凯发k8国际娱乐官网入口-k8凯发> web应用防火墙 waf> > > > 步骤一:添加防护域名(云模式)
更新时间:2023-11-30 gmt 08:00

步骤一:添加防护域名(云模式)-凯发k8国际娱乐官网入口

该章节指导您将网站域名添加到web应用防火墙,并完成域名接入,使网站流量切入waf。域名接入waf后,waf作为一个反向代理存在于客户端和服务器之间,服务器的真实ip被隐藏起来,web访问者只能看到waf的ip地址。

如果您已开通企业项目,您可以在“企业项目”下拉列表中选择您所在的企业项目,在该企业项目下添加防护域名。

前提条件

  • 已购买waf云模式。
  • 防护域名未添加到waf,且域名已备案。

约束条件

限制项

限制条件

域名限制
  • waf支持防护多级别单域名(例如,一级域名example.com,二级域名www.example.com等)和泛域名(例如,*.example.com)。
    须知:

    waf不支持添加带有下划线(_)的泛域名。

    泛域名添加说明如下:
    • 如果各子域名对应的服务器ip地址相同:输入防护的泛域名。例如:子域名a.example.com,b.example.com和c.example.com对应的服务器ip地址相同,可以直接添加泛域名*.example.com。
    • 如果各子域名对应的服务器ip地址不相同:请将子域名按“单域名”方式逐条添加。
  • 同一防护域名不能重复添加到waf云模式。

    同一个域名对应不同非标准端口视为不同的防护对象,例如www.example.com:8080和www.example.com:8081为两个不同的防护对象,且占用两个域名防护配额。如果您需要防护同一域名的多个端口,您需要将该域名和端口逐一添加到waf。

  • 请确保域名经过icp备案,waf会检查域名备案情况,未备案域名将无法添加。

服务版本限制
  • 入门版不支持添加泛域名。
  • 仅专业版和铂金版支持ipv6防护、http2协议、负载均衡算法。
  • 入门版、标准版“策略配置”只能选择“系统自动生成策略”。

证书限制
  • waf当前仅支持pem格式证书。
  • 目前华为云scm证书只能推送到“default”企业项目下。如果您使用其他企业项目,则不能选择使用scm推送的ssl证书。
  • 拥有“scm administrator”“scm fullaccess”权限的账号才能选择scm证书。

websocket协议限制
waf支持websocket协议,且默认为开启状态。
  • “对外协议”选择“http”时,默认支持websocket
  • “对外协议”选择“https”时,默认支持websockets

http2协议限制

http2协议仅适用于客户端到waf之间的访问,且“对外协议”必须包含https才支持使用。

  • “服务器配置”中至少有一条源站地址的“对外协议”配置为https,开启后才会生效。
  • 当客户端最大支持tls 1.2时,http2才生效。

账号限制

主账号可以查看子账号添加的域名,但子账号不能查看主账号添加的域名。

其他限制
  • waf不支持自定义防护域名的http header消息头。
  • 将网站接入waf后,网站的文件上传请求限制为10g。

规格限制

将网站接入waf后,网站的文件上传请求限制为10g。

系统影响

如果配置了非标准端口,访问网站时,需要在网址后面增加非标准端口进行访问,否则访问网站时会出现404错误

操作步骤

  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全与合规 > web应用防火墙 waf
  4. 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
  5. 在网站列表左上角,单击“添加防护网站”
  6. 选择“云模式”并单击“确定”
  7. “防护域名”文本框中输入防护域名后,单击“确认”
    图1 添加防护域名

    防护域名支持多级别单域名(例如,一级域名example.com,二级域名www.example.com等)和泛域名(例如,*.example.com)。

    • 入门版不支持添加泛域名。
    • 泛域名不支持下划线(_)。
    • 泛域名添加说明如下:
      • 如果各子域名对应的服务器ip地址相同:输入防护的泛域名。例如:子域名a.example.com,b.example.com和c.example.com对应的服务器ip地址相同,可以直接添加泛域名*.example.com。
      • 如果各子域名对应的服务器ip地址不相同:请将子域名按“单域名”方式逐条添加。

    如果您的域名托管在华为云云解析服务上,您可以直接单击“快速添加华为云内域名”,在弹出的“选择域名”对话框中选择待防护的域名,单击“确定”,托管的域名信息将自动添加到防护域名配置框中。

  8. 配置“域名信息”,如图2所示。
    • “网站名称”:可选参数,自定义网站名称。
    • “防护域名”:需要添加到waf进行防护的域名,支持单域名(例如,一级域名example.com,二级域名www.example.com等)和泛域名(例如,*.example.com)。
    • “网站备注”:可选参数,网站的备注信息。
    图2 配置域名信息
  9. 源站配置,如图3所示,参数说明如表1所示。
    图3 源站配置
    表1 基本信息参数说明

    参数

    参数说明

    取值样例

    防护域名端口

    在下拉框中选择面要防护的端口。

    配置80/443端口,在下拉框中选择“标准端口”

    web应用防火墙支持的端口请参见。

    说明:

    如果配置了除80/443以外的其他端口,访问网站时,需要在网址后面增加非标准端口进行访问,否则访问网站时会出现404错误

    81

    服务器配置

    网站服务器地址的配置。包括对外协议、源站协议、源站地址、源站端口和权重。

    • 对外协议:客户端请求访问服务器的协议类型。包括“http”“https”两种协议类型。

      “对外协议”选择“https”时,支持。

    • 源站协议:web应用防火墙转发客户端请求的协议类型。包括“http”“https”两种协议类型。
      说明:
      • 对外协议与源站协议的具体配置规则,请参见。
      • waf支持websocket/websockets协议,且默认为开启状态。
    • 源站地址:客户端访问的网站服务器的公网ip地址(一般对应该域名在dns服务商处配置的a记录)或者域名(一般对应该域名在dns服务商处配置的cname)。支持以下两种ip格式:
      • ipv4,例如:xxx.xxx.1.1
      • ipv6,例如:fe80:0000:0000:0000:0000:0000:0000:0000
      须知:

      仅专业版和铂金版支持ipv6防护。

    • 源站端口:waf转发客户端请求到服务器的业务端口。
    • 权重:负载均衡算法将按权重将请求分配给源站。

    对外协议:http

    源站协议:http

    源站地址:ipv4 xxx .xxx.1.1

    源站端口:80

    证书名称

    “对外协议”设置为“https”时,需要选择证书。您可以选择已创建的证书或选择导入的新证书。导入新证书的操作请参见导入新证书

    成功导入的新证书,将添加到“证书管理”页面的证书列表中。有关证书管理的操作,请参见上传证书

    您也可以在ccm管理控制台购买证书并推送到waf。有关ccm证书推送到waf的详细操作,请参见。

    须知:
    • waf当前仅支持pem格式证书。如果证书为非pem格式,请参考表3证书转换为pem格式,再上传。
    • 目前华为云scm证书只能推送到“default”企业项目下。如果您使用其他企业项目,则不能选择使用scm推送的ssl证书。
    • 如果您的证书即将到期,为了不影响网站的使用,建议您在到期前重新使用新的证书,并在waf中同步更新网站绑定的证书。
    • 域名和证书需要一一对应,泛域名只能使用泛域名证书。如果您没有泛域名证书,只有单域名对应的证书,则只能在waf中按照单域名的方式逐条添加域名进行防护。

    --
  10. 高级配置,如图4所示。
    图4 高级配置
    • “ipv6防护”:若该域名存在ipv6协议的访问请求,请选择“开启”,开启后waf将为域名分配ipv6的接入地址。
      • “源站地址”选择“ipv6”时,默认开启“ipv6防护”
      • “源站地址”选择“ipv4”时,开启“ipv6防护”后,waf将为域名分配ipv6的接入地址,即将ipv4源站转化成ipv6网站,将外部ipv6访问流量转化成对内的ipv4流量。具体的请参见。

      当源站存在ipv6地址,默认开启ipv6防护。waf为了防止客户ipv6的业务中断,禁止关闭ipv6的开关,如果确定不需要ipv6防护,需要先修改服务器配置,在源站删除ipv6的配置,具体的操作方法请参见修改服务器配置信息

    • 配置“负载均衡算法”
      • 源ip hash:将某个ip的请求定向到同一个服务器。
      • 加权轮询:所有请求将按权重轮流分配给源站服务器,权重越大,回源到该源站的几率越高。
      • session hash:将某个session标识的请求定向到同一个源站服务器,请确保在域名添加完毕后,否则session hash配置不生效。

      更多信息请见。

    • 选择“是否已使用代理”
      • 七层代理:使用了ddos高防(七层代理,改变源和目的ip)、cdn、云加速等web代理产品。
      • 四层代理:使用了ddos高防(四层转发,不改变源和目的ip)等web代理产品。
      • 无代理:未使用任何代理产品。
      • 当在web应用防火墙前使用代理时,不能切换为“bypass”工作模式。如何切换工作模式请参考切换工作模式
      • 如果网站未使用任何代理,而“是否已使用代理”选择了“七层代理”或者“四层代理”,该配置仅会使waf在获取真实源ip时信任http请求头中的“x-forwarded-for”字段,不影响用户业务。
      • 选择“七层代理”后,waf将从配置的header头中字段中获取用户真实访问ip,详见。
    • “http2协议”:如果您的网站需要支持http2协议的访问,则选择“使用”

      http2协议仅适用于客户端到waf之间的访问,且“对外协议”必须包含https才支持使用。

      • “服务器配置”中至少有一条源站地址的“对外协议”配置为https,开启后才会生效。
      • 当客户端最大支持tls 1.2时,http2才生效。
    • 选择“策略配置”:默认为“系统自动生成策略”,您也可以选择自定义防护策略,系统自动生成的策略相关说明如表2所示。

      入门版、标准版只能选择“系统自动生成策略”

      您也可以选择已创建的防护策略或在域名接入后根据防护需求配置防护规则。

      表2 系统自动生成策略说明

      版本

      防护策略

      策略说明

      入门版、标准版

      web基础防护(“仅记录”模式、常规检测)

      仅记录sql注入、xss跨站脚本、远程溢出攻击、文件包含、bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击行为。

      专业版、铂金版

      web基础防护(“仅记录”模式、常规检测)

      仅记录sql注入、xss跨站脚本、远程溢出攻击、文件包含、bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击行为。

      网站反爬虫(“仅记录”模式、扫描器)

      仅记录漏洞扫描、病毒扫描等web扫描任务,如openvas、nmap的爬虫行为。

      “仅记录”模式:发现攻击行为后waf只记录攻击事件不阻断攻击。

  11. 单击“确认”,添加域名完成。
    可根据界面提示,完成放行waf回源ip、本地验证和域名接入配置操作,建议单击“稍后”。后续参照、和完成相关操作。
    图5 添加域名完成

生效条件

  • 默认情况下,waf每隔一小时就会自动检测每个防护域名的“接入状态”
  • 一般情况下,如果您确认已完成域名接入,“接入状态”“已接入”,表示域名接入成功。

    如果防护域名已接入waf,“接入状态”仍然为“未接入”,可单击,刷新状态,如果仍然为“未接入”,可参照重新完成域名接入。

导入新证书

“对外协议”设置为“https”时,可以导入新证书。

  1. 单击“导入新证书”,打开“导入新证书”对话框。然后输入“证书名称”,并将证书内容和私钥内容粘贴到对应的文本框中,如图6所示。
    图6 导入新证书

    web应用防火墙将对私钥进行加密保存,保障证书私钥的安全性。

    waf当前仅支持pem格式证书。如果证书为非pem格式,请参考表3在本地将证书转换为pem格式,再上传。
    表3 证书转换命令

    格式类型

    转换方式

    cer/crt

    “cert.crt”证书文件直接重命名为“cert.pem”

    pfx
    • 提取私钥命令,以“cert.pfx”转换为“key.pem”为例。

      openssl pkcs12 -in cert.pfx -nocerts -out key.pem -nodes

    • 提取证书命令,以“cert.pfx”转换为“cert.pem”为例。

      openssl pkcs12 -in cert.pfx -nokeys -out cert.pem

    p7b
    1. 证书转换,以“cert.p7b”转换为“cert.cer”为例。

      openssl pkcs7 -print_certs -in cert.p7b -out cert.cer

    2. “cert.cer”证书文件直接重命名为“cert.pem”

    der
    • 提取私钥命令,以“privatekey.der”转换为“privatekey.pem”为例。

      openssl rsa -inform der -outform pem -in privatekey.der -out privatekey.pem

    • 提取证书命令,以“cert.cer”转换为“cert.pem”为例。

      openssl x509 -inform der -in cert.cer -out cert.pem
    • 执行openssl命令前,请确保本地已安装。
    • 如果本地为windows操作系统,请进入“命令提示符”对话框后,再执行证书转换命令。
  2. 单击“确认”,上传证书。

配置示例

不同场景的配置示例请参考。

父主题:
分享:
网站地图