2.1.1 Web 应用防火墙是否能防护 IP?
WAF可以对IP进行防护。
云模式
WAF不能防护IP,只能基于域名进行防护。
在WAF中配置的源站IP只支持公网IP,不支持私网IP或者内网IP。
若您需要减少公网IP的数量,可以购买ELB(Elastic Load Balance,简称ELB)或搭建 负载均衡,代理后端私网IP,并将EIP(公网IP)设置为WAF的回源地址。
独享模式/ELB 模式
WAF可以对IP或域名进行防护。
在WAF中配置的源站IP支持私网IP或者内网IP。
有关域名/IP接入WAF的流程说明,请参见域名/IP如何接入Web应用防火墙?。
2.1.2 Web 应用防火墙是否支持防护非华为云和云下服务器?
WAF云模式可以跨云使用,支持防护非华为云和云下服务器,但是该服务器必须已连 接互联网。
WAF云模式是基于域名进行防护的,只要有域名就能防护,不区分云上云下服务器,
也不受Region、Project和账户的影响。
2.1.3 Web 应用防火墙支持对哪些对象进行防护?
WAF支持对域名或IP进行防护,相关说明如下:
● 云模式只能基于域名进行防护
在WAF中配置的源站IP只支持公网IP。例如,源站服务器部署了华为云弹性负载 均衡(Elastic Load Balance,简称ELB)时,只要ELB(经典型、共享型或独享 型)有公网IP,云模式就可以对域名进行防护。
● 独享模式和ELB模式可以对域名或IP进行防护
2.1.4 Web 应用防火墙支持哪些操作系统?
Web应用防火墙部署在云端,即与操作系统没有关系。故Web应用防火墙支持任意操 作系统,任意操作系统上的域名服务器都可以接入WAF做防护。
2.1.5 Web 应用防火墙提供的是几层防护?
Web应用防火墙提供的是七层(物理层、数据链路层、网络层、传输层、会话层、表 示层和应用层)防护。
2.1.6 Web 应用防火墙是否支持健康检查?
WAF云模式目前暂不支持健康检查的功能,如果您希望服务器有健康性检查的功能,
建议您将弹性负载均衡(ELB)和WAF搭配使用,ELB的相关置请参见添加或移除后端 服务器(增强型)。ELB配置完成后,再将ELB的EIP作为服务器的IP地址,接入WAF,
实现健康检查。
WAF独享模式支持健康检查的功能。
2.1.7 Web 应用防火墙是否支持文件缓存?
WAF只缓存配置了网页防篡改的静态网页,用于将缓存的未被篡改的网页返回给Web 访问者,以达到防篡改的目的。
如果您需要缓存所有的网站内容,可以选择部署CDN,WAF部署在CDN和源站之间,
具体的配置方式请参见同时部署CDN和WAF的配置指导。
2.1.8 Web 应用防火墙支持漏洞检测吗?
WAF的Web基础防护功能可以对第三方漏洞攻击等威胁进行检测和拦截。在配置Web 基础防护规则时,如果您开启了扫描器,WAF将对扫描器爬虫,如OpenVAS、Nmap 等进行检测。
有关配置Web基础防护规则的详细操作,请参见配置Web基础防护规则。
2.1.9 Web 应用防火墙是否支持 SSL 双向认证?
不支持。您可以在WAF上配置单向的SSL证书。
说明
添加防护网站时,如果“对外协议”使用了HTTPS协议,您需要上传证书使证书绑定到防护网 站。
建议您使用ELB+独享WAF的模式,在ELB上配置双向认证,具体的操作如下:
1. 购买WAF独享模式。
2. 将网站接入WAF并配置负载均衡(ELB),具体请参见网站接入流程(独享模 式)。
常见问题 2 产品咨询
3. 在ELB上配置双向认证,具体请参见HTTPS双向认证。
2.1.10 Web 应用防火墙支持基于应用层协议和内容的访问控制吗?
WAF支持应用层协议和内容的访问控制,应用层协议支持HTTP和HTTPS。
2.1.11 Web 应用防火墙是否可以对用户添加的 Post 的 body 进行检 查吗?
WAF的内置检测会检查Post数据,webshell是Post提交的文件。Post类型提交的表 单、json等数据,都会被WAF的默认策略检查。
您可以通过配置精准访问防护规则,对添加的Post的body进行检查。有关配置精准访 问防护规则的详细操作,请参见配置精准访问防护规则。
2.1.12 Web 应用防火墙可以限制域名访问速度吗?
不支持。WAF支持通过自定义CC防护规则,限制单个IP/Cookie/Referer访问者对防护 网站上特定路径(URL)的访问频率,精准识别CC攻击以及有效缓解CC攻击。
有关CC防护规则的详细介绍,请参见配置CC攻击防护规则。
2.1.13 Web 应用防火墙可以拦截 multipart/form-data 格式的数据 包吗?
WAF支持拦截multipart/form-data格式的数据包。您可以提交工单申请配置拦截 multipart/form-data格式的数据包。
Multipart/form-data是浏览器使用表单上传文件的方式。例如,在写邮件时,如果邮 件添加了附件,附件通常使用multipart/form-data格式上传到服务器。
2.1.14 Web 应用防护墙可以部署在 VPC 内网吗?
可以。独享版WAF的独享引擎实例部署在VPC内。
2.1.15 Web 应用防火墙支持拦截包含特殊字符的 URL 请求吗?
WAF不支持将拦截请求URL中含有特殊字符作为拦截条件,即URL请求中有特殊字 符,WAF不会拦截。WAF可以对来源IP进行检测和限制。
2.1.16 Web 应用防火墙可以防止垃圾注册和恶意注册吗?
WAF不能防止垃圾注册和恶意注册等业务层面攻击行为。建议您在网站配置注册验证 机制,以防止垃圾注册和恶意注册。
WAF通过对HTTP(S)请求进行检测,可以识别并阻断Web服务的网络攻击(SQL注 入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三 方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等)。
2.1.17 Web 应用防火墙可以拦截 Web 页面调用其他接口的请求数 据吗?
当Web页面调用其他接口的请求数据在WAF防护域名内时,该请求数据将经过WAF,
WAF会检测并阻断该请求数据。
如果Web页面调用其他接口的请求数据不在WAF防护域名内,则该请求数据不经过 WAF,WAF不会拦截该请求数据。
2.1.18 Web 应用防火墙可以配置会话 Cookie 吗?
WAF不支持配置会话Cookie。
WAF可以通过配置CC攻击防护规则,限制单个Cookie字段特定路径(URL)的访问频 率,精准识别CC攻击以及有效缓解CC攻击。例如,您可以通过配置CC攻击规则,使 Cookie标识为name的用户在60秒内访问域名的“/admin*”页面超过10次时,封禁该 用户访问域名600秒。
有关配置CC攻击防护规则的详细操作,请参见配置CC攻击防护规则。
什么是 Cookie
Cookie是网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据
(通常经过加密),Cookie由Web服务器发送到浏览器,可以用来记录用户个人信 息。
Cookie由一个名称(Name)、一个值(Value)和其它几个用于控制Cookie有效期、
安全性、使用范围的可选属性组成。Cookie分为会话Cookie和持久性Cookie两种类 型,详细说明如下:
● 会话Cookie
临时的Cookie,不包含到期日期,存储在内存中。当浏览器关闭时,Cookie将被 删除。
● 持久性Cookie
包含到期日期,存储在磁盘中,当到达指定的到期日期时,Cookie将从磁盘中被 删除。
2.1.19 Web 应用防火墙与漏洞扫描服务有哪些区别?
Web应用防火墙(Web Application Firewall,WAF),通过对HTTP(S)请求进行检 测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包 含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等 攻击,保护Web服务安全稳定。
漏洞扫描服务(Vulnerability Scan Service,简称VSS)是针对服务器或网站进行漏洞 扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描 多项服务。用户新建任务后,即可人工触发扫描任务,检测出网站的漏洞并给出漏洞 修复建议。
两个服务最大的区别在于WAF可以记录并拦截攻击事件,以达到保护Web服务安全稳 定的目的。而VSS是漏洞检测服务,仅提供漏洞扫描并给出漏洞修复建议,有关VSS详 细的介绍,请参见漏洞扫描服务。
2.1.20 Web 应用防火墙支持自定义 POST 拦截吗?
WAF不支持自定义POST拦截。针对HTTP/HTTPS原始请求,WAF引擎内置防护规则的 检测流程如图2-1所示。
常见问题 2 产品咨询
图2-1 WAF 引擎检测图
有关WAF防护流程的详细介绍,请参见配置引导。
2.1.21 Web 应用防火墙支持跨域禁止访问功能吗?
WAF不支持配置跨域禁止访问功能。有关WAF功能的详细介绍,请参见功能特性。
2.1.22 Web 应用防火墙可以设置域名限制访问吗?
WAF不能直接通过域名限制访问。WAF支持配置黑白名单规则(即设置IP黑/白名 单),阻断、仅记录或放行指定IP或IP段的访问请求。
您可以通过配置黑白名单规则,阻断、仅记录或放行域名对应的IP或IP段的访问请求。
2.1.23 Web 应用防火墙有 IPS 入侵防御系统模块吗?
Web应用防火墙没有传统防火墙的IPS模块,WAF支持对HTTP/HTTPS协议的入侵检 测。
2.1.24 Web 应用防火墙是否支持 IPv4 和 IPv6 共存?
WAF支持IPv4和IPv6共存,针对同一域名可以同时提供IPv6和IPv4的流量防护。
● Web应用防火墙支持IPv6/IPv4双栈,针对同一域名可以同时提供IPv6和IPv4的流 量防护。
● 针对仍然使用IPv4协议栈的Web业务,Web应用防火墙支持NAT64机制(NAT64 是一种通过网络地址转换(NAT)形式促成IPv6与IPv4主机间通信的IPv6转换机 制),即WAF可以将IPv4源站转化成IPv6网站,将外部IPv6访问流量转化成对内 的IPv4流量。
须知
仅专业版(原企业版)和铂金版(原旗舰版)支持IPv6防护,且当前仅“华东”和
“华北”区域支持IPv4/IPv6双栈和NAT64。
2.1.25 WAF 和 HSS 的网页防篡改有什么区别?
HSS网页防篡改版是专业的锁定文件不被修改,实时监控网站目录,并可以通过备份 恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改,是政府、院校及 企业等组织必备的安全服务。
WAF网页防篡改为用户提供应用层的防护,对网站的静态网页进行缓存,当用户访问 网站时返回给用户缓存的正常页面,并随机检测网页是否被篡改。
网页防篡改的区别
HSS与WAF网页防篡改的区别,如表2-1所示。
表2-1 HSS 和 WAF 网页防篡改的区别
提供tomcat应用运行时自我保护,能够检测针对 数据库等动态数据的篡改行为。
类别 HSS WAF 备份恢
复 ● 主动备份恢复
若检测到防护目录下的文件被篡改时,将立即使 用本地主机备份文件自动恢复被非法篡改的文 件。
● 远端备份恢复
若本地主机上的文件目录和备份目录失效,可通 过远端备份服务恢复被篡改的网页。
不支持
防护对 象
网站防护要求高,手动恢复篡改能力差 网站防护要求低,
仅需要对应用层进 行防护
如何选择网页防篡改
防护对象 选择网页防篡改
普通网站 WAF网页防篡改+HSS企业版 网站防护+高要求网页
防篡改 WAF网页防篡改+HSS网页防篡改
2.1.26 Web 应用防火墙支持哪些 Web 服务框架/协议?
Web应用防火墙部署在云端,与Web服务框架没有关系。
WAF通过对HTTP/HTTPS请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页 木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻 击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。
WAF支持防护的协议类型说明如下:
● WebSocket/WebSockets协议,且默认为开启状态
● WebSocket/WebSockets协议,且默认为开启状态