何变更Web应用防火墙的规格21.
7如何查看当前WAF业务带宽的使用情况和流入的流量31.
8业务带宽是按照入流量计算的还是出流量计算的32产品功能咨询.
42.
1如何获取访问者真实IP42.
2同一账号可以购买多个Web应用防火墙吗42.
3Web应用防火墙是否支持防护非华为云和云下服务器42.
4Web应用防火墙是否能防护IP42.
5主账号与子账号的权限有哪些区别52.
6Web应用防火墙支持对哪些对象进行防护52.
7Web应用防火墙支持哪些操作系统52.
8Web应用防火墙支持哪些Web服务框架52.
9Web应用防火墙支持哪些防护规则52.
10Web应用防火墙提供的是几层防护62.
11Web应用防火墙服务到期后还能防护域名吗62.
12Web应用防火墙是否可以防护HTTPS业务62.
13接入WAF后网站的文件上传请求有限制吗72.
14Web应用防火墙支持防护哪些区域72.
15多Project下使用Web应用防火墙的限制条件72.
16什么是区域和可用区72.
17Web应用防火墙是否支持HTTP/292.
18Web应用防火墙最多可以添加多少条规则92.
19Web应用防火墙是否支持健康检查92.
20Web应用防火墙有IPS模块吗92.
21Web应用防火墙是否支持文件缓存92.
22Web应用防火墙是否支持WebSocket协议92.
23Web应用防火墙是否支持多个账号共享使用9Web应用防火墙常见问题目录文档版本64(2020-11-18)版权所有华为技术有限公司ii2.
24检测版、专业版、企业版、旗舰版和独享版的特性差异102.
25什么是QPS102.
26什么是防护IP102.
27Web应用防火墙支持漏洞检测吗102.
28Web应用防火墙可以免费使用吗102.
29Web应用防火墙是否支持SSL双向认证102.
30Web应用防火墙与漏洞扫描服务有哪些区别102.
31Web应用防火墙可以导出黑白名单吗112.
32Web应用防火墙是否可以对用户添加的Post的body进行检查吗112.
33Web应用防火墙会记录未拦截的事件吗112.
34Web应用防火墙如何拦截请求内容112.
35Web应用防火墙支持配置泛域名吗112.
36WAF、CDN和DDoS高防可以一起使用吗122.
37Web应用防火墙支持自定义授权策略吗122.
38Web应用防火墙是否支持IPv4和IPv6共存122.
39Web应用防火墙支持自定义POST拦截吗132.
40Web应用防火墙支持跨域禁止访问功能吗142.
41如果证书挂载在ELB上,WAF可以根据请求内容进行拦截吗142.
42本地文件包含和远程文件包含是指什么142.
43Web应用防火墙的哪些防护规则支持仅记录模式142.
44Web应用防火墙支持请求url将""作为拦截条件吗142.
45Web应用防火墙可以拦截Web页面调用其他接口的请求数据吗152.
46Web应用防火墙可以配置会话Cookie吗152.
47Web应用防火墙可以批量配置黑白名单吗152.
48Web应用防火墙可以同时查询多个指定IP的防护事件吗152.
49使用Web应用防火墙对邮件收发和邮件端口有影响吗162.
50接入Web应用防火墙的域名需要备案吗162.
51Web应用防火墙支持基于应用层协议和内容的访问控制吗162.
52Web应用防火墙切换为Bypass模式后会放行流量吗162.
53Web应用防火墙支持哪些工作模式和防护模式172.
54在安全组中配置WAF白名单,需要开放所有端口吗182.
55Web应用防火墙可以跨区域使用吗182.
56Web应用防火墙支持防护中文域名吗192.
57Web应用防火墙是硬防火墙还是软防火墙192.
58Web应用防护墙可以部署在VPC内网吗192.
59Web应用防火墙可以限制域名访问速度吗192.
60Web应用防火墙可以设置域名限制访问吗192.
61Web应用防火墙可以拦截multipart/form-data格式的数据包吗192.
62多个域名对应同一源站,Web应用防火墙可以防护这些域名吗202.
63WAF可以防止垃圾注册和恶意注册吗203域名接入配置.
213.
1Web应用防火墙支持哪些非标准端口21Web应用防火墙常见问题目录文档版本64(2020-11-18)版权所有华为技术有限公司iii3.
2域名如何接入Web应用防火墙283.
3域名接入WAF前需要准备哪些数据283.
4域名接入状态显示"未接入",如何处理293.
5CDN+WAF如何配置303.
6DDoS高防+WAF如何配置303.
7如何在添加域名中配置防护域名303.
8后端服务器配置多个IP时的注意事项313.
9如何使网站流量切入Web应用防火墙323.
10如何配置对外协议与源站协议333.
11新旧CNAME的区别353.
12服务器的源站地址可以配置成CNAME吗363.
13域名接入Web应用防火墙后,能通过IP访问网站吗363.
14添加防护域名时如何配置非标准端口363.
15如何设置使流量不经过WAF,直接访问源站383.
16多个端口的服务器,如果某个非标准端口不需要WAF防护,如何处理393.
17域名添加到WAF后,名称是否可以修改393.
18域名接入WAF后,为什么无法开启防护模式393.
19如何在本地测试Web应用防火墙393.
20如何使用A记录进行域名解析403.
21如何在华为云的云解析服务上配置TXT记录的值403.
22如何查询域名提供商413.
23未配置子域名和TXT记录的影响413.
24如何在华为云的云解析服务上进行DNS验证443.
25添加域名时提示"非法的源站地址",如何处理463.
26添加域名时,端口需要和源站端口配置一样吗473.
27添加域名时,为什么不能选择对外协议474业务中断排查.
484.
1如何排查404/502/504错误484.
2如何对误报进行处理524.
3连接超时时长是多少,是否可以手动设置该时长524.
4如何放行回源IP段524.
5如何解决重定向次数过多544.
6如何解决HTTPS请求在部分手机访问异常554.
7如何解决证书链不完整554.
8如何处理418错误码问题604.
9如何处理523错误码问题604.
10如何处理域名接入WAF后,登录首页不停地刷新604.
11如何解决HTTP配置转发策略后程序访问页面卡顿605IPv6配置.
615.
1哪些版本支持IPv6的防护615.
2哪些Region支持IPv6的防护615.
3如何测试在WAF中配置的源站IP是IPv6地址61Web应用防火墙常见问题目录文档版本64(2020-11-18)版权所有华为技术有限公司iv5.
4业务使用了IPv6,WAF中的源站地址如何配置626规则配置类.
636.
1哪些情况会造成WAF配置的防护规则不生效636.
2如何将Web基础防护的仅记录模式切换为拦截模式636.
3在什么情况下使用Cookie区分用户646.
4如何配置CC防护规则646.
5CC规则里"限速频率"和"放行频率"的区别656.
6如何处理Appscan等扫描器检测结果为Cookie缺失Secure/HttpOnly656.
7防护规则的路径是否区分大小写656.
8是否可以导出/备份WAF的配置656.
9如何对异常IP进行封堵656.
10如果只允许指定地区的IP可以访问,如何设置防护策略676.
11精准访问防护规则可以设置在指定的时间段生效吗686.
12Web基础防护支持设置哪几种防护等级686.
13开启网站反爬虫后,为什么有些请求被WAF拦截但查不到拦截记录696.
14配置"人机验证"CC防护规则后,验证码不能刷新,验证一直不通过,如何处理706.
15开启Web基础防护中的"其他爬虫"会影响网页的浏览速度吗727防护日志类.
737.
1Web应用防火墙是否有日志服务737.
2Web应用防火墙的日志是否可以通过API的方式获取737.
3如何获取拦截的数据737.
4Web应用防火墙的日志可以转储到OBS吗737.
5Web应用防火墙支持日志转发到SyslogServer吗737.
6Web应用防火墙的防护日志可以存储多久748其他类.
758.
1Web应用防火墙如何收费758.
2云模式的包年/包月和按需计费模式是否支持互相切换758.
3如何为Web应用防火墙续费778.
4如何退订Web应用防火墙788.
5如何降低Web应用防火墙的版本和规格788.
6Web应用防火墙可以购买基础版吗798.
7如何获取Web应用防火墙销售许可证798.
8已使用华为云APIG还需要购买WAF吗798.
9退订后重购WAF,原配置数据可以保存吗798.
10删除防护域名时应该注意哪些事项808.
11配置泛域名时,如何选择证书828.
12如何删除域名配置的证书828.
13如何修改已绑定域名的证书828.
14ELB已上传的证书,在Web应用防火墙上需要重新导入上传吗838.
15为什么华为云SCM上的SSL证书在WAF上不能查看83Web应用防火墙常见问题目录文档版本64(2020-11-18)版权所有华为技术有限公司vA修订记录.
84Web应用防火墙常见问题目录文档版本64(2020-11-18)版权所有华为技术有限公司vi1防护带宽/规格1.
1如何计算防护带宽WAF的业务带宽是指所有该WAF防护的域名、站点中正常业务流量的大小,单位为Mbit/s.
一个带宽扩展包包含20Mbit/s/50Mbit/s(华为云外/华为云内)或者1,000QPS(QueryPerSecond,即每秒钟的请求量,例如一个HTTPGET请求就是一个Query).
说明WAF中的实际业务带宽由WAF单独计算,与其他华为云产品(如CDN、ELB、ECS等)的带宽或者流量限制没有任何关联.
有关带宽扩展包的详细介绍,请参见带宽扩展包说明.
1.
2若流量超过Web应用防火墙的防护带宽,该如何处理如果您的正常业务流量超过您已购买的WAF版本的业务带宽限制,您在WAF中配置的全部业务的流量转发将可能受到影响.
超出业务带宽限制后,可能出现限流、随机丢包等现象,导致您的正常业务在一定时间内不可用、卡顿、延迟等.
如果出现这种情况,您需要升级WAF版本或者扩展业务带宽,避免正常业务流量超出业务带宽限制所产生的影响.
有关升级版本的详细介绍,请参见升级服务版本.
1.
3防护规则条数不够用时,如何处理Web应用防火墙提供了检测版、专业版、企业版、旗舰版和独享版五种服务版本.
各服务版本针对各种规则的配置条数请参见服务版本差异.
如果您所购买的服务版本支持的规则条数不能满足您业务的需要,您可以升级服务版本,具体的操作请参见升级服务版本.
Web应用防火墙常见问题1防护带宽/规格文档版本64(2020-11-18)版权所有华为技术有限公司11.
4QPS超过当前WAF版本支持的峰值时有什么影响对超出当前WAF版本支持峰值的QPS,WAF将不再防护,QPS将直接透传,不会影响业务.
WAF各版本支持的QPS规格说明如表1-1所示.
表1-1WAF支持的QPS规格说明服务版本正常业务请求峰值CC攻击防护峰值检测版100QPS-专业版2,000QPS100,000QPS企业版5,000QPS300,000QPS旗舰版10,000QPS1,000,000QPS独享版10,000QPS500,000QPS有关WAF各版本规格的详细介绍,请参见服务版本差异.
1.
5Web应用防火墙对并发数有限制吗并发数指系统能够同时处理请求的数目.
对于网站而言,并发数即网站并发用户数,指同时提交请求的用户数目.
WAF对并发数没有限制.
当您的域名接入WAF后,网站所有的公网流量都会先经过WAF,WAF对HTTP(S)请求进行检测,过滤恶意攻击流量,将正常流量返回给源站IP,从而确保源站IP安全,对并发数没有限制.
有关WAF功能的详细介绍,请参见功能特性.
1.
6续费时如何变更Web应用防火墙的规格您只能为当前的WAF云模式进行续费,续费时不能直接变更WAF的规格.
即WAF会按照当前WAF的版本、购买的域名扩展包或带宽扩展包的数量进行续费.
如果您需要在续费时变更WAF的规格,请您根据以下说明先升级或降低WAF规格:升级WAF规格–从较低版本升级到任一更高版本–增加域名扩展包或带宽扩展包的数量有关升级WAF规格的详细操作,请参见升级云模式版本和规格.
降低WAF规格–从较高版本降低到任一更低版本–减少域名扩展包或带宽扩展包的数量您需要先退订当前的WAF,再重新购买WAF.
Web应用防火墙常见问题1防护带宽/规格文档版本64(2020-11-18)版权所有华为技术有限公司2须知如果重购的WAF与原WAF不在同一区域,原WAF配置数据将不能保存.
当您重新购买WAF后,您需要将防护域名重新接入WAF,并根据防护需求为域名配置相应的防护规则,详细说明请参见退订后重购WAF,原配置数据可以保存吗.
1.
7如何查看当前WAF业务带宽的使用情况和流入的流量您可以在源站上,查看源站IP地址的带宽使用情况流入的流量.
1.
8业务带宽是按照入流量计算的还是出流量计算的WAF中的实际业务带宽由WAF单独计算,与其他华为云产品(如CDN、ELB、ECS等)的带宽或者流量限制没有任何关联.
有关带宽的详细介绍,请参见带宽扩展包说明.
Web应用防火墙常见问题1防护带宽/规格文档版本64(2020-11-18)版权所有华为技术有限公司32产品功能咨询2.
1如何获取访问者真实IP通常情况下,网站访问并不是简单地从用户的浏览器直达服务器,中间可能部署有CDN、WAF、高防.
例如,采用这样的架构:"用户>CDN/WAF/高防>源站服务器".
那么,在经过多层代理之后,服务器如何获取发起请求的真实客户端IP呢一个透明的代理服务器在把用户的HTTP请求转到下一环节的服务器时,会在HTTP的头部中加入一条"X-Forwarded-For"记录,用来记录用户的真实IP,其形式为"X-Forwarded-For:访问者的真实IP,代理服务器1-IP,代理服务器2-IP,代理服务器3-IP,……".
因此,访问者的真实IP可以通过获取"X-Forwarded-For"对应的第一个IP来得到.
可参考最佳实践获取访问者真实IP.
2.
2同一账号可以购买多个Web应用防火墙吗同一账号只能通过包年/包月或按需计费方式购买云模式.
在通过包年/包月购买云模式时,同一账号只能选择一个服务版本.
通过包年/包月方式购买云模式后,您可以升级云模式版本和规格.
同一账号可以同时购买WAF云模式和WAF独享模式.
2.
3Web应用防火墙是否支持防护非华为云和云下服务器WAF云模式支持防护非华为云和云下服务器,但是该服务器必须已连接互联网.
WAF云模式是基于域名进行防护的,只要有域名就能防护,不区分云上云下服务器,也不受Region、Project和账户的影响.
2.
4Web应用防火墙是否能防护IPWAF可以对IP进行防护.
Web应用防火墙常见问题2产品功能咨询文档版本64(2020-11-18)版权所有华为技术有限公司4云模式WAF不能防护IP,只能基于域名进行防护.
在WAF中配置的源站IP只支持公网IP,不支持私网IP或者内网IP.
若您需要减少公网IP的数量,可以购买ELB(ElasticLoadBalance,简称ELB)或搭建负载均衡,代理后端私网IP,并将EIP(公网IP)设置为WAF的回源地址.
独享模式WAF可以对IP或域名进行防护.
在WAF中配置的源站IP支持私网IP或者内网IP.
2.
5主账号与子账号的权限有哪些区别WAF子账号和主账号是资源隔离的.
主账号可以查看子账号添加的域名,但子账号不能查看主账号添加的域名.
关于WAF账号权限的详细介绍,请参见WAF权限管理.
2.
6Web应用防火墙支持对哪些对象进行防护WAF支持对域名或IP进行防护.
云模式只能基于域名进行防护,独享模式可以对域名或IP进行防护.
2.
7Web应用防火墙支持哪些操作系统Web应用防火墙部署在云端,即与操作系统没有关系.
故Web应用防火墙支持任意操作系统,任意操作系统上的域名服务器都可以接入WAF做防护.
2.
8Web应用防火墙支持哪些Web服务框架Web应用防火墙部署在云端,即与Web服务框架没有关系.
故Web应用防火墙支持任意框架的Web服务.
2.
9Web应用防火墙支持哪些防护规则本节介绍Web应用防火墙支持的防护规则.
Web基础防护可防范常规的web应用攻击,如SQL注入攻击、XSS跨站攻击等,可检测webshell,检查HTTP上传通道中的网页木马,打开开关即实时生效.
CC攻击防护可根据IP、Cookie或者Referer字段名设置灵活的限速策略,有效缓解CC攻击.
精准访问防护Web应用防火墙常见问题2产品功能咨询文档版本64(2020-11-18)版权所有华为技术有限公司5对常见HTTP字段进行条件组合,支持定制化防护策略如CSRF防护,通过自定义规则的配置,更精准的识别恶意伪造请求、保护网站敏感信息、提高防护精准性.
IP黑白名单添加终拦截与始终放行的黑白名单IP,增加防御准确性.
地理位置访问控制添加地理位置访问控制规则,针对来源IP进行自定义访问控制.
网页防篡改对网站的静态网页进行缓存配置,当用户访问时返回给用户缓存的正常页面,并随机检测网页是否被篡改.
网站反爬虫动态分析网站业务模型,结合人机识别技术和数据风控手段,精准识别爬虫行为.
误报屏蔽针对特定请求忽略某些攻击检测规则,用于处理误报事件.
隐私屏蔽隐私信息屏蔽,避免用户的密码等信息出现在事件日志中.
防敏感信息泄露防止在页面中泄露用户的敏感信息,例如:用户的身份证号码、手机号码、电子邮箱等.
2.
10Web应用防火墙提供的是几层防护Web应用防火墙提供的是七层(物理层、数据链路层、网络层、传输层、会话层、表示层和应用层)防护.
2.
11Web应用防火墙服务到期后还能防护域名吗购买的WAF云模式到期,如果没有按时续费,公有云平台会提供一定的保留期.
保留期的时长由客户等级而定,具体请参见保留期.
冻结期内,WAF只转发流量,但用户配置的各种防护策略将不再生效.
冻结期满,进入资源清理期,域名的所有配置将会被全部删除.
清除资源的时候,默认会把域名指回源站,但由于用户配置的协议和端口可能存在不一致的情况,所以不能保证该域名的业务能正常运行.
为了防止造成不必要的损失,请您及时续费.
如果未续费,您将不能使用WAF服务,不影响您的网站访问业务.
2.
12Web应用防火墙是否可以防护HTTPS业务Web应用防火墙可以防护HTTPS业务.
用户通过Web应用防火墙界面配置前端HTTPS协议,并托管证书之后,Web应用防火墙可以防护HTTPS的流量.
Web应用防火墙常见问题2产品功能咨询文档版本64(2020-11-18)版权所有华为技术有限公司62.
13接入WAF后网站的文件上传请求有限制吗将网站接入WAF后,网站的文件上传请求限制为512M.
如果需要上传超过512M的文件,视频,建议不使用WAF防护的域名上传,可采用以下三种方式上传:直接通过IP上传.
使用没有被WAF防护的域名上传.
采用ftp协议上传.
2.
14Web应用防火墙支持防护哪些区域Web应用防火墙支持防护所有区域.
可以购买WAF的区域支持购买WAF的区域:华东-上海一、华东-上海二、华北-北京一、华北-北京四、华南-广州、华南-深圳、亚太-香港、亚太-曼谷、亚太-新加坡、拉美-圣保罗一.
原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务.
但是为了提高WAF的转发效率,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域.
购买WAF时如何选择区域例如,如果买一个WAF能同时覆盖不同地域的业务(如北京和上海),但是若购买北京region的WAF,对于客户在上海的业务,可能转发时长相比于北京的业务会更长.
为了提高转发效率,建议您购买2个WAF(北京region的WAF和上海region的WAF),分别防护北京和上海的业务.
2.
15多Project下使用Web应用防火墙的限制条件各Project是相互独立的,创建的策略、证书都不可互用.
策略不可互用,例如,主Project创建的policyA,则子Project创建的规则都不能属于policyA,只能单独创建策略.
证书不可互用,主Project和子Project创建的证书无法相互推送,则只能使用各自Project创建的证书.
2.
16什么是区域和可用区什么是区域、可用区我们用区域和可用区来描述数据中心的位置,您可以在特定的区域、可用区创建资源.
区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务.
Region分为Web应用防火墙常见问题2产品功能咨询文档版本64(2020-11-18)版权所有华为技术有限公司7通用Region和专属Region,通用Region指面向公共租户提供通用云服务的Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region.
可用区(AZ,AvailabilityZone):一个AZ是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群.
一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求.
图2-1阐明了区域和可用区之间的关系.
图2-1区域和可用区目前,华为云已在全球多个地域开放云服务,您可以根据需求选择适合自己的区域和可用区.
如何选择区域选择区域时,您需要考虑以下几个因素:地理位置一般情况下,建议就近选择靠近您或者您的目标用户的区域,这样可以减少网络时延,提高访问速度.
不过,在基础设施、BGP网络品质、资源的操作与配置等方面,中国大陆各个区域间区别不大,如果您或者您的目标用户在中国大陆,可以不用考虑不同区域造成的网络时延问题.
–在除中国大陆以外的亚太地区有业务的用户,可以选择"亚太-香港"、"亚太-曼谷"或"亚太-新加坡"区域.
–在非洲地区有业务的用户,可以选择"南非-约翰内斯堡"区域.
–在欧洲地区有业务的用户,可以选择"欧洲-巴黎"区域.
资源的价格不同区域的资源价格可能有差异,请参见华为云服务价格详情.
如何选择可用区是否将资源放在同一可用区内,主要取决于您对容灾能力和网络时延的要求.
如果您的应用需要较高的容灾能力,建议您将资源部署在同一区域的不同可用区内.
如果您的应用要求实例之间的网络延时较低,则建议您将资源创建在同一可用区内.
Web应用防火墙常见问题2产品功能咨询文档版本64(2020-11-18)版权所有华为技术有限公司8区域和终端节点当您通过API使用资源时,您必须指定其区域终端节点.
有关华为云的区域和终端节点的更多信息,请参阅地区和终端节点.
2.
17Web应用防火墙是否支持HTTP/2目前WAF不支持HTTP/2(HTTP2.
0版本).
2.
18Web应用防火墙最多可以添加多少条规则根据不同的版本不同的配置规则,可添加的规则条数不同.
具体的版本规格说明请参见服务版本差异.
2.
19Web应用防火墙是否支持健康检查WAF云模式目前暂不支持健康检查的功能,如果您希望服务器有健康性检查的功能,建议您将弹性负载均衡(ELB)和WAF搭配使用,ELB的相关置请参见添加或移除后端服务器(增强型).
ELB配置完成后,再将ELB的EIP作为服务器的IP地址,接入WAF,实现健康检查.
WAF独享模式支持健康检查的功能.
2.
20Web应用防火墙有IPS模块吗Web应用防火墙没有传统防火墙的IPS模块,但是WAF支持对http/https协议的入侵检测.
2.
21Web应用防火墙是否支持文件缓存WAF只缓存配置了网页防篡改的静态网页,用于将缓存的未被篡改的网页返回给Web访问者,以达到防篡改的目的.
如果您需要缓存所有的网站内容,可以选择部署CDN,WAF部署在CDN和源站之间,具体的配置方式请参见同时部署CDN和WAF的配置指导.
2.
22Web应用防火墙是否支持WebSocket协议WAF支持WebSocket协议,且默认为开启状态.
2.
23Web应用防火墙是否支持多个账号共享使用WAF不支持多个账号共享使用,每个账号需要单独购买WAF进行部署.
但是支持多个IAM用户共享使用.
多个IAM用户共享使用例如,您通过注册华为云创建了1个账号("domain1"),且由"domain1"账号在IAM中创建了2个IAM用户("sub-user1a"和"sub-user1b"),如果您授权了Web应用防火墙常见问题2产品功能咨询文档版本64(2020-11-18)版权所有华为技术有限公司9"sub-user1b"用户WAF的权限策略,则"sub-user1b"用户可以使用"sub-user1a"用户的WAF.
有关WAF权限管理的详细操作,请参见创建用户组并授权使用WAF.
2.
24检测版、专业版、企业版、旗舰版和独享版的特性差异Web应用防火墙提供了云模式(检测版、专业版、企业版、旗舰版)和独享模式(独享版)五种服务版本.
各服务版本的特性说明,请参见服务版本差异.
2.
25什么是QPSQPS(QueriesPerSecond)即每秒钟的请求量,例如一个HTTPGET请求就是一个Query.
WAF各版本支持的QPS指标说明,请参见服务版本差异.
2.
26什么是防护IP防护IP是指需要保护的网站的IP地址.
2.
27Web应用防火墙支持漏洞检测吗WAF的Web基础防护功能可以对第三方漏洞攻击等威胁进行检测和拦截.
在配置Web基础防护规则时,如果您开启了扫描器,WAF将对扫描器爬虫,如OpenVAS、Nmap等进行检测.
有关配置Web基础防护规则的详细操作,请参见配置Web基础防护规则.
2.
28Web应用防火墙可以免费使用吗WAF为收费服务,需要购买后才能使用.
WAF提供了云模式(检测版、专业版、企业版、旗舰版)和独享模式(独享版)五种服务版本,各版本的规格和收费的详细介绍,请参见价格详情.
2.
29Web应用防火墙是否支持SSL双向认证不支持.
您可以在源站上配置双向认证的CA证书,在WAF上配置单向的SSL证书.
2.
30Web应用防火墙与漏洞扫描服务有哪些区别Web应用防火墙(WebApplicationFirewall,WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包Web应用防火墙常见问题2产品功能咨询文档版本64(2020-11-18)版权所有华为技术有限公司10含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定.
漏洞扫描服务(VulnerabilityScanService,简称VSS)是针对服务器或网站进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务.
用户新建任务后,即可人工触发扫描任务,检测出网站的漏洞并给出漏洞修复建议.
两个服务最大的区别在于WAF可以记录并拦截攻击事件,以达到保护Web服务安全稳定的目的.
而VSS是漏洞检测服务,仅提供漏洞扫描并给出漏洞修复建议,有关VSS详细的介绍,请参见漏洞扫描服务.
2.
31Web应用防火墙可以导出黑白名单吗WAF不支持导出黑名单,您可以在黑白名单规则列表中,查看配置的黑名单规则.
有关配置黑白名单的详细操作,请参见配置黑白名单规则.
2.
32Web应用防火墙是否可以对用户添加的Post的body进行检查吗WAF的内置检测会检查Post数据,webshell是Post提交的文件.
Post类型提交的表单、json等数据,都会被WAF的默认策略检查.
您可以通过配置精准访问防护规则,对添加的Post的body进行检查.
有关配置精准访问防护规则的详细操作,请参见配置精准访问防护规则.
2.
33Web应用防火墙会记录未拦截的事件吗WAF根据配置的防护规则拦截攻击事件,并将拦截或者仅记录攻击的事件记录在防护日志中,不会记录未拦截的事件.
有关查看防护日志的详细操作,请参见查看防护日志.
2.
34Web应用防火墙如何拦截请求内容WAF对请求的首部和body体都会进行检测.
例如body的表单、xml、json等数据都会被WAF检测,WAF通过检测对不符合防护规则的请求内容进行拦截.
有关WAF防护流程的详细介绍,请参见配置引导.
2.
35Web应用防火墙支持配置泛域名吗在WAF中添加防护的域名时,您可以根据业务需求配置单域名或泛域名,说明如下:单域名配置待防护的单域名.
例如:www.
example.
com.
泛域名配置泛域名可以使泛域名下的多级域名经过WAF防护.
Web应用防火墙常见问题2产品功能咨询文档版本64(2020-11-18)版权所有华为技术有限公司11–如果各子域名对应的服务器IP地址相同:配置防护的泛域名.
例如:子域名a.
example.
com,b.
example.
com和c.
example.
com对应的服务器IP地址相同,可以直接添加泛域名*.
example.
com.
–如果各子域名对应的服务器IP地址不相同:请将子域名按"单域名"方式逐条配置.
有关添加防护域名的详细操作,请参见添加防护域名.
2.
36WAF、CDN和DDoS高防可以一起使用吗WAF、CDN和DDoS高防这3个服务不能一起使用,您可以同时部署WAF和DDoS高防、WAF和CDN或DDoS高防和CDN.
有关WAF+DDoS高防部署的详细操作,请参见同时部署DDoS高防和WAF的配置指导.
有关WAF+CDN部署的详细操作,请参见同时部署CDN和WAF的配置指导.
有关DDoS高防+CDN部署的详细操作,请参见华为云"DDoS高防+CDN"联动.
2.
37Web应用防火墙支持自定义授权策略吗WAF支持自定义授权策略,通过IAM,您可以:根据企业的业务组织,在您的华为云账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用WAF资源.
根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离.
将WAF资源委托给更专业、高效的其他华为云账号或者云服务,这些账号或者云服务可以根据权限进行代运维.
有关创建WAF权限策略的详细介绍,请参见创建用户组并授权使用WAF.
2.
38Web应用防火墙是否支持IPv4和IPv6共存WAF支持IPv4和IPv6共存,针对同一域名可以同时提供IPv6和IPv4的流量防护.
Web应用防火墙支持IPv6/IPv4双栈,针对同一域名可以同时提供IPv6和IPv4的流量防护.
针对仍然使用IPv4协议栈的Web业务,Web应用防火墙支持NAT64机制(NAT64是一种通过网络地址转换(NAT)形式促成IPv6与IPv4主机间通信的IPv6转换机制),即WAF可以将IPv4源站转化成IPv6网站,将外部IPv6访问流量转化成对内的IPv4流量.
须知当前仅"华北"区域支持IPv6防护,且仅企业版和旗舰版支持IPv6防护.
Web应用防火墙常见问题2产品功能咨询文档版本64(2020-11-18)版权所有华为技术有限公司122.
39Web应用防火墙支持自定义POST拦截吗WAF不支持自定义POST拦截.
针对HTTTP/HTTPS原始请求,WAF引擎内置防护规则的检测流程如图2-2所示.
图2-2WAF引擎检测图有关WAF防护流程的详细介绍,请参见配置引导.
Web应用防火墙常见问题2产品功能咨询文档版本64(2020-11-18)版权所有华为技术有限公司132.
40Web应用防火墙支持跨域禁止访问功能吗WAF不支持配置跨域禁止访问功能.
有关WAF功能的详细介绍,请参见功能特性.
2.
41如果证书挂载在ELB上,WAF可以根据请求内容进行拦截吗如果证书挂载在ELB上,通过WAF的请求都是加密的.
对于HTTPS的业务,您必须将证书上传到WAF上,WAF才能根据解密之后的请求判断是否进行拦截.
2.
42本地文件包含和远程文件包含是指什么您可以在WAF的防护事件中查看文件包含等安全事件,快速定位攻击源或对攻击事件进行分析.
文件包含是指程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需再次编写,这种文件调用的过程一般被称为文件包含.
文件包含分为本地文件包含和远程文件包含,说明如下:当被包含的文件在服务器本地时,称为本地文件包含.
当被包含的文件在第三方服务器时,称为远程文件包含.
文件包含漏洞是指通过函数包含文件时,由于没有对包含的文件名进行有效的过滤处理,被攻击者利用从而导致了包含了Web根目录以外的文件进来,导致文件信息的泄露甚至注入了恶意代码.
有关查看防护日志的详细操作,请参见查看防护日志.
2.
43Web应用防火墙的哪些防护规则支持仅记录模式WAF的Web基础防护规则支持"仅记录"模式.
有关配置Web基础防护规则的详细操作,请参见配置Web基础防护规则.
WAF的CC攻击防护规则、精准访问防护规则、黑白名单规则和地理位置访问控制规则支持"仅记录"防护动作.
有关配置黑白名单规则的详细操作,请参见配置黑白名单规则.
有关配置地理位置访问控制规则的详细操作,请参见配置地理位置访问控制规则.
2.
44Web应用防火墙支持请求url将""作为拦截条件吗WAF不支持请求url将""作为拦截条件,WAF可以对来源IP进行检测和限制.
Web应用防火墙常见问题2产品功能咨询文档版本64(2020-11-18)版权所有华为技术有限公司142.
45Web应用防火墙可以拦截Web页面调用其他接口的请求数据吗Web页面调用其他接口的请求数据不经过WAF,因此WAF不会拦截.
2.
46Web应用防火墙可以配置会话Cookie吗WAF不支持配置会话Cookie.
WAF可以通过配置CC攻击防护规则,限制单个Cookie字段特定路径(URL)的访问频率,精准识别CC攻击以及有效缓解CC攻击.
例如,您可以通过配置CC攻击规则,使Cookie标识为name的用户在60秒内访问域名的"/admin*"页面超过10次时,封禁该用户访问域名600秒.
有关配置CC攻击防护规则的详细操作,请参见配置CC攻击防护规则.
什么是CookieCookie是网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),Cookie由Web服务器发送到浏览器,可以用来记录用户个人信息.
Cookie由一个名称(Name)、一个值(Value)和其它几个用于控制Cookie有效期、安全性、使用范围的可选属性组成.
Cookie分为会话Cookie和持久性Cookie两种类型,详细说明如下:会话Cookie临时的Cookie,不包含到期日期,存储在内存中.
当浏览器关闭时,Cookie将被删除.
持久性Cookie包含到期日期,存储在磁盘中,当到达指定的到期日期时,Cookie将从磁盘中被删除.
2.
47Web应用防火墙可以批量配置黑白名单吗WAF不支持批量配置黑白名单.
您可以通过配置黑白名单规则,阻断、仅记录或放行指定IP/IP段的访问请求,每一条规则对应一个IP/IP段,如果您需要配置多个IP/IP段的黑白名单,您需要为每一个IP/IP段分别配置黑白名单规则.
有关配置黑白名单规则的详细操作,请参见配置黑白名单规则.
2.
48Web应用防火墙可以同时查询多个指定IP的防护事件吗WAF不支持同时查询多个指定IP的防护事件.
您可以在"防护事件"页面,通过"事件类型"、"防护动作"、"源IP"、"URL"、"事件ID"组合条件,查看防护域名相应的防护事件,如图2-3所示.
Web应用防火墙常见问题2产品功能咨询文档版本64(2020-11-18)版权所有华为技术有限公司15图2-3查看防护事件有关查看防护事件的详细操作,请参见查看防护日志.
2.
49使用Web应用防火墙对邮件收发和邮件端口有影响吗WAF是对Web应用网页进行防护,当您的网站接入WAF后,对邮件收发和邮件端口不会产生影响.
2.
50接入Web应用防火墙的域名需要备案吗WAF不检测域名备案.
使用WAF前,请确保域名经过ICP备案,未备案域名将无法正常使用WAF.
2.
51Web应用防火墙支持基于应用层协议和内容的访问控制吗WAF支持应用层协议和内容的访问控制,应用层协议支持HTTP和HTTPS.
2.
52Web应用防火墙切换为Bypass模式后会放行流量吗WAF云模式下,防护的"工作模式"切换为"Bypass"后,该域名的请求直接到达其后端服务器,不再经过WAF.
只有出现以下情况,才能将"工作模式"切换为"Bypass":当有测试等特殊场景,需要将业务恢复到没有接入WAF的状态,可以通过Bypass功能切换.
排查网站异常,例如报502、504或其他不兼容等问题.
在Web应用防火墙前面未使用代理.
Bypass模式生效时间当您将"工作模式"切换为"Bypass"后,等待约3~5分钟后,Bypass模式生效.
Web应用防火墙常见问题2产品功能咨询文档版本64(2020-11-18)版权所有华为技术有限公司16切换为Bypass模式步骤1登录管理控制台.
步骤2进入网站设置页面入口,如图2-4所示.
图2-4网站设置入口步骤3在目标网站所在行的"工作模式"列,单击"切换".
步骤4在弹出的"切换工作模式"对话框中,选择目标工作模式,单击"确定".
----结束2.
53Web应用防火墙支持哪些工作模式和防护模式域名接入WAF后,WAF作为一个反向代理部署在客户端和服务器之间,服务器的真实IP被隐藏起来,Web访问者只能看到WAF的IP地址.
WAF支持以下几种工作模式:开启防护暂停防护Bypass须知如果"部署模式"为"云模式"的网站在接入WAF前使用了代理,则不能切换为"Bypass"工作模式.
"部署模式"为"独享模式"的网站不支持"Bypass"工作模式.
有关切换WAF工作模式的详细操作,请参见切换工作模式.
WAF防护规则支持的防护模式说明如表2-1所示.
Web应用防火墙常见问题2产品功能咨询文档版本64(2020-11-18)版权所有华为技术有限公司17表2-1支持的防护模式说明防护规则防护模式Web基础防护规则拦截仅记录CC攻击防护规则人机验证阻断动态阻断仅记录精准访问防护规则阻断放行仅记录黑白名单规则拦截放行仅记录地理位置访问控制规则拦截放行仅记录须知WAF企业版、旗舰版和独享版支持配置该规则.
说明拦截:发现攻击行为后立即阻断并记录.
仅记录:发现攻击行为后只记录不阻断攻击.
2.
54在安全组中配置WAF白名单,需要开放所有端口吗可以开放所有端口.
为了降低网络安全风险,建议只开放80和443端口.
2.
55Web应用防火墙可以跨区域使用吗原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务.
但是为了提高WAF的转发效率,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域.
例如,如果买一个WAF能同时覆盖不同地域的业务(如北京和上海),但是若购买北京region的WAF,对于客户在上海的业务,可能转发时长相比于北京的业务会更长.
为了提高转发效率,建议您购买2个WAF(北京region的WAF和上海region的WAF),分别防护北京和上海的业务.
Web应用防火墙常见问题2产品功能咨询文档版本64(2020-11-18)版权所有华为技术有限公司182.
56Web应用防火墙支持防护中文域名吗WAF不支持中文域名.
防护的域名只能由字母、数字、-、_和.
组成,且域名的字符长度不能超过63个字符长度.
WAF支持防护单域名和泛域名.
单域名:输入防护的单域名.
例如:www.
example.
com.
泛域名说明泛域名不支持下划线(_).
–如果各子域名对应的服务器IP地址相同:输入防护的泛域名.
例如:子域名a.
example.
com,b.
example.
com和c.
example.
com对应的服务器IP地址相同,可以直接添加泛域名*.
example.
com.
–如果各子域名对应的服务器IP地址不相同:请将子域名按"单域名"方式逐条添加.
2.
57Web应用防火墙是硬防火墙还是软防火墙华为云Web应用防火墙是软防火墙.
当您购买华为云WAF后,只需要将域名接入WAF,就可以使用WAF防护功能.
有关域名接入WAF的详细操作,请参见添加防护域名.
2.
58Web应用防护墙可以部署在VPC内网吗可以.
独享版WAF的独享引擎实例部署在VPC内.
2.
59Web应用防火墙可以限制域名访问速度吗不支持.
2.
60Web应用防火墙可以设置域名限制访问吗WAF不能直接通过域名限制访问.
WAF支持配置黑白名单规则(即设置IP黑/白名单),阻断、仅记录或放行指定IP或IP段的访问请求.
您可以通过配置黑白名单规则,阻断、仅记录或放行域名对应的IP或IP段的访问请求.
2.
61Web应用防火墙可以拦截multipart/form-data格式的数据包吗WAF支持拦截multipart/form-data格式的数据包.
您可以提交工单申请配置拦截multipart/form-data格式的数据包.
Web应用防火墙常见问题2产品功能咨询文档版本64(2020-11-18)版权所有华为技术有限公司19Multipart/form-data是浏览器使用表单上传文件的方式.
例如,在写邮件时,如果邮件添加了,通常使用multipart/form-data格式上传到服务器.
2.
62多个域名对应同一源站,Web应用防火墙可以防护这些域名吗可以.
不同域名对应同一个源站时,您可以将这些域名接入WAF进行防护.
2.
63WAF可以防止垃圾注册和恶意注册吗WAF不能防止垃圾注册和恶意注册等业务层面攻击行为.
建议您在网站配置注册验证机制,以防止垃圾注册和恶意注册.
WAF通过对HTTP(S)请求进行检测,可以识别并阻断Web服务的网络攻击(SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等).
Web应用防火墙常见问题2产品功能咨询文档版本64(2020-11-18)版权所有华为技术有限公司203域名接入配置3.
1Web应用防火墙支持哪些非标准端口Web应用防火墙除了可以防护标准的80,443端口外,还支持非标准端口的防护,且不同的计费方式和不同的版本所支持的端口有所差异.
添加防护域名时,如果您需要添加非标准端口,需要勾选非标准端口,并在"端口"的下拉框中选择对应的非标准端口,才能使非标准端口接入WAF.
图3-1非标准端口的配置WAF支持的端口Web应用防火墙支持云模式和独享模式两种部署方式.
云模式支持包年/包月和按需计费两种计费模式,其中,包年/包月支持检测版、专业版、企业版和旗舰版四种服务版本,WAF可防护的端口如表3-1所示.
表3-1WAF支持的端口服务版本/计费模式端口分类HTTP协议HTTPS协议端口防护限制数检测版标准端口80443不限制专业版标准端口80443不限制Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司21服务版本/计费模式端口分类HTTP协议HTTPS协议端口防护限制数非标准端口(86个)81,82,83,84,86,87,88,89,800,808,5000,8000,8001,8002,8003,8008,8009,8010,8020,8021,8022,8025,8026,8077,8078,8080,8085,8086,8087,8088,8089,8090,8091,8092,8093,8094,8095,8096,8097,8098,8106,8118,8181,8334,8336,8800,8686,8888,8889,8999,8011,8012,8013,8014,8015,8016,8017,80704443,5443,6443,7443,8081,8082,8083,8084,8443,8843,9443,8553,8663,9553,9663,18110,18381,18980,28443,18443,8033,18000,19000,7072,7073,8803,8804,880510个专业版支持的非标准端口企业版标准端口80443不限制Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司22服务版本/计费模式端口分类HTTP协议HTTPS协议端口防护限制数非标准端口(182个)9945,9770,81,82,83,84,88,89,800,808,1000,1090,3128,3333,3501,3601,4444,5000,5222,5555,5601,6001,6666,6788,6789,6842,6868,7000,7001,7002,7003,7004,7005,7006,7009,7010,7011,7012,7013,7014,7015,7016,7018,7019,7020,7021,7022,7023,7024,7025,7026,7070,7081,7082,7083,7088,7097,7777,7800,7979,8000,8001,8002,8003,8008,8009,8010,8020,8021,8022,8025,8026,8077,8078,8080,8085,8086,8087,8088,8089,8090,8091,8092,8093,8094,8095,8096,8097,8098,8106,8118,8181,8334,8336,8800,8686,8888,8889,8989,8999,9000,9001,9002,9003,9080,9200,9802,10000,10001,10080,12601,86,9021,9023,9027,9037,9081,9082,9201,9205,9207,9208,9209,9210,9211,9212,9213,48800,87,97,7510,9180,9898,9908,9916,9918,9919,9928,9929,9939,28080,33702,8011,8012,8013,8014,8750,8445,18010,4443,5443,6443,7443,8081,8082,8083,8084,8443,8843,9443,8553,8663,9553,9663,18110,18381,18980,28443,18443,8033,18000,19000,7072,7073,8803,8804,8805,999918个企业版支持的非标准端口Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司23服务版本/计费模式端口分类HTTP协议HTTPS协议端口防护限制数8015,8016,8017,8070旗舰版标准端口80443不限制Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司24服务版本/计费模式端口分类HTTP协议HTTPS协议端口防护限制数非标准端口(199个)8899,8006,9945,9770,81,82,83,84,88,89,800,808,1000,1090,3128,3333,3501,3601,4444,5000,5222,5555,5601,6001,6666,6788,6789,6842,6868,7000,7001,7002,7003,7004,7005,7006,7009,7010,7011,7012,7013,7014,7015,7016,7018,7019,7020,7021,7022,7023,7024,7025,7026,7070,7081,7082,7083,7088,7097,7777,7800,7979,8000,8001,8002,8003,8008,8009,8010,8020,8021,8022,8025,8026,8077,8078,8080,8085,8086,8087,8088,8089,8090,8091,8092,8093,8094,8095,8096,8097,8098,8106,8118,8181,8334,8336,8800,8686,8888,8889,8989,8999,9000,9001,9002,9003,9080,9200,9802,10000,10001,10080,12601,86,9021,9023,9027,9037,9081,9082,9201,9205,9207,9208,9209,9210,9211,9212,9213,48800,87,97,7510,9180,9898,9908,9916,9918,9919,9928,9929,9939,28080,33702,8011,8012,8013,8014,8750,9190,9184,9182,8950,8920,8910,8848,8445,18010,4443,5443,6443,7443,8081,8082,8083,8084,8443,8843,9443,8553,8663,9553,9663,18110,18381,18980,28443,18443,8033,18000,19000,7072,7073,8803,8804,8805,9999,8244,8224,8281,8211,8243,8221,823158个旗舰版支持的非标准端口Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司25服务版本/计费模式端口分类HTTP协议HTTPS协议端口防护限制数8015,8016,8017,8070,8232按需计费(云模式)标准端口80443不限制非标准端口(86个)81,82,83,84,86,87,88,89,800,808,5000,8000,8001,8002,8003,8008,8009,8010,8020,8021,8022,8025,8026,8077,8078,8080,8085,8086,8087,8088,8089,8090,8091,8092,8093,8094,8095,8096,8097,8098,8106,8118,8181,8334,8336,8800,8686,8888,8889,8999,8011,8012,8013,8014,8015,8016,8017,80704443,5443,6443,7443,8081,8082,8083,8084,8443,8843,9443,8553,8663,9553,9663,18110,18381,18980,28443,18443,8033,18000,19000,7072,7073,8803,8804,880520个按需计费支持的非标准端口独享模式标准端口80443不限制Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司26服务版本/计费模式端口分类HTTP协议HTTPS协议端口防护限制数非标准端口(182个)9945,9770,81,82,83,84,88,89,800,808,1000,1090,3128,3333,3501,3601,4444,5000,5222,5555,5601,6001,6666,6788,6789,6842,6868,7000,7001,7002,7003,7004,7005,7006,7009,7010,7011,7012,7013,7014,7015,7016,7018,7019,7020,7021,7022,7023,7024,7025,7026,7070,7081,7082,7083,7088,7097,7777,7800,7979,8000,8001,8002,8003,8008,8009,8010,8020,8021,8022,8025,8026,8077,8078,8080,8085,8086,8087,8088,8089,8090,8091,8092,8093,8094,8095,8096,8097,8098,8106,8118,8181,8334,8336,8800,8686,8888,8889,8989,8999,9000,9001,9002,9003,9080,9200,9802,10000,10001,10080,12601,86,9021,9023,9027,9037,9081,9082,9201,9205,9207,9208,9209,9210,9211,9212,9213,48800,87,97,7510,9180,9898,9908,9916,9918,9919,9928,9929,9939,28080,33702,8011,8012,8013,8014,8750,8445,18010,4443,5443,6443,7443,8081,8082,8083,8084,8443,8843,9443,8553,8663,9553,9663,18110,18381,18980,28443,18443,8033,18000,19000,7072,7073,8803,8804,8805,9999不限制Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司27服务版本/计费模式端口分类HTTP协议HTTPS协议端口防护限制数8015,8016,8017,8070为什么通过第三方检测工具可以检测到用户未开通的非标准端口由于Web应用防火墙的非标准端口引擎是所有用户间共享的,即通过第三方检测工具可以检测到所有已在WAF中使用的非标准端口.
域名的端口检测,应以源站IP开通的端口为准,即引擎的端口检测并不影响源站的使用安全,且WAF保证客户解析CNAME返回的引擎IP的安全性.
3.
2域名如何接入Web应用防火墙域名接入WAF后,WAF作为一个反向代理存在于客户端和服务器之间,服务器的真实IP被隐藏起来,Web访问者只能看到WAF的IP地址.
有关域名接入的详细介绍,请参见添加防护域名和添加防护网站.
3.
3域名接入WAF前需要准备哪些数据域名接入WAF前需要准备以下数据:域名端口:需要防护的域名对应的业务端口.
须知如果业务端口为非标准端口(80,443之外的端口),请查看Web应用防火墙支持哪些非标准端口,确保WAF支持防护该非标准端口.
服务器信息:–对外协议:客户端请求访问服务器的协议类型.
–源站协议:WAF转发客户端请求到服务器的协议类型.
–源站地址:客户端访问的网站服务器的公网IP地址(一般对应该域名在DNS服务商处配置的A记录)或者域名(一般对应该域名在DNS服务商处配置的CNAME).
–源站端口:WAF转发客户端请求到服务器的业务端口.
证书:如果"对外协议"使用HTTPS,则需要为该域名购买证书并推送到WAF.
Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司283.
4域名接入状态显示"未接入",如何处理故障现象以"云模式"部署方式添加防护域名后,域名"接入状态"显示"未接入",如图3-2所示.
图3-2域名未接入可能原因没有访问流量经过WAF或域名"接入状态"未刷新未配置域名解析或代理回源地址域名解析或代理回源地址配置错误域名未经过ICP备案处理建议原因一:没有访问流量经过WAF或域名"接入状态"未刷新处理建议:在防护域名"接入状态"栏,单击刷新状态.
如果"接入状态"仍为"未接入",请排查其他可能原因.
说明域名接入WAF后,当WAF统计域名在5分钟内有20次请求时,将认定该域名已接入WAF.
原因二:未配置域名解析或代理回源地址处理建议:客户端和WAF之间未使用代理到该域名的DNS服务商处,配置防护域名的别名解析,将DNS解析到WAF的"CNAME".
客户端和WAF之前使用了代理(高防、CDN、云加速等)需要将该代理的回源地址修改为WAF提供的CNAME地址.
须知若接入Web应用防火墙的网站已使用高防、CDN(ContentDeliveryNetwork,内容分发网络)、云加速等代理,为了保证WAF的安全策略能够针对真实源IP生效,请确保网站的"是否已使用代理"已配置为"是",详细操作请参见查看基本信息.
Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司29有关配置域名解析和代理回源地址的详细操作,请参见域名接入WAF.
原因三:域名解析或代理回源地址配置错误处理建议:请参见域名接入WAF,检查并确保域名解析或代理回源地址已配置正确.
原因四:域名未经过ICP备案处理建议:域名通过ICP备案后,重新接入WAF.
有关添加防护域名的详细操作,请参见添加防护域名.
3.
5CDN+WAF如何配置先将域名解析到CDN,再将CDN回源地址修改为WAF的"CNAME",这样流量才会被CDN转发到WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截.
配置完成后,流量会先经过CDN,再转发至WAF,实现联动防御.
同时,为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您到DNS服务商处添加一条WAF的子域名和TXT记录.
有关同时部署CDN和WAF的详细介绍,请参见同时部署CDN和WAF的配置指导.
3.
6DDoS高防+WAF如何配置先将域名解析到DDoS高防,再将DDoS高防回源地址修改为WAF的"CNAME",这样流量才会被DDoS高防转发到WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截.
配置完成后,流量会先经过DDoS高防,再转发至WAF,实现联动防御.
同时,为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您到DNS服务商处添加一条WAF的子域名和TXT记录.
有关同时部署DDoS高防和WAF的详细介绍,请参见同时部署DDoS高防和WAF的配置指导.
3.
7如何在添加域名中配置防护域名在使用WAF防护前,您需要根据您的Web业务防护需求,在WAF中添加防护域名,WAF支持添加单域名和泛域名.
本章节为您介绍如何配置防护域名.
Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司30相关概念泛域名泛域名是指带1个通配符"*"且以"*.
"号开头的域名.
例如:"*.
example.
com"是正确的泛域名,但"*.
*.
example.
com"则是不正确的.
说明一个泛域名算一个域名.
单域名单域名又称普通域名,是相对泛域名来说的,是一个具体的域名或者说不是通配符域名.
例如:"www.
example.
com"或"example.
com"都算一个单域名.
说明如"www.
example.
com"或"a.
www.
example.
com"各个明细子域名都算一个域名.
如何选择域名类型WAF支持防护单域名和泛域名.
在DNS服务商处购买的域名为单域名(example.
com),WAF中添加的域名形式可以为example.
com、子域名(例如:a.
xample.
com)、泛域名(*.
example.
com),可根据以下场景选择配置域名的类型:如果防护的域名业务相同:输入单域名.
例如:防护www.
example.
com的业务都是8080端口的业务,则"防护域名"直接配置为单域名"www.
example.
com".
如果各子域名对应的服务器IP地址相同:输入防护的泛域名.
例如:a.
example.
com、b.
example.
com和c.
example.
com对应的服务器IP地址相同,则"防护域名"可配置为泛域名"*.
example.
com".
如果各子域名对应的服务器IP地址不相同:请将子域名按"单域名"方式逐条添加.
说明建议添加的"防护域名"与在DNS服务商处设置的域名保持一致.
3.
8后端服务器配置多个IP时的注意事项同一个域名在后端配置多个服务器IP的前提是同一协议防护的业务端口必须相同.
添加域名时,WAF支持添加多个服务器IP,多个服务器之间,WAF采用轮询的方式回源,这样有助于减少服务器的压力,起到保护源站的作用.
例如,后端添加了两个服务器IP(IP-A,IP-B),当有10个请求访问该域名时,5个请求会被WAF转发到IP-A,其余5个请求会被WAF转发到IP-B.
WAF云模式目前暂不支持健康检查的功能,当一个服务器IP出现问题,WAF仍然会转发流量给这个服务器IP,这样会导致部分业务受损.
如果您希望服务器有健康性检查的功能,建议您将弹性负载均衡(ELB)和WAF搭配使用,ELB的相关配置请参见添加或移除后端服务器(增强型).
ELB配置完成后,再将ELB的EIP作为服务器的IP地址,接入WAF,实现健康检查.
Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司313.
9如何使网站流量切入Web应用防火墙将您的网站添加到WAF后,还需要完成域名接入,使网站流量切入WAF.
流量切入WAF后,WAF帮助您过滤恶意请求,放行合法的访问请求至源站服务器.
工作原理未使用代理当网站没有接入到WAF前,DNS直接解析到源站的IP,所以当网站接入WAF后,需要把DNS解析到WAF的CNAME,这样流量才会先经过WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截.
使用了DDoS高防等代理当网站没有接入到WAF前,DNS解析到高防等代理,流量先经过高防等代理,高防等代理再将流量直接转到源站.
网站接入WAF后,需要将高防等代理回源地址修改为WAF的"CNAME",这样流量才会被高防等代理转发到WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截.
说明为了确保WAF转发正常,在修改DNS解析配置前,建议您参照本地验证进行本地验证确保一切配置正常.
为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您到DNS服务商处添加"子域名",并为它配置"TXT记录".
WAF会据此判断域名的所有权真正属于哪个用户.
具体的配置方法请参见未配置子域名和TXT记录的影响.
操作指导添加域名后,WAF会根据添加的域名是否已在WAF前使用了代理,生成CNAME值或者CNAME、子域名和TXT记录,用于域名解析,使网站流量切入WAF,相关操作指导参见表3-2.
表3-2操作指导场景生成的参数值域名解析的相关操作未使用代理CNAME把DNS解析到WAF的"CNAME".
使用代理CNAME、子域名和TXT记录将DDoS高防等代理回源地址修改为WAF的"CNAME".
(可选)在DNS服务商处添加一条WAF的"子域名"和"TXT记录".
操作步骤具体的操作步骤请参见域名接入WAF.
Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司323.
10如何配置对外协议与源站协议本节介绍如何配置WAF的对外协议与源站协议.
根据您的业务场景的不同,WAF提供灵活的协议类型配置.
假设您网站为www.
example.
com,WAF可配置以下模式:HTTP访问模式-302跳转响应"对外协议"和"源站协议"都配置为"HTTP",如图3-3所示.
须知此种配置表示用户只能通过http://www.
example.
com访问网站,如果用户通过https://www.
example.
com访问网站,会收到302跳转响应,浏览器跳转到http://www.
example.
com.
图3-3HTTP协议访问模式HTTPS访问强制跳转模式"对外协议"和"源站协议"都配置为"HTTPS",如图3-4所示.
当使用HTTP协议访问服务器时,会强制跳转为HTTPS协议.
须知用户直接通过https://www.
example.
com访问网站,网站返回正常内容.
用户通过http://www.
example.
com访问网站,用户会收到302跳转响应,浏览器跳转到https://www.
example.
com.
Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司33图3-4HTTPS协议访问强制跳转模式HTTP/HTTPS分别转发模式"对外协议"和"源站协议"配置的协议如图3-5所示.
须知用户通过http://www.
example.
com访问网站,网站返回正常内容,没有跳转,网站内容不加密传输.
用户通过https://www.
example.
com访问网站,网站返回正常内容,没有跳转,网站内容加密传输.
图3-5HTTP/HTTPS分别转发模式Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司34HTTPS卸载模式"对外协议"配置为"HTTPS"且"源站协议"配置为"HTTP",如图3-6所示.
须知用户通过https://www.
example.
com访问网站,但是WAF到源站依然使用HTTP协议.
图3-6使用WAF做HTTPS卸载模式3.
11新旧CNAME的区别背景为了提高域名解析的可靠性,WAF针对CNAME做了升级.
为了不影响已添加域名的使用,WAF在已添加域名的基本信息页面保留了旧的CNAME,并呈现了新的CNAME,如图3-7所示.
图3-7新CNAMEWeb应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司35新旧CNAME的区别新CNAME实现了双活,即双DNS,为异构的两个DNS解析服务.
提高了域名解析的可靠性.
建议您在做域名解析时,选择新的CNAME.
3.
12服务器的源站地址可以配置成CNAME吗可以.
如果服务器的源站地址配置为CNAME,添加域名后会多经历一层DNS解析,即先将CNAME解析为IP地址,DNS解析会增加时延,故推荐您将源站地址配置成公网IP地址.
添加域名的相关配置请参见添加防护域名.
3.
13域名接入Web应用防火墙后,能通过IP访问网站吗域名接入到Web应用防火墙后,可以直接在浏览器的地址栏输入源站IP地址进行访问.
但是这样容易暴露您的源站IP,使攻击者可以绕过Web应用防火墙直接攻击您的源站.
建议您参照源站保护最佳实践配置源站保护.
3.
14添加防护域名时如何配置非标准端口配置示例一:防护同一端口的不同源站IP的标准端口业务1.
配置时,不勾选非标准端口.
2.
"对外协议"统一选择"HTTP"或者"HTTPS".
HTTP标准端口防护配置如图3-8所示,HTTPS标准端口防护配置如图3-9所示.
图3-880端口业务图3-9443端口业务Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司36说明"对外协议"选择"HTTPS"时,需要配置证书.
3.
访问网站时,域名后可以不加端口号进行访问.
例如,在浏览器中直接输入"http://www.
example.
com"访问网站.
配置示例二:防护同一端口的不同源站IP的非标准端口业务1.
配置时,勾选非标准端口,在"端口"下拉列表中选择需要防护的非标准端口,WAF支持的非标准端口请参考Web应用防火墙支持哪些非标准端口.
2.
"对外协议"全部选择"HTTP"或者"HTTPS".
HTTP协议的非标准端口的配置如图3-10,HTTPS协议的非标准端口的配置如图3-11.
图3-10除80端口的其他HTTP协议端口的业务图3-11除443端口的其他HTTPS协议端口的业务说明"对外协议"选择"HTTPS"时,需要配置证书.
3.
访问网站时,域名后必须加上配置的非标准端口,否则会报404错误.
假如配置的非标准端口为8080,则在浏览器中直接输入的地址为"http://www.
example.
com:8080".
配置示例三:防护不同的业务端口如果防护的业务端口不一样,则需要分别添加域名进行配置,如:域名www.
example.
com需要同时防护8080端口和6443端口,配置如图3-12和图3-13所示.
Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司37图3-128080端口图3-136443端口3.
15如何设置使流量不经过WAF,直接访问源站"部署模式"为"云模式"的网站,当域名的"工作模式"切换为"Bypass"时,该域名的请求直接到达其后端服务器,不再经过WAF.
切换为Bypass工作模式后,约3~5分后开始生效.
只有出现以下情况,才能将"工作模式"切换为"Bypass":当有测试等特殊场景,需要将业务恢复到没有接入WAF的状态,可以通过Bypass功能切换.
排查网站异常,例如报502、504或其他不兼容等问题.
在Web应用防火墙前面未使用代理.
操作步骤步骤1登录管理控制台.
步骤2进入网站设置页面入口,如图3-14所示.
Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司38图3-14网站设置入口步骤3在目标网站所在行的"工作模式"列,单击"切换".
步骤4在弹出的"切换工作模式"对话框中,选择目标工作模式,单击"确定".
----结束3.
16多个端口的服务器,如果某个非标准端口不需要WAF防护,如何处理当您的服务器有多个端口时,对需要防护的端口,您可以通过域名+非标准端口方式接入WAF进行防护.
如果某个端口不需要WAF进行防护,您可以对该端口直接解析域名使用,不接入WAF.
有关域名接入WAF的详细操作,请参见添加防护域名.
3.
17域名添加到WAF后,名称是否可以修改防护域名添加到WAF后,您不能修改防护域名的名称.
如果您需要修改防护域名的名称,建议您删除原域名后再重新添加待防护的域名.
有关删除域名的详细操作,请参见删除防护域名.
有关添加域名的详细操作,请参见添加防护域名.
3.
18域名接入WAF后,为什么无法开启防护模式其他客户在WAF配置了同样的域名,导致域名所有权被另外一个租户占有了.
此时,您需要前往您的DNS服务商处,添加一条"子域名",并为该子域名配置一条"TXT记录".
具体的配置方法请参见未配置子域名和TXT记录的影响.
3.
19如何在本地测试Web应用防火墙把业务流量切到WAF之前,为了确保WAF转发正常,建议您先通过本地验证确保一切配置正常.
进行此操作前,确保添加的防护域名(例如:www.
example5.
com)的源站服务器协议、地址、端口配置正确,如果"对外协议"类型选择了"HTTPS",也必须确保上传证书的证书文件和私钥正确.
Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司39具体的操作步骤请参见本地验证.
3.
20如何使用A记录进行域名解析当客户端和Web应用防火墙之间未使用代理时,当网站接入WAF后,需要把DNS解析到WAF的CNAME,这样流量才会先经过WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截.
在配置域名接入时,您需要到该域名的DNS服务商处,配置防护域名的别名解析.
如果您之前在DNS云解析服务上添加的域名主机记录的"类型"为"A-将域名指向IPv4地址",请参照A记录接入完成域名配置.
3.
21如何在华为云的云解析服务上配置TXT记录的值如果您在WAF中添加了使用了DDoS高防等相关代理的域名,请在您的DNS服务商处配置"子域名"和"TXT记录",以避免其他用户在WAF中配置了相同的域名而对您的域名防护造成干扰.
如果您使用了华为云的云解析服务,配置TXT类型的记录值时,需要将TXT记录加上引号后粘贴在对应的文本框,例如,"37c795804124dd4a0dd88defff8941f",如图3-15所示.
图3-15添加记录集有关在华为云的云解析服务上配置子域名和TXT记录的详细操作,请参见未配置子域名和TXT记录的影响.
Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司403.
22如何查询域名提供商用户可以通过查询域名注册信息,确认域名所属的DNS服务器信息,然后再根据域名所属的DNS服务器信息进行DNS验证的相关操作.
操作步骤步骤1打开浏览器,访问"https://whois.
domaintools.
com/"网站.
步骤2输入需要查询的域名,单击"Search",进入域名注册信息详情页面.
步骤3在注册信息中,查看"NameServers",确认域名所属的DNS服务器.
当"NameServers"显示如所图3-16示时,则表示域名所属的"DNS服务器"为华为云DNS.
图3-16NameServers请根据域名所属的DNS服务器进行DNS验证,执行以下操作:域名所属的"DNS服务器"为华为云DNS:请参见如何进行DNS验证,在华为云的云解析服务上进行DNS验证.
域名所属的"DNS服务器"不是华为云DNS:请确认是否愿意把域名从其他服务商迁移到华为云DNS–是:请执行以下操作步骤:i.
请参见怎样把域名从其他服务商迁移到华为云DNS,把域名从其他服务商迁移到华为云DNS.
ii.
参见如何进行DNS验证,在华为云的云解析服务上进行DNS验证.
–否:请在相应的平台上进行DNS验证.
例如,域名托管在阿里云,则需要到阿里云的云解析DNS控制台进行相关配置.
----结束3.
23未配置子域名和TXT记录的影响在WAF中添加了使用了DDoS高防等相关代理的域名后,如果未在您的DNS服务商处配置"子域名"和"TXT记录",此时,如果有其他用户在WAF中配置了相同的域名,从而会对您的域名防护造成干扰.
如何判断目标域名在域名列表中被置灰,"工作模式"为"暂停防护",且无法切换为"开启防护"模式.
如果出现此种现象,则说明您的域名被其他用户占用了.
Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司41解决办法前往您的DNS服务商处,添加一条"子域名",并为该子域名配置一条"TXT记录",以下以目标域名"www.
example.
com"为例,描述如何在华为云的云解析服务DNS进行配置.
步骤1获取"子域名"和"TXT记录"值.
1.
登录管理控制台.
2.
进入网站设置入口,如图3-17所示.
图3-17网站设置入口3.
在目标域名"www.
example.
com"所在行的"防护域名"列中,单击目标域名,进入域名基本信息页面.
4.
在"接入状态"所在行,单击"如何接入",如图3-18所示.
图3-18查看域名接入信息说明在WAF中添加了使用了DDoS高防等相关代理的域名,域名的"是否已使用代理"状态为"是".
5.
在弹出的对话框中,单击,复制"TXT记录",如图3-19所示.
Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司42图3-19复制"TXT记录"步骤2在DNS服务商添加一条WAF的子域名和TXT记录.
1.
在目标域名"www.
example.
com"的"操作"列,单击"解析",如图3-20所示.
图3-20云解析页面入口2.
在页面的右上角,单击"添加记录集",进入"添加记录集"页面,配置模式如图3-21所示.
–"主机记录":将步骤1.
5中复制的TXT记录粘贴到文本框中.
–"类型":选择"TXT-设置文本记录".
–"别名":选择"否".
–"线路类型":全网默认.
–"TTL(秒)":一般建议设置为5分钟,TTL值越大,则DNS记录的同步和更新越慢.
–"值":将步骤1.
5中复制的TXT记录加上引号后粘贴在对应的文本框,例如,"37c795804124dd4a0dd88defff8941f".
–其他的设置保持不变.
Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司43图3-21添加记录集3.
单击"确定",完成子域名配置.
----结束3.
24如何在华为云的云解析服务上进行DNS验证DNS验证一般需要由您的域名管理人员进行相关操作.
如果您是在华为云平台管理您的域名,并且您的域名在您的华为云账号中,请参见本章节在华为云的云解析服务上进行DNS验证.
须知如果您是在其他域名管理平台(如万网、新网、DNSPod等)管理您的域名,请在相应的平台上进行DNS验证.
例如,域名托管在阿里云,则需要到阿里云的云解析DNS控制台进行相关配置.
以下操作步骤是以申请证书的域名"domain3.
com"添加一条DNS记录"2019030700000022ams1xbyevdn4jvahact9xzpicb565k9443mryw2qe99mbzpb"(记录类型为TXT)为例说明,在华为云的云解析服务上进行DNS验证的操作步骤.
前提条件已获取登录管理控制台的账号和密码.
Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司44已获取域名验证所需的配置信息("主机记录"和"记录值").
操作步骤步骤1登录管理控制台.
步骤2选择"网络>云解析服务",进入"云解析"页面.
步骤3在左侧树状导航栏,选择"域名解析>公网解析",进入"公网域名"页面.
步骤4在"公网域名"页面的域名列表中,单击需要解析的域名"domain3.
com",进入"解析记录"页面.
步骤5在"解析记录"页面的右上角,单击"添加记录集",进入"添加记录集"页面.
说明如果在"解析记录"的域名列表中,已存在域名"domain3.
com"的TXT记录值,直接在目标域名的"操作"列,单击"修改",进入"修改记录集"页面.
"主机记录":"域名验证"页面,域名服务商返回的"主机记录"的前缀.
根据域名服务商不同,返回的"主机记录"不同,以下仅为两个样例.
举例:–如果域名服务商返回的"主机记录"为"_dnsauth.
domain3.
com",则主机记录填写"_dnsauth".
–如果域名服务商返回的"主机记录"为"domain3.
com",则"主机记录"为空,不需要填写.
"类型":选择"TXT–设置文本记录".
"线路类型":全网默认.
"TTL(秒)":一般建议设置为5分钟,TTL值越大,则DNS记录的同步和更新越慢.
"值":"域名验证"页面,域名服务商返回的"记录值".
说明记录值必须用英文引号引用后粘贴在文本框中.
其他的设置保持不变.
Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司45图3-22添加记录集步骤6单击"确定",记录集添加成功.
当记录集的状态显示为"正常"时,表示记录集添加成功.
说明该DNS配置记录在证书颁发或吊销后才可以删除.
请您务必检查是否正确配置了DNS记录,DNS没有配置正确是无法签发证书的.
验证完成后,CA机构可能还需要2-3个工作日审核域名信息,请耐心等待,在此期间,证书状态为"待完成域名验证".
CA机构审核通过后,证书审核才可以进入"待完成组织验证"状态.
----结束3.
25添加域名时提示"非法的源站地址",如何处理故障现象添加防护域名时,无法添加域名,提示"非法的源站地址",如图3-23所示.
Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司46图3-23无法添加域名可能原因"源站地址"配置为内部保留的私网IP地址.
"源站地址"配置为"防护域名"相同.
处理建议将"源站地址"配置真实的源站IP地址(公网IP地址)或单独的回源域名(回源域名不能和"防护域名"相同).
3.
26添加域名时,端口需要和源站端口配置一样吗端口为实际防护网站的端口,源站端口是WAF转发客户端请求到服务器的业务端口.
两者不用配置为一样,端口配置说明如下:"对外协议"选择"HTTP"时,WAF默认防护"80"标准端口的业务;"对外协议"选择"HTTPS"时,WAF默认防护"443"标准端口的业务.
如需配置除"80"/"443"以外的端口,勾选"非标准端口",在"端口"下拉列表中选择非标准端口.
Web应用防火墙支持的非标准端口请参见Web应用防火墙支持的非标准端口.
3.
27添加域名时,为什么不能选择对外协议添加防护域名时,如果配置了非标准端口,当对外协议(HTTP/HTTPS)不支持该非标准端口时,您将不能选择对外协议.
建议您在配置非标准端口时,确认对外协议(HTTP/HTTPS)支持该非标准端口.
有关WAF支持的非标准端口的详细介绍,请参见Web应用防火墙支持哪些非标准端口.
Web应用防火墙常见问题3域名接入配置文档版本64(2020-11-18)版权所有华为技术有限公司474业务中断排查4.
1如何排查404/502/504错误域名接入WAF防护之后,若您访问网站时出现404NotFound、502BadGateway,504GatewayTimeout等错误,请参考以下方法解决.
404NotFound现象一:访问网站时,返回如图4-1所示的页面.
图4-1404页面原因:访问地址增加的端口错误.
添加防护域名到WAF时,配置了非标准端口,访问网站时未加端口或使用源站端口,而不是非标准端口,例如配置了如图4-2所示的非标准端口业务,用"https://www.
example.
com"或者"https://www.
example.
com:80"访问网站.
Web应用防火墙常见问题4业务中断排查文档版本64(2020-11-18)版权所有华为技术有限公司48图4-2非标准端口配置解决办法:在访问链接后加上非标准端口,再次访问源站,如"https://www.
example.
com:8080".
添加防护域名到WAF时,没有配置非标准端口,访问时使用了非标准端口或者"源站端口"配置的非标准端口,例如配置了如图4-3所示的防护业务,用"https://www.
example.
com:8080"访问网站.
图4-3未配置非标准端口说明没有配置非标准端口的情况下,WAF默认防护80/443端口的业务.
其他端口的业务不能正常访问,如果您需要防护其他非标准端口的业务,请重新进行域名配置.
解决办法:直接访问网站域名,如"https://www.
example.
com".
现象二:访问网站时,返回的不是图4-1所示的页面,而是其他的404页面.
原因:网站页面不存在或已删除.
解决办法:请排查网站问题.
502BadGateway现象:完成WAF配置之后网站访问正常,但过一段时间,访问页面返回502,或者大概率出现502.
说明如果您的网站不是部署在华为云的服务器上,建议您咨询服务器服务商,该服务器是否存在默认的防护拦截并要求服务商解除默认拦截.
这种情况一般有三种原因:原因一:您的网站使用了其他的安全防护软件(如360、安全狗、云锁或云盾等安全防护软件),这些软件把WAF的回源IP当成了恶意IP,拦截了WAF转发的请求,导致不能正常访问.
解决办法:参见如何放行回源IP段将WAF的回源IP网段添加到防火墙(硬件或软件)、安全防护软件、业务限速模块的白名单中.
原因二:网站的后端配置了多个服务器,其中某个源站不通.
按以下方法检测源站配置是否正确:Web应用防火墙常见问题4业务中断排查文档版本64(2020-11-18)版权所有华为技术有限公司49a.
登录管理控制台,单击页面上方的"服务列表",选择"安全>Web应用防火墙",进入Web应用防火墙控制界面.
b.
在左侧导航树中选择"网站设置",进入"网站设置"页面.
c.
在目标域名所在行的"防护网站"列中,单击目标域名,进入域名基本信息页面.
d.
在"服务器信息"栏中,单击,进入"修改服务器信息"页面,确保对外协议、源站协议、源站地址、端口等信息配置正确.
图4-4服务器配置e.
在主机上执行curl命令检测各个源站是否能正常访问,如图4-5所示.
curlhttp://xx.
xx.
xx.
xx:yy-kvvxx.
xx.
xx.
xx代表源站服务器的源站IP地址,yy代表源站服务器的源站端口,xx.
xx.
xx.
xx和yy必须是同一个服务器的源站地址和端口.
说明执行curl命令的主机需要满足以下条件:网络通信正常.
已安装curl命令.
Windows操作系统的主机需要手动安装curl,其他操作系统自带curl.
您也可以在浏览器中输入"http://源站地址:源站端口"检测源站是否能正常访问.
图4-5检测源站如果显示"connectionrefused"表示源站不通,不能正常访问网站.
按以下方法处理:检测服务器是否运行正常,如果运行不正常,请尝试重启服务器.
参见如何放行回源IP段将WAF的回源IP网段添加到防火墙(硬件或软件)、安全防护软件、业务限速模块的白名单中.
原因三:源站性能问题.
解决办法:排查网站问题并联系您的网站管理员进行解决.
Web应用防火墙常见问题4业务中断排查文档版本64(2020-11-18)版权所有华为技术有限公司50504GatewayTimeout现象:完成WAF域名接入配置之后,业务正常,但当业务量增加时,发生504错误的概率增加,直接访问源站IP也有一定概率出现504的返回码.
可能有以下五个原因:原因一:后端服务器性能问题(连接数,CPU内存占用过大等).
解决办法:a.
优化服务器的相关配置,包括TCP网络参数的优化配置,ulimit相关参数设置等.
b.
为了支撑业务量的大量增长,可按照方法一或者方法二进行处理.
方法一:在ELB上增加后端服务器组,具体的方法参见添加或移除后端服务器(增强型).
方法二:创建新的ELB,具体的方法参见创建负载均衡器,并参照以下方法将ELB的EIP作为服务器的IP地址,接入WAF.
i.
登录管理控制台,单击页面上方的"服务列表",选择"安全>Web应用防火墙",进入Web应用防火墙控制界面.
ii.
在左侧导航树中选择"网站设置",进入"网站设置"页面.
iii.
在目标域名所在行的"防护网站"列中,单击目标域名,进入域名基本信息页面.
iv.
在"服务器信息"栏中,单击,进入"修改服务器信息"页面,单击"添加",新增后端服务器.
图4-6服务器配置c.
如果客户端协议即"对外协议"是HTTPS协议,可考虑在WAF设置HTTPS转发,回源走HTTP协议即"源站协议"设置为HTTP,降低后端服务器的计算压力.
如何修改服务器信息,具体请参见修改服务器信息.
图4-7服务器的配置原因二:安全组未将WAF回源IP设置为白名单或未放开端口.
解决办法:参照源站保护最佳实践将WAF的回源IP在网站所在的ECS的安全组里设置为白名单.
原因三:源站有防火墙设备,且该防火墙设备拦截了WAF的回源IP.
解决办法:参照源站保护最佳实践将WAF的回源IP在网站所在的ECS的安全组里设置为白名单或者卸载除WAF以外其他防火墙软件.
Web应用防火墙常见问题4业务中断排查文档版本64(2020-11-18)版权所有华为技术有限公司51原因四:连接超时、read超时.
解决办法:联系技术支持进行解决.
原因五:源站超带宽.
解决办法:扩展源站服务器带宽.
4.
2如何对误报进行处理当某种业务频繁误报时,可以在事件日志中,进行误报处理.
通过设置URL和规则ID的忽略,以后该URL再次发生攻击时,设置的规则不再告警或者阻断.
参照处理误报事件进行误报处理.
4.
3连接超时时长是多少,是否可以手动设置该时长浏览器到WAF引擎的连接超时时长是120秒,WAF到客户源站的连接超时时长为60秒,该值不可以手动设置.
4.
4如何放行回源IP段网站成功接入WAF后,所有网站访问请求将先流转到WAF进行监控,经WAF实例过滤后再返回到源站服务器.
流量经WAF实例返回源站的过程称为回源.
什么是回源IP回源IP是WAF用来代理客户端请求服务器时用的源IP,在服务器看来,接入WAF后所有源IP都会变成WAF的回源IP,而真实的客户端地址会被加在HTTP头部的XFF字段中.
图4-8回源IPWeb应用防火墙常见问题4业务中断排查文档版本64(2020-11-18)版权所有华为技术有限公司52为什么需要放行回源IP段WAF实例的IP数量有限,且源站服务器收到的所有请求都来自这些IP.
在源站服务器上的安全软件很容易认为这些IP是恶意IP,有可能触发屏蔽WAF回源IP的操作.
一旦WAF的回源IP被屏蔽,WAF的请求将无法得到源站的正常响应,因此,在接入WAF防护后,您需要在源站服务器的安全软件上设置放行所有WAF回源IP,不然可能会出现网站打不开或打开极其缓慢等情况.
说明网站接入WAF后,建议您卸载源站服务器上的其他安全软件,或者配置只允许来自WAF的访问请求访问您的源站,这样既可保证访问不受影响,又能防止源站IP暴露后被黑客直接攻击.
操作步骤步骤1登录管理控制台.
步骤2单击管理控制台左上角的,选择区域或项目.
步骤3单击页面左上方的,选择"安全>Web应用防火墙WAF".
步骤4在左侧导航树中,选择"网站设置",进入"网站设置"页面.
步骤5在网站列表右侧,单击"Web应用防火墙回源IP网段",查看Web应用防火墙所有回源IP段.
说明Web应用防火墙的回源IP网段会定期更新,及时将更新后的回源IP网段添加至相应的安全组规则中,避免出现误拦截.
图4-9回源IP网段步骤6在"Web应用防火墙的回源IP网段"对话框,单击"复制IP段",复制所有回源IP.
Web应用防火墙常见问题4业务中断排查文档版本64(2020-11-18)版权所有华为技术有限公司53图4-10Web应用防火墙的回源IP网段步骤7打开源站服务器上的安全软件,将复制的IP段添加到白名单.
----结束4.
5如何解决重定向次数过多在WAF中完成了域名接入后,请求访问目标域名时,如果提示"重定向次数过多",一般是由于您在服务器后端配置了HTTP强制跳转HTTPS,在WAF上只配置了一条HTTPS(对外协议)到HTTP(源站协议)的转发,强制WAF将用户的请求进行跳转,所以造成死循环.
可在WAF中修改服务器信息,配置两条HTTP(对外协议)到HTTP(源站协议)和HTTPS(对外协议)到HTTPS(源站协议)的服务器信息.
配置完成后,服务器信息如图4-11所示.
Web应用防火墙常见问题4业务中断排查文档版本64(2020-11-18)版权所有华为技术有限公司54图4-11配置示例4.
6如何解决HTTPS请求在部分手机访问异常打开手机浏览器,访问"https://www.
defix.
cn",如果出现如图4-12所示的页面,则表示HTTPS请求在该手机上访问异常,该问题是由于上传的证书链不完整,可参照如何解决证书链不完整解决.
图4-12访问异常4.
7如何解决证书链不完整如果证书机构提供的证书在用户平台内置信任库中查询不到,且证书链中没有颁发机构,则证明该证书是不完整的证书.
使用不完整的证书,当用户访问防护域名对应的浏览器时,因不受信任而不能正常访问防护域名对应的浏览器.
按以下两种方法可解决此问题:手动构造完整证书链,并上传证书.
(WAF自动补全证书链功能正在开发中,敬请期待!
)Web应用防火墙常见问题4业务中断排查文档版本64(2020-11-18)版权所有华为技术有限公司55重新购买证书并上传.
Chrome最新版本一般是支持自动验证信任链,以华为的证书为例,手工构造完整的证书链步骤如下:步骤1查看证书.
单击浏览器前的锁,可查看证书状况,如图4-13所示.
图4-13查看证书步骤2查看证书链.
单击"证书",并选中"证书路径"页签,可单击证书名称查看证书状态,如图4-14所示.
Web应用防火墙常见问题4业务中断排查文档版本64(2020-11-18)版权所有华为技术有限公司56图4-14查看证书链步骤3逐一将证书另存到本地.
1.
选中证书名称,单击"详细信息"页签,如图4-15所示.
Web应用防火墙常见问题4业务中断排查文档版本64(2020-11-18)版权所有华为技术有限公司57图4-15详细信息2.
单击"复制到文件",按照界面提示,单击"下一步".
3.
选择"Base64编码",单击"下一步",如图4-16所示.
Web应用防火墙常见问题4业务中断排查文档版本64(2020-11-18)版权所有华为技术有限公司58图4-16证书导出向导步骤4证书重构.
证书全部导出到本地后,用记事本打开证书文件,按图4-17重组证书顺序,完成证书重构.
图4-17证书重构Web应用防火墙常见问题4业务中断排查文档版本64(2020-11-18)版权所有华为技术有限公司59步骤5重新上传证书.
----结束4.
8如何处理418错误码问题如果请求本身含有恶意负载被WAF拦截,此时访问WAF防护的域名时会出现418的错误.
您可以通过查看WAF的防护日志,查看拦截原因.
有关查看防护日志的详细操作,请参见查看防护日志.
如果您判断该请求为业务正常请求调用,可以通过误报处理操作对该路径的对应规则进行放行处理,避免同样问题再次发生.
有关处理误报事件的详细操作,请参见处理误报事件.
如果确认有问题,说明您的网站受到了攻击,并被WAF拦截.
4.
9如何处理523错误码问题如果同一个请求经过了2次WAF,为了避免出现死循环现象,WAF拦截了该请求,此时访问WAF防护的域名时会出现523的错误.
您可以通过以下方法解决523错误码问题:将系统内部调用调整为内部DNS解析,不经过公网转发.
配置调用服务器的Hosts.
4.
10如何处理域名接入WAF后,登录首页不停地刷新如果您的后端开启了针对客户端IP的会话保持,同一个remote_ip将分配到同一台服务器上.
域名接入WAF后,remote_ip将会变成WAF的出口IP,此时,如果您登录首页将会出现多次跳转.
为了避免出现该问题,请您修改客户源站的nginx,将针对remote_ip的会话保持配置为针对x-forwarded-for变量.
4.
11如何解决HTTP配置转发策略后程序访问页面卡顿如果HTTP配置转发策略后程序访问页面卡顿,请添加HTTP到HTTP和HTTPS到HTTPS这2条转发协议规则.
有关配置转发规则的详细操作,请参见如何解决重定向次数过多Web应用防火墙常见问题4业务中断排查文档版本64(2020-11-18)版权所有华为技术有限公司605IPv6配置5.
1哪些版本支持IPv6的防护WAF的企业版和旗舰版支持IPv6的防护.
Web应用防火墙支持IPv6/IPv4双栈,针对同一域名可以同时提供IPv6和IPv4的流量防护.
针对仍然使用IPv4协议栈的Web业务,Web应用防火墙支持NAT64机制(NAT64是一种通过网络地址转换(NAT)形式促成IPv6与IPv4主机间通信的IPv6转换机制),即WAF可以将IPv4源站转化成IPv6网站,将外部IPv6访问流量转化成对内的IPv4流量.
5.
2哪些Region支持IPv6的防护当前仅"华北"区域支持IPv6防护.
Web应用防火墙支持IPv6/IPv4双栈,针对同一域名可以同时提供IPv6和IPv4的流量防护.
针对仍然使用IPv4协议栈的Web业务,Web应用防火墙支持NAT64机制(NAT64是一种通过网络地址转换(NAT)形式促成IPv6与IPv4主机间通信的IPv6转换机制),即WAF可以将IPv4源站转化成IPv6网站,将外部IPv6访问流量转化成对内的IPv4流量.
5.
3如何测试在WAF中配置的源站IP是IPv6地址执行此操作前,请确认已在WAF中添加了域名并完成了域名接入.
须知当前仅"华北"区域支持IPv6防护,且仅企业版和旗舰版支持IPv6.
假如已在WAF中添加域名www.
example.
com.
通过以下方法可以测试配置的源站IP是否是IPv6地址:Web应用防火墙常见问题5IPv6配置文档版本64(2020-11-18)版权所有华为技术有限公司61步骤1在Windows中打开cmd命令行工具.
步骤2执行digAAAAwww.
example.
com命令.
若返回的结果里有IPv6格式的IP地址,如图5-1所示,则证明配置的源站IP是IPv6地址.
图5-1测试结果----结束5.
4业务使用了IPv6,WAF中的源站地址如何配置如果域名已接入了WAF(源站地址配置为IPv4地址)进行防护,当业务开启了IPv6时,WAF中配置的源站地址可以保持原IPv4地址,也可以修改为IPv6地址.
WAF支持IPv6/IPv4双栈模式和NAT64机制,详细说明如下:Web应用防火墙支持IPv6/IPv4双栈,针对同一域名可以同时提供IPv6和IPv4的流量防护.
针对仍然使用IPv4协议栈的Web业务,Web应用防火墙支持NAT64机制(NAT64是一种通过网络地址转换(NAT)形式促成IPv6与IPv4主机间通信的IPv6转换机制),即WAF可以将IPv4源站转化成IPv6网站,将外部IPv6访问流量转化成对内的IPv4流量.
有关修改源站地址的详细操作,请参见修改服务器信息.
Web应用防火墙常见问题5IPv6配置文档版本64(2020-11-18)版权所有华为技术有限公司626规则配置类6.
1哪些情况会造成WAF配置的防护规则不生效域名成功接入WAF后,正常情况下,域名的所有访问请求流量都会经过WAF检测并转发到服务器.
但是,如果网站在WAF前使用了CDN,对于静态缓存资源的请求,由于CDN直接返回给客户端,请求没有到WAF,所以这些请求的安全策略不会生效.
6.
2如何将Web基础防护的仅记录模式切换为拦截模式本节介绍如何将Web基础防护的仅记录模式切换为拦截模式.
执行以下操作完成Web基础防护的防护模式切换:步骤1登录管理控制台.
步骤2进入防护策略配置入口,如图6-1所示.
图6-1防护策略配置入口步骤3在"Web基础防护"配置框中,选择"拦截"模式,如图6-2所示,各参数说明如表6-1所示.
Web应用防火墙常见问题6规则配置类文档版本64(2020-11-18)版权所有华为技术有限公司63图6-2Web基础防护配置框表6-1防护动作参数说明参数说明状态Web应用防护攻击的状态.
:开启状态.
:关闭状态.
模式拦截:发现攻击行为后立即阻断并记录.
仅记录:发现攻击行为后只记录不阻断攻击.
须知检测版仅支持"仅记录"模式.
须知仅记录模式和拦截模式只适用于Web基础防护,CC攻击防护和精准访问防护都有各自的防护动作.
----结束6.
3在什么情况下使用Cookie区分用户在配置CC防护规则时,当IP无法精确区分用户,例如多个用户共享一个出口IP时,用户可以使用Cookie区分用户.
用户使用Cookie区分用户时,如果Cookie中带有用户相关的"session"等"key"值,直接设置该"key"值作为区分用户的依据.
须知如果CC防护策略中配置的URL请求是被其他服务调用的API接口,可能不支持Cookie方式.
6.
4如何配置CC防护规则当业务接口被HTTPFlood攻击时,可以通过Web应用防火墙Console界面设置CC防护规则,从而缓解业务压力.
用户可根据业务类型,配置CC防护规则,可配置以下内容:Web应用防火墙常见问题6规则配置类文档版本64(2020-11-18)版权所有华为技术有限公司64每个Web访问者在规定时间内允许访问的次数.
根据IP、Cookie或者Referer字段区分Web访问者.
当访问超过限制时,对其访问进行阻断或者发送验证码验证.
具体的配置规则请参见配置CC攻击防护规则.
6.
5CC规则里"限速频率"和"放行频率"的区别配置CC防护规则时,如果选择了"高级"工作模式,且"防护动作"配置为"动态阻断",则除了需要配置"限速频率"外,还需要配置"放行频率".
区别"放行频率"和"限速频率"的限速周期一致.
"放行频率"小于等于"限速频率",且"放行频率"可为0.
阻断原理如果在一个限速周期内,访问的请求频率超过"限速频率"触发了拦截,那么,在下一个限速周期内,拦截阈值将动态调整为"放行频率".
且"放行频率"为0时,表示上个周期发生拦截后,下一个周期所有满足规则条件的请求都会被拦截.
6.
6如何处理Appscan等扫描器检测结果为Cookie缺失Secure/HttpOnlyCookie是后端webserver插入的,可以通过框架配置或set-cookie实现,其中,Cookie中配置Secure,HttpOnly有助于防范XSS等攻击获取Cookie,对于Cookie劫持有一定的防御作用.
Appscan扫描器在扫描网站后发现客户站点没有向扫描请求Cookie中插入HttpOnlySecure等安全配置字段将记录为安全威胁.
当前WAF暂时没有提供此类合规功能,需要网站管理员在后端做相关安全配置.
6.
7防护规则的路径是否区分大小写WAF所有需要配置路径的防护规则,配置的防护路径都区分大小写.
6.
8是否可以导出/备份WAF的配置当前WAF的配置,不支持导出和备份功能.
6.
9如何对异常IP进行封堵对于异常的IP,您可以将该IP配置为黑名单.
该IP配置为黑名单后,来自该IP的访问,WAF将直接拦截.
请参照以下操作步骤配置黑名单.
Web应用防火墙常见问题6规则配置类文档版本64(2020-11-18)版权所有华为技术有限公司65步骤1登录管理控制台.
步骤2进入防护策略配置入口,如图6-3所示.
图6-3防护策略配置入口步骤3在"黑白名单设置"配置框中,用户可根据自己的需要更改"状态",单击"自定义黑白名单设置规则",进入黑白名单设置规则页面,如图6-4所示.
图6-4黑白名单配置框步骤4在"黑白名单"设置规则页面左上角,单击"添加规则".
步骤5在弹出的对话框中,添加黑白名单规则,如图6-5所示.
说明将IP配置为仅记录后,来自该IP的访问,WAF将根据防护规则进行检测并记录该IP的防护事件数据.
其他的IP将根据配置的WAF防护规则进行检测.
Web应用防火墙常见问题6规则配置类文档版本64(2020-11-18)版权所有华为技术有限公司66图6-5添加黑白名单规则步骤6输入完成后,单击"确认添加",添加的黑白名单展示在黑白名单规则列表中.
图6-6黑白名单规则列表规则添加成功后,默认的"规则状态"为"已开启",若您暂时不想使该规则生效,可在目标规则所在行的"操作"列,单击"关闭".
若需要修改添加的黑白名单规则时,可单击待修改的黑白名单IP规则所在行的"修改",修改黑白名单规则.
若需要删除添加的黑白名单规则时,可单击待删除的黑白名单IP规则所在行的"删除",删除黑白名单规则.
----结束6.
10如果只允许指定地区的IP可以访问,如何设置防护策略如果您只允许某一地区的IP访问可以防护域名,例如,只允许来源"北京"地区的IP可以访问防护域名,请参照以下步骤处理.
步骤1添加一条地理位置访问控制规则,添加"北京"地区的"放行"防护动作,如图6-7所示.
Web应用防火墙常见问题6规则配置类文档版本64(2020-11-18)版权所有华为技术有限公司67图6-7添加"放行"防护动作有关配置地理位置访问控制规则的详细介绍,请参见配置地理位置访问控制规则.
步骤2配置一条精准访问防护规则,拦截所有的请求,如图6-8所示.
图6-8阻断所有的请求有关配置精准访问防护规则的详细介绍,请参见配置精准访问防护规则.
----结束6.
11精准访问防护规则可以设置在指定的时间段生效吗WAF不支持精准防护访问规则在指定的时间段生效.
您可以通过设置精准访问防护规则,对常见的HTTP字段(如IP、路径、Referer、UserAgent、Params等)进行条件组合,筛选访问请求,并对命中条件的请求设置放行或阻断操作.
有关配置精准访问防护规则的详细操作,请参见配置精准访问防护规则.
6.
12Web基础防护支持设置哪几种防护等级Web基础防护设置了三种防护等级:"宽松"、"中等"、"严格",默认为"中等".
防护等级相关说明如表6-2所示.
Web应用防火墙常见问题6规则配置类文档版本64(2020-11-18)版权所有华为技术有限公司68表6-2防护等级说明防护等级说明宽松防护粒度较粗,只拦截攻击特征比较明显的请求.
当误报情况较多的场景下,建议选择"宽松"模式.
中等默认为"中等"防护模式,满足大多数场景下的Web防护需求.
严格防护粒度最精细,可以拦截具有复杂的绕过特征的攻击请求.
当需要更严格地防护SQL注入、跨站脚本、命令注入等攻击行为时,建议使用"严格"模式.
有关配置Web基础防护规则的详细操作,请参见配置Web基础防护规则.
6.
13开启网站反爬虫后,为什么有些请求被WAF拦截但查不到拦截记录当您开启网站反爬虫后,WAF将对该域名的第一个访问请求返回一个JavaScript代码,然后根据浏览器解析执行结果返回的数据来判断是否为合法的浏览器或爬虫工具.
网站反爬虫正常的检测流程如下:1.
客户端访问网站,实际请求首先发送到WAF上.
2.
WAF返回JavaScript代码到客户端.
3.
客户端解析JavaScript代码,并将执行结果返回给WAF.
4.
WAF根据客户端返回的结果判断客户端是否为合法的浏览器.
–如果合法,则WAF将请求发送给源站服务器.
–如果非法,则WAF产生告警日志.
须知开启网站反爬虫,要求客户端浏览器具有JavaScript的解析能力,并开启了Cookie.
如果客户端不满足以上要求,则只能完成1和2,此时:对于客户端,请求没有成功获取到页面.
对于WAF,客户端并没有发送解析JavaScript代码的执行结果,因此没有拦截日志记录.
请您排查业务侧是否存在这种场景.
如果您的网站有非浏览器访问的场景,建议您不开启网站反爬虫功能.
Web应用防火墙常见问题6规则配置类文档版本64(2020-11-18)版权所有华为技术有限公司696.
14配置"人机验证"CC防护规则后,验证码不能刷新,验证一直不通过,如何处理故障现象在WAF上开启"CC攻击防护",添加"防护动作"为"人机验证"的规则后,访问网站,验证码不能刷新,验证一直不通过,如图6-9所示.
图6-9验证码一直验证不通过配置"人机验证"后,在配置的指定时间内当用户访问网站超过配置的次数限制后,将弹出验证码进行人机验证,完成验证后,请求将不受访问限制.
有关配置CC攻击防护规则的详细操作,请参见配置CC攻击防护规则.
可能原因域名同时接入WAF和CDN(ContentDeliveryNetwork,内容分发网络),CC攻击防护规则的"路径"中包含静态页面,静态页面被CDN缓存,导致验证码不能刷新,验证不能通过.
处理建议在CDN上,将缓存的静态URL设置为放行,操作步骤如下.
须知配置完成后,请等待3~5分钟,待配置的缓存策略生效后,再访问网站使用验证码功能.
步骤1登录管理控制台.
步骤2单击管理控制台左上角的,选择区域或项目.
Web应用防火墙常见问题6规则配置类文档版本64(2020-11-18)版权所有华为技术有限公司70步骤3单击页面左上方的,选择"存储>CDN",进入CDN控制台.
步骤4在左侧导航树中,选择"域名管理",进入"域名管理"页面.
步骤5在"域名"列,单击目标域名的名称,进入域名配置页面.
步骤6选择"缓存配置"页签,单击"编辑",系统弹出"配置缓存策略"对话框.
步骤7单击"添加",添加两条缓存策略规则,如图6-10所示,相关参数说明如表6-3所示.
图6-10"配置缓存策略"对话框表6-3配置静态URL缓存策略参数说明参数配置说明类型选择"全路径".
内容依次添加的两条规则的内容为:"/verifydwhzqcp-captcha""/getdwhzqcp-captcha.
jpg"优先级将两条规则设置为最高的优先级.
缓存间隔时间设置为"0""秒",不缓存静态URL.
步骤8单击"确定",完成缓存规则配置,如图6-11所示.
Web应用防火墙常见问题6规则配置类文档版本64(2020-11-18)版权所有华为技术有限公司71图6-11完成缓存规则配置配置完成后,请等待3~5分钟,待配置的缓存策略生效后,再访问网站使用验证码功能.
----结束6.
15开启Web基础防护中的"其他爬虫"会影响网页的浏览速度吗在配置Web基础防护时,如果开启了"其他爬虫",如图6-12所示,WAF将对各类用途的爬虫程序(例如,站点监控、访问代理、网页分析)进行检测.
开启该防护,不影响用户正常访问网页,也不影响用户访问网页的浏览速度.
图6-12开启"其他爬虫"有关配置Web基础防护的详细操作,请参见配置Web基础防护规则.
Web应用防火墙常见问题6规则配置类文档版本64(2020-11-18)版权所有华为技术有限公司727防护日志类7.
1Web应用防火墙是否有日志服务您也可以将WAF的防护日志记录到单独收费的云日志服务(LogTankService,简称LTS),LTS默认存储日志的时间为7天,存储时间可以在1~30天之间进行设置,超出存储时间的日志数据将会被自动删除,对于需要长期存储的日志数据(日志持久化),LTS提供转储功能,可以将日志转储至对象存储服务(OBS)或者数据接入服务(DIS)中长期保存.
有关WAF日志配置到LTS的详细操作,请参见防护日志记录到LTS.
7.
2Web应用防火墙的日志是否可以通过API的方式获取目前无法使用API的方式获取WAF的防护日志.
可以通过Web应用防火墙服务的控制台下载防护事件,具体您可参考下载防护事件数据章节.
7.
3如何获取拦截的数据通过Web应用防火墙服务可下载5天内的所有防护域名的仅记录和拦截的攻击事件数据,当天的防护事件数据,在次日凌晨生成防护事件数据的CSV文件.
可参照下载防护事件数据章节获取拦截数据.
7.
4Web应用防火墙的日志可以转储到OBS吗您可以先将日志配置到LTS,然后在LTS上将WAF转储到OBS.
有关WAF日志配置到LTS的详细操作,请参见防护日志记录到LTS.
有关TLS日志转储至OBS的详细操作,请参见LTS日志转储至OBS.
7.
5Web应用防火墙支持日志转发到SyslogServer吗WAF不支持日志转发到SyslogServer.
Web应用防火墙常见问题7防护日志类文档版本64(2020-11-18)版权所有华为技术有限公司73您可以下载WAF防护日志,详细操作请参见下载防护事件数据.
7.
6Web应用防火墙的防护日志可以存储多久在WAF管理控制台,您可以免费查看最近30天的防护日志、下载5天内的所有防护域名的防护日志数据.
您也可以将WAF的防护日志记录到单独收费的云日志服务(LogTankService,简称LTS),LTS默认存储日志的时间为7天,存储时间可以在1~30天之间进行设置,超出存储时间的日志数据将会被自动删除,对于需要长期存储的日志数据(日志持久化),LTS提供转储功能,可以将日志转储至对象存储服务(OBS)或者数据接入服务(DIS)中长期保存.
有关WAF日志配置到LTS的详细操作,请参见防护日志记录到LTS.
有关TLS日志转储至OBS的详细操作,请参见LTS日志转储至OBS.
Web应用防火墙常见问题7防护日志类文档版本64(2020-11-18)版权所有华为技术有限公司748其他类8.
1Web应用防火墙如何收费Web应用防火墙云模式支持包年/包月(预付费)和按需计费(后付费)两种计费方式.
其中,包年/包月支持检测版、专业版、企业版和旗舰版.
Web应用防火墙独享模式支持按需计费.
同时,云模式包年/包月还支持域名扩展包、带宽扩展包两种附属产品.
您可以根据业务需求选择计费方式和相应的服务版本和搭配扩展包,服务将根据您选择的计费方式和计费项目进行收费.
有关WAF详细的计费说明,请参见计费说明.
详细的服务资费费率标准请参见产品价格详情.
8.
2云模式的包年/包月和按需计费模式是否支持互相切换Web应用防火墙云模式支持包年/包月和按需计费模式互相切换.
按需计费转换为包年/包月须知通过按需计费方式购买WAF云模式,当关闭按需计费后,您可以切换为包年/包月计费方式.
关闭按需计费后,WAF将停止计费,域名的"工作模式"变更为"暂停防护",流量正常转发,但WAF不检测攻击.
以包年/包月方式重新购买WAF时,项目请与按需计费保持一致,以确保切换前的配置数据保存.
按需计费是后付费模式,从开通并使用WAF开始计费到关闭按需计费时结束计费,按实际添加的域名个数、自定义规则个数以及使用的请求数计费.
如果您需要长期使用WAF,可以将按需购买的WAF转为包周期计费模式,节省开支.
操作步骤如下:Web应用防火墙常见问题8其他类文档版本64(2020-11-18)版权所有华为技术有限公司75步骤1登录管理控制台.
步骤2单击管理控制台左上角的,选择区域或项目.
步骤3单击页面左上方的,选择"安全>Web应用防火墙WAF".
步骤4关闭按需计费.
1.
在页面右上角,单击"关闭云模式按需计费".
2.
在弹出的对话框中,勾选"已将上述域名解析切换到源站,或该业务域名已下线",单击"确定",关闭按需计费.
关闭按需计费后,"网站设置"页面中所有域名的"工作模式"变更为"暂停防护".
步骤5以包年/包月方式购买WAF.
详细操作请参见包年/包月方式购买WAF.
步骤6开启WAF防护.
1.
在左侧导航树中,选择"网站设置".
2.
在目标网站所在行的"工作模式"列,单击"切换".
3.
在弹出的对话框中,选择"开启防护",单击"确定".
域名的"工作模式"变更为"开启防护",WAF将开启域名防护功能.
----结束包年/包月转换为按需计费须知只有通过实名认证的客户,才可以执行包年/包月转按需计费操作.
通过包年/包月方式购买WAF云模式,当WAF到期或退订WAF后,您可以转换为按需计费方式.
以按需计费方式重新开通WAF时,区域或项目请与包年/包月保持一致,以确保切换前的配置数据保存.
包年/包月是预付费模式,按订单的购买周期计费,适用于可预估资源使用周期的场景.
如果您需要更灵活的计费方式,按照实际使用业务计费,您可以将WAF的计费方式转为按需付费.
转换前请确保包年/包月已到期或已退订包年/包月云模式.
操作步骤如下:步骤1登录管理控制台.
步骤2单击管理控制台左上角的,选择区域或项目.
步骤3单击页面左上方的,选择"安全>Web应用防火墙WAF".
步骤4退订包年/包月云模式或确认包年/包月已到期.
Web应用防火墙常见问题8其他类文档版本64(2020-11-18)版权所有华为技术有限公司76您可以在"安全总览"页面右上角,查看当前WAF云模式的版本和WAF是否到期.
有关退订WAF的详细操作,请参见如何退订Web应用防火墙.
步骤5以按需计费方式开通WAF.
详细操作请参见按需计费方式购买WAF.
步骤6开启WAF防护.
1.
在左侧导航树中,选择"网站设置".
2.
在目标网站所在行的"工作模式"列,单击"切换".
3.
在弹出的对话框中,选择"开启防护",单击"确定".
域名的"工作模式"变更为"开启防护",WAF将开启域名防护功能.
----结束8.
3如何为Web应用防火墙续费该任务指导用户如何在购买的包年/包月云模式即将过期时进行续费.
续费后,用户可以继续使用WAF云模式.
服务到期前,系统会以短信或邮件的形式提醒您服务即将到期,并提醒您续费.
服务到期后,如果没有按时续费,公有云平台会提供一定的保留期.
保留期的时长由客户等级而定,具体请参见保留期.
冻结期内,WAF只转发流量,但用户配置的各种防护策略将不再生效.
冻结期满,进入资源清理期,域名的所有配置将会被全部删除.
清除资源的时候,默认会把域名指回源站,但由于用户配置的协议和端口可能存在不一致的情况,所以不能保证该域名的业务能正常运行.
为了防止造成不必要的损失,请您及时续费.
说明如果在购买Web应用防火墙时,您已勾选并同意"自动续费",则在服务到期前,系统会自动按照购买周期生成续费订单并进行续费,无需手动续费.
如果您使用的是子账号,需要主账号对子账号赋予BSSAdministrator操作权限后,才可以使用子账号执行续费操作.
前提条件已获取管理控制台的登录账号与密码.
已购买WAF云模式.
操作步骤步骤1登录管理控制台.
步骤2单击管理控制台左上角的,选择区域或项目.
步骤3单击页面左上方的,选择"安全>Web应用防火墙WAF",进入"安全总览"页面.
Web应用防火墙常见问题8其他类文档版本64(2020-11-18)版权所有华为技术有限公司77步骤4单击界面右上角的"续费",如图8-1所示.
图8-1续费步骤5在"续费管理"界面,根据页面提示完成续费.
详细续费操作请参见续费管理.
----结束8.
4如何退订Web应用防火墙该任务指导用户退订通过包年/包月方式购买的WAF云模式.
说明如果您使用的是子账号,需要主账号对子账号赋予BSSAdministrator操作权限后,才可以使用子账号执行退订操作.
前提条件已获取管理控制台的登录账号与密码.
购买Web应用防火墙服务的时间不超过5天.
注意事项退订WAF重新购买WAF,如果重购的WAF与原WAF不在同一区域,原WAF配置数据将不能保存.
当您重新购买WAF后,您需要将防护域名重新接入WAF,并根据防护需求为域名配置相应的防护规则,详细说明请参见退订后重购WAF,原配置数据可以保存吗.
操作步骤步骤1登录管理控制台.
步骤2在界面右上方,单击"费用中心",进入"费用中心"界面.
步骤3在左侧导航树上选择"退订与变更>退订管理".
步骤4根据页面提示完成退订.
详细退订操作请参见退订管理.
----结束8.
5如何降低Web应用防火墙的版本和规格WAF云模式提供了检测版、专业版、企业版和旗舰版四种服务版本.
如果您需要降低当前的WAF规格,您可以先退订当前的WAF,再重新购买较低版本的WAF.
Web应用防火墙常见问题8其他类文档版本64(2020-11-18)版权所有华为技术有限公司78说明域名扩展包和带宽扩展包与WAF版本绑定,不能单独续费或退订.
有关WAF各版本规格的详细说明,请参见服务版本差异.
有关退订的详细操作,请参见如何退订Web应用防火墙.
8.
6Web应用防火墙可以购买基础版吗WAF现在支持云模式(检测版、专业版、企业版、旗舰版)和独享模式(独享版)五种服务版本.
如果您之前购买了基础版,请升级到云模式现在的任一版本或购买独享版.
有关升级服务版本的详细操作,请参见升级服务版本.
8.
7如何获取Web应用防火墙销售许可证华为云Web应用防火墙提供了销售许可证.
您可以联系客户经理或提交工单申请获取销售许可证.
8.
8已使用华为云APIG还需要购买WAF吗华为云API网关(APIGateway,APIG)是对API提供者和API调用者提供API托管的服务,APIG可以快速将企业服务能力包装成标准API服务,帮助企业轻松构建、管理和部署不同规模的API.
APIG不会针对域名进行防护,在满足API安全使用的前提下,APIG可以对绑定的域名提供IP黑白名单控制、防重放攻击、认证鉴权防护功能.
华为云Web应用防火墙(WebApplicationFirewall,WAF)是对域名提供Web安全防护的服务.
域名接入WAF后,WAF可以对网站业务流量进行多维度检测和防护,识别并阻断SQL注入、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,全方位保护Web服务安全稳定.
如果您需要为APIG中绑定的域名提供全方位的防护功能,您可以购买WAF,并将域名接入WAF,以轻松应对各种Web安全风险.
有关WAF功能的详细介绍,请参见功能特性.
有关购买WAF的详细操作,请参见购买Web应用防火墙.
有关使用WAF的详细操作,请参见入门教程.
8.
9退订后重购WAF,原配置数据可以保存吗通过包年/包月方式购买WAF云模式,当退订WAF后,您可以选择包年/包月或按需计费方式开通WAF云模式.
如果选择按需计费方式开通云模式,原WAF配置数据将保存.
如果选择包年/包月方式开通云模式,当重购的WAF与原WAF不在同一区域,原WAF配置数据将不能保存.
通过包年/包月方式重购的WAF与原WAF在同一区域原WAF上的配置数据可以保存24小时.
Web应用防火墙常见问题8其他类文档版本64(2020-11-18)版权所有华为技术有限公司79退订WAF后,WAF将暂停防护域名.
当您重新购买WAF后,您只需要为域名开启防护,即将域名的"工作模式"切换为"开启防护".
开启防护后,WAF会根据域名在原WAF上配置的防护对域名进行防护.
有关退订WAF的详细操作,请参见如何退订Web应用防火墙.
有关购买WAF的详细操作,请参见购买Web应用防火墙.
有关开启WAF防护的详细操作,请参见切换工作模式.
须知退订WAF后请您在24小时内重新购买WAF,以免原WAF上的配置数据失效.
通过包年/包月方式重购的WAF与原WAF不在同一区域原WAF上的配置数据不能保存.
当您重新购买WAF后,您需要将防护域名重新接入WAF,并根据防护需求为域名配置相应的防护规则.
有关退订WAF的详细操作,请参见如何退订Web应用防火墙.
有关使用WAF的详细操作,请参见入门教程.
8.
10删除防护域名时应该注意哪些事项如果要删除的防护域名没有接入Web应用防火墙,可按如下步骤直接删除防护域名;如果要删除的防护域名已经接入Web应用防火墙,请到DNS服务商处,将该域名重新解析,指向源站服务器地址,再按如下步骤删除防护域名:步骤1登录管理控制台.
步骤2进入网站设置页面入口,如图8-2所示.
图8-2网站设置入口步骤3在目标防护域名所在行的"操作"列中,单击"删除",进入删除防护域名对话框界面.
步骤4在删除防护网站对话框中,确认删除防护网站.
Web应用防火墙常见问题8其他类文档版本64(2020-11-18)版权所有华为技术有限公司80云模式–未使用代理图8-3删除防护域名(未使用代理)说明确保已完成并勾选"已经在DNS服务商处将域名的CNAME删除并配置A记录到源站地址,或该域名业务已下线".
如果需要保留该域名绑定的防护策略,可以勾选"保留该域名的防护策略".
–使用代理图8-4删除防护域名(使用代理)说明确保已完成并勾选"已经在高防、CDN或云加速等代理处将域名回源到源站,或该域名业务已下线".
如果需要保留该域名绑定的防护策略,可以勾选"保留该域名的防护策略".
独享模式如果需要保留该域名绑定的防护策略,可以勾选"保留该域名的防护策略".
Web应用防火墙常见问题8其他类文档版本64(2020-11-18)版权所有华为技术有限公司81步骤5单击"确定",页面右上角弹出"删除成功",则说明删除操作成功.
----结束8.
11配置泛域名时,如何选择证书域名和证书需要一一对应,泛域名只能使用泛域名证书.
如果您没有泛域名证书,只有单域名对应的证书,则只能在WAF中按照单域名的方式逐条添加域名进行防护.
8.
12如何删除域名配置的证书当证书未绑定防护网站时,您可以参考以下操作步骤,删除证书.
步骤1登录管理控制台.
步骤2进入证书管理页面,如图8-5所示.
图8-5进入证书管理页面步骤3在目标证书所在行的"操作"列中,单击"删除".
步骤4在弹出的提示框中,单击"确定",删除证书.
----结束8.
13如何修改已绑定域名的证书如果您购买的证书即将到期,为了不影响域名的使用,建议您在到期前重新购买证书,并在WAF中同步更新域名绑定的证书.
执行以下操作修改已绑定域名的证书.
步骤1登录管理控制台.
步骤2进入网站设置页面入口,如图8-6所示.
Web应用防火墙常见问题8其他类文档版本64(2020-11-18)版权所有华为技术有限公司82图8-6网站设置入口步骤3在目标网站所在行的"防护网站"列中,单击目标网站,进入网站基本信息页面.
步骤4单击"服务器信息"后的编辑图标,若"对外协议"选择的是"HTTPS",可在证书的下拉框中重新选择证书或者导入新的证书.
----结束8.
14ELB已上传的证书,在Web应用防火墙上需要重新导入上传吗在选择证书时,您可以选择已创建证书或选择导入的新证书.
在ELB上已上传的证书,还需要在WAF上导入上传.
8.
15为什么华为云SCM上的SSL证书在WAF上不能查看华为云SCM上的SSL证书签发后或成功上传后,您需要将证书一键推送到WAF中,才能在华为云WAF中使用.
有关推送SSL证书的详细操作,请参见推送证书到云产品.
Web应用防火墙常见问题8其他类文档版本64(2020-11-18)版权所有华为技术有限公司83A修订记录发布日期修改说明2020-11-18第六十四次正式发布.
新增WAF可以防止垃圾注册和恶意注册吗.
新增添加域名时,端口需要和源站端口配置一样吗新增业务使用了IPv6,WAF中的源站地址如何配置.
2020-11-09第六十三次正式发布.
新增域名接入状态显示"未接入",如何处理.
2020-10-22第六十二次正式发布.
Web应用防火墙支持哪些Web服务框架,优化内容描述.
2020-09-23第六十一次正式发布.
新增云模式的包年/包月和按需计费模式是否支持互相切换.
如何排查404/502/504错误,更新界面截图.
2020-09-11第六十次正式发布.
修改以下常见问题.
Web应用防火墙如何收费.
如何退订Web应用防火墙.
退订后重购WAF,原配置数据可以保存吗.
2020-08-12第五十九次正式发布.
修改以下常见问题.
如何删除域名配置的证书.
为什么华为云SCM上的SSL证书在WAF上不能查看.
2020-07-20第五十八次正式发布.
新增配置"人机验证"CC防护规则后,验证码不能刷新,验证一直不通过,如何处理.
Web应用防火墙常见问题A修订记录文档版本64(2020-11-18)版权所有华为技术有限公司84发布日期修改说明2020-07-16第五十七次正式发布.
新增Web应用防火墙可以拦截multipart/form-data格式的数据包吗.
2020-07-08第五十六次正式发布.
新增开启网站反爬虫后,为什么有些请求被WAF拦截但查不到拦截记录.
QPS超过当前WAF版本支持的峰值时有什么影响,补充独享版相关内容描述.
Web应用防火墙是否支持防护非华为云和云下服务器,优化内容描述.
Web应用防火墙是否能防护IP,优化内容描述.
Web应用防火墙支持对哪些对象进行防护,优化内容描述.
Web应用防火墙是否支持健康检查,优化内容描述.
检测版、专业版、企业版、旗舰版和独享版的特性差异,补充独享版相关内容描述.
Web应用防火墙支持哪些非标准端口,补充独享版规格说明.
2020-06-24第五十五次正式发布.
检测版、专业版、企业版、旗舰版和独享版的特性差异,补充检测版内容描述.
Web应用防火墙支持哪些非标准端口,补充检测版端口内容描述.
2020-06-16第五十四次正式发布.
新增以下常见问题.
在安全组中配置WAF白名单,需要开放所有端口吗Web应用防火墙可以跨区域使用吗开启Web基础防护中的"其他爬虫"会影响网页的浏览速度吗为什么华为云SCM上的SSL证书在WAF上不能查看ELB已上传的证书,在Web应用防火墙上需要重新导入上传吗2020-06-08第五十三次正式发布.
新增以下常见问题.
Web应用防火墙切换为Bypass模式后会放行流量吗Web应用防火墙支持哪些工作模式和防护模式Web应用防火墙常见问题A修订记录文档版本64(2020-11-18)版权所有华为技术有限公司85发布日期修改说明2020-06-02第五十二次正式发布.
新增以下常见问题.
如何查看当前WAF业务带宽的使用情况和流入的流量接入Web应用防火墙的域名需要备案吗Web应用防火墙支持基于应用层协议和内容的访问控制吗域名添加到WAF后,名称是否可以修改2020-05-09第五十一次正式发布.
新增以下常见问题.
QPS超过当前WAF版本支持的峰值时有什么影响Web应用防火墙对并发数有限制吗续费时如何变更Web应用防火墙的规格Web应用防火墙的哪些防护规则支持仅记录模式Web应用防火墙支持请求url将""作为拦截条件吗Web应用防火墙可以拦截Web页面调用其他接口的请求数据吗Web应用防火墙可以配置会话Cookie吗Web应用防火墙可以批量配置黑白名单吗Web应用防火墙可以同时查询多个指定IP的防护事件吗使用Web应用防火墙对邮件收发和邮件端口有影响吗如何设置使流量不经过WAF,直接访问源站多个端口的服务器,如果某个非标准端口不需要WAF防护,如何处理如果只允许指定地区的IP可以访问,如何设置防护策略精准访问防护规则可以设置在指定的时间段生效吗如何获取Web应用防火墙销售许可证已使用华为云APIG还需要购买WAF吗退订后重购WAF,原配置数据可以保存吗2020-03-31第五十次正式发布.
更新界面截图.
Web应用防火墙常见问题A修订记录文档版本64(2020-11-18)版权所有华为技术有限公司86发布日期修改说明2020-03-19第四十九次正式发布.
Web应用防火墙支持哪些非标准端口,修改非标准端口.
什么是区域和可用区,优化内容描述.
新增以下常见问题.
–什么是QPS–什么是防护IP–Web应用防火墙支持漏洞检测吗–Web应用防火墙可以免费使用吗–如何处理418错误码问题–如何处理523错误码问题–如何对异常IP进行封堵–Web应用防火墙是否支持SSL双向认证–Web应用防火墙与漏洞扫描服务有哪些区别–如何在华为云的云解析服务上配置TXT记录的值–Web应用防火墙可以导出黑白名单吗–Web应用防火墙是否可以对用户添加的Post的body进行检查吗–Web应用防火墙会记录未拦截的事件吗–Web应用防火墙的日志可以转储到OBS吗–如何降低Web应用防火墙的版本和规格–Web应用防火墙如何拦截请求内容–如何使用A记录进行域名解析–Web应用防火墙支持配置泛域名吗–本地文件包含和远程文件包含是指什么–WAF、CDN和DDoS高防可以一起使用吗–Web应用防火墙支持自定义POST拦截吗–Web应用防火墙可以购买基础版吗–Web应用防火墙支持自定义授权策略吗–Web应用防火墙支持日志转发到SyslogServer吗–如何解决HTTP配置转发策略后程序访问页面卡顿–Web基础防护支持设置哪几种防护等级–如果证书挂载在ELB上,WAF可以根据请求内容进行拦截吗–Web应用防火墙支持跨域禁止访问功能吗–如何处理域名接入WAF后,登录首页不停地刷新Web应用防火墙常见问题A修订记录文档版本64(2020-11-18)版权所有华为技术有限公司87发布日期修改说明2020-03-06第四十八次正式发布.
新增以下常见问题.
如何计算防护带宽若流量超过Web应用防火墙的防护带宽,该如何处理检测版、专业版、企业版、旗舰版和独享版的特性差异域名如何接入Web应用防火墙CDN+WAF如何配置DDoS高防+WAF如何配置2020-03-03第四十七次正式发布.
调整文档架构.
修改未配置子域名和TXT记录的影响,更新界面截图并优化内容描述.
2020-01-10第四十六次正式发布.
新增Web应用防火墙是否支持IPv4和IPv6共存.
新增如何测试在WAF中配置的源站IP是IPv6地址.
新增Web应用防火墙是否支持WebSocket协议.
新增Web应用防火墙是否支持多个账号共享使用.
修改Web应用防火墙是否能防护IP,优化内容描述.
2019-12-26第四十五次正式发布.
修改Web应用防火墙支持哪些非标准端口,优化内容描述.
2019-12-20第四十四次正式发布.
修改Web应用防火墙支持哪些非标准端口,优化内容描述.
2019-12-16第四十三次正式发布.
操作入口连环图更新.
2019-12-09第四十二次正式发布.
新增连接超时时长是多少,是否可以手动设置该时长.
新增域名接入WAF前需要准备哪些数据.
新增哪些Region支持IPv6的防护.
修改Web应用防火墙是否支持防护非华为云和云下服务器,优化内容描述.
修改Web应用防火墙是否能防护IP,优化内容描述.
2019-11-14第四十一次正式发布.
修改Web应用防火墙支持哪些非标准端口,优化内容描述.
2019-11-07第四十次正式发布.
新增CC规则里"限速频率"和"放行频率"的区别.
Web应用防火墙常见问题A修订记录文档版本64(2020-11-18)版权所有华为技术有限公司88发布日期修改说明2019-11-05第三十九次正式发布.
修改如何排查404/502/504错误,优化内容描述.
2019-11-04第三十八次正式发布.
新增Web应用防火墙有IPS模块吗.
新增Web应用防火墙是否支持防护非华为云和云下服务器.
新增Web应用防火墙是否支持文件缓存.
新增防护规则的路径是否区分大小写.
新增是否可以导出/备份WAF的配置.
新增防护规则条数不够用时,如何处理.
2019-10-30第三十七次正式发布.
新增域名接入WAF后,为什么无法开启防护模式.
新增如何在华为云的云解析服务上进行DNS验证.
新增如何查询域名提供商.
新增Web应用防火墙支持对哪些对象进行防护.
新增配置泛域名时,如何选择证书.
新增Web应用防火墙是否支持HTTP/2.
新增Web应用防火墙最多可以添加多少条规则.
新增Web应用防火墙是否支持健康检查.
新增Web应用防火墙的防护日志可以存储多久.
新增如何获取拦截的数据.
新增Web应用防火墙是否有日志服务.
新增Web应用防火墙的日志是否可以通过API的方式获取.
2019-10-21第三十六次正式发布.
新增未配置子域名和TXT记录的影响.
2019-10-17第三十五次正式发布.
修改如何使网站流量切入Web应用防火墙,优化内容描述.
删除"如何处理DNS解析状态异常".
Web应用防火墙常见问题A修订记录文档版本64(2020-11-18)版权所有华为技术有限公司89发布日期修改说明2019-10-14第三十四次正式发布.
修改Web应用防火墙支持哪些非标准端口,优化内容描述.
修改如何排查404/502/504错误,优化内容描述.
修改Web应用防火墙支持哪些操作系统,优化内容描述.
修改Web应用防火墙支持哪些Web服务框架,优化内容描述.
2019-09-12第三十三次正式发布.
新增如何处理Appscan等扫描器检测结果为Cookie缺失Secure/HttpOnly.
新增业务带宽是按照入流量计算的还是出流量计算的.
新增主账号与子账号的权限有哪些区别.
2019-09-06第三十二次正式发布.
新增新旧CNAME的区别.
新增服务器的源站地址可以配置成CNAME吗.
修改如何排查404/502/504错误,优化内容描述.
修改如何修改已绑定域名的证书,优化内容描述.
2019-08-28第三十一次正式发布.
修改如何排查404/502/504错误,优化内容描述.
修改如何获取访问者真实IP,增加最佳实践的链接.
修改如何配置CC防护规则,增加关联章节的链接.
修改如何使网站流量切入Web应用防火墙,增加关联章节的链接.
2019-08-20第三十次正式发布.
文档优化:使用连环图.
2019-08-15第二十九次正式发布.
新增如何解决重定向次数过多.
修改如何使网站流量切入Web应用防火墙,优化内容描述.
2019-07-15第二十八次正式发布.
新增如何为Web应用防火墙续费.
新增如何退订Web应用防火墙.
修改如何在添加域名中配置防护域名,优化内容描述.
2019-07-11第二十七次正式发布.
修改如何在添加域名中配置防护域名,优化内容描述.
Web应用防火墙常见问题A修订记录文档版本64(2020-11-18)版权所有华为技术有限公司90发布日期修改说明2019-07-02第二十六次正式发布.
新增如何在添加域名中配置防护域名.
2019-07-01第二十五次正式发布.
新增后端服务器配置多个IP时的注意事项.
修改如何排查404/502/504错误,优化内容描述.
2019-06-18第二十四次正式发布.
新增多Project下使用Web应用防火墙的限制条件.
新增哪些情况会造成WAF配置的防护规则不生效.
2019-06-06第二十三次正式发布.
新增Web应用防火墙支持防护哪些区域.
新增接入WAF后网站的文件上传请求有限制吗.
修改Web应用防火墙支持哪些非标准端口,优化内容描述.
2019-05-30第二十二次正式发布.
修改如何使网站流量切入Web应用防火墙,优化内容描述.
2019-05-16第二十一次正式发布.
修改如何使网站流量切入Web应用防火墙,优化内容描述.
2019-05-14第二十次正式发布.
修改如何排查404/502/504错误,优化内容描述.
2019-05-05第十九次正式发布.
新增如何放行回源IP段.
新增如何解决HTTPS请求在部分手机访问异常.
修改如何排查404/502/504错误,优化内容描述.
修改Web应用防火墙支持哪些非标准端口,优化内容描述.
修改如何使网站流量切入Web应用防火墙,优化内容描述.
2019-02-20第十八次发布.
修改Web应用防火墙支持哪些非标准端口,优化内容描述.
修改Web应用防火墙如何收费,优化内容描述.
2019-01-03第十七次正式发布.
调整文档布局.
2018-11-08第十六次正式发布.
设置短描述和关键字.
Web应用防火墙常见问题A修订记录文档版本64(2020-11-18)版权所有华为技术有限公司91发布日期修改说明2018-10-29第十五次正式发布.
修改Web应用防火墙支持哪些非标准端口,优化内容描述.
2018-09-12第十四次正式发布.
新增如何解决证书链不完整.
2018-07-19第十三次发布.
新增如何获取访问者真实IP.
修改如何修改已绑定域名的证书,优化内容描述.
根据界面变化修改了截图.
2018-07-05第十二次发布.
修改如何使网站流量切入Web应用防火墙,优化内容描述.
修改如何在本地测试Web应用防火墙,优化内容描述.
2018-06-14第十一次发布.
根据界面变化修改了截图.
2018-06-07第十次发布.
新增如何修改已绑定域名的证书.
2018-05-31第九次正式发布.
新增如何排查404/502/504错误.
2018-05-17第八次正式发布.
新增如何配置对外协议与源站协议.
2018-04-12第七次正式发布.
修改Web应用防火墙支持哪些防护规则,增加防敏感信息泄露相关内容描述.
2018-04-02第六次正式发布.
修改Web应用防火墙支持哪些非标准端口,优化内容描述.
根据界面变化更新了界面描述和截图.
2018-03-31第五次正式发布.
新增如何将Web基础防护的仅记录模式切换为拦截模式.
根据界面变化更新了界面描述和截图.
Web应用防火墙常见问题A修订记录文档版本64(2020-11-18)版权所有华为技术有限公司92发布日期修改说明2018-03-27第四次正式发布.
新增Web应用防火墙支持哪些非标准端口.
新增如何使网站流量切入Web应用防火墙.
新增如何在本地测试Web应用防火墙.
新增删除防护域名时应该注意哪些事项.
新增Web应用防火墙服务到期后还能防护域名吗.
删除"如何开启WAF防护".
根据界面变化更新了界面描述和截图.
2018-01-16第三次正式发布.
新增Web应用防火墙是否能防护IP.
2018-01-11第二次正式发布.
新增Web应用防火墙支持哪些防护规则.
新增Web应用防火墙提供的是几层防护.
2017-10-30第一次正式发布.
Web应用防火墙常见问题A修订记录文档版本64(2020-11-18)版权所有华为技术有限公司93