该章节指导您将网站域名添加到Web应用防火墙,并完成域名接入,使网站流量切入 WAF。域名接入WAF后,WAF作为一个反向代理存在于客户端和服务器之间,服务器 的真实IP被隐藏起来,Web访问者只能看到WAF的IP地址。
说明
同一个域名对应不同端口视为不同的防护对象,例如www.example.com:8080和 www.example.com:8081为两个不同的防护对象,且占用两个域名防护配额。如 果您需要防护同一域名的多个端口,您需要将该域名和端口逐一添加到WAF。
● WAF支持防护多级别单域名(例如,一级域名example.com,二级域名 www.example.com等)和泛域名(例如,*.example.com)。
用户指南 4 网站接入 WAF(云模式)
须知
● 泛域名不支持下划线(_)。
● 泛域名添加说明如下:
● 如果各子域名对应的服务器IP地址相同:输入防护的泛域名。例如:子域 名a.example.com,b.example.com和c.example.com对应的服务器IP地址 相同,可以直接添加泛域名*.example.com。
● 如果各子域名对应的服务器IP地址不相同:请将子域名按“单域名”方式 逐条添加。
● WAF不支持自定义防护域名的HTTP Header消息头。
● 检测版不支持泛域名。
● 仅专业版(原企业版)和铂金版(原旗舰版)支持IPv6防护。
当前仅“华东”和“华北”区域支持IPv4/6双栈和NAT64。
● 请确保域名经过ICP备案,WAF会检查域名备案情况,未备案域名将无法添加。
● CNAME值是根据域名生成的,对于同一个域名,其CNAME值是一致的。
● WAF当前仅支持PEM格式证书。
● 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项 目,则不能选择使用SCM推送的SSL证书。
● WAF支持WebSocket协议,且默认为开启状态。
– “对外协议”选择“HTTP”时,默认支持WebSocket – “对外协议”选择“HTTPS”时,默认支持WebSockets
● 检测版、标准版(原专业版)“策略配置”只能选择“系统自动生成策略”。
规格限制
将网站接入WAF后,网站的文件上传请求限制为512MB。
系统影响
如果配置了非标准端口,访问网站时,需要在网址后面增加非标准端口进行访问,否 则访问网站时会出现404错误。
收集防护域名的配置信息
www.example.c om
获取信息 参数 说明 示例 标准端口/
非标准端口
需要防护的域名对应的业务端口。
● 标准端口
– 80:HTTP对外协议默认使用端 口
– 443:HTTPS对外协议默认使用 端口
● 非标准端口 80/443以外的端口 须知
如果防护域名使用非标准端口,请查 看WAF支持哪些非标准端口?,确保 购买的WAF版本支持防护该非标准端 口。
80
对外协议 客户端(例如浏览器)请求访问网站 的协议类型。WAF支持“HTTP”、
“HTTPS”两种协议类型。
HTTP
源站协议 WAF转发客户端(例如浏览器)请求 的协议类型。包括“HTTP”、
“HTTPS”两种协议类型。
HTTP
源站地址 客户端(例如浏览器)访问网站所在 源站服务器的公网IP地址(一般对应 该域名在DNS服务商处配置的A记录)
或者域名(一般对应该域名在DNS服 务商处配置的CNAME)。
XXX.XXX.1.1
(可选)
证书 - 对外协议选择“HTTPS”时,需要在 WAF上配置证书,将证书绑定到防护 域名。
须知WAF当前仅支持PEM格式证书。如果证书 为非PEM格式,请参考如何将非PEM格式 的证书转换为PEM格式?转化证书格式。
-操作步骤
步骤1 登录管理控制台。
步骤2 进入网站设置页面入口,如图4-4所示。
用户指南 4 网站接入 WAF(云模式)
图4-4 网站设置入口
步骤3 在网站列表左上角,单击“添加防护网站”。
步骤4 选择“云模式”后,在“防护域名”文本框中输入防护域名后,单击“确认”。
图4-5 添加防护域名
防护域名支持多级别单域名(例如,一级域名example.com,二级域名 www.example.com等)和泛域名(例如,*.example.com)。
须知
● 检测版不支持添加泛域名。
● 泛域名不支持下划线(_)。
● 泛域名添加说明如下:
– 如果各子域名对应的服务器IP地址相同:输入防护的泛域名。例如:子域名 a.example.com,b.example.com和c.example.com对应的服务器IP地址相同,
可以直接添加泛域名*.example.com。
– 如果各子域名对应的服务器IP地址不相同:请将子域名按“单域名”方式逐条 添加。
如果您的域名托管在华为云云解析服务上,您可以直接单击“快速添加”,在弹出的
“选择域名”对话框中选择待防护的域名,单击“确定”,托管的域名信息将自动添 加到防护域名配置框中。
步骤5 在“域名配置”页面配置域名基本信息,如图4-6所示,相关参数说明如表4-3所示。
图4-6 配置基本信息
表4-3 基本信息参数说明
参数 参数说明 取值样例
网站名称 网站的名称。
-防护域名 可防护的域名,支持单域名和泛域名。
● 单域名:输入防护的单域名。
● 泛域名:输入防护的泛域名。泛域名不支持下划 线(_)。
说明
● 检测版不支持添加泛域名。
● 如果各子域名对应的服务器IP地址相同:输入防护的泛 域名。例如:子域名a.example.com,b.example.com 和c.example.com对应的服务器IP地址相同,可以直接 添加泛域名*.example.com。
● 如果各子域名对应的服务器IP地址不相同:请将子域名 按“单域名”方式逐条添加。
单域名:www.example.
com 一级域名:
example.com 泛域名:*.example.com
用户指南 4 网站接入 WAF(云模式)
参数 参数说明 取值样例 端口 可选参数,仅当用户勾选“非标准端口”时需要配
置。端口的配置示例如配置示例一:防护同一端口的 不同源站IP的标准端口业务。
● “对外协议”选择“HTTP”时,WAF默认防护
“80”标准端口的业务;“对外协议”选择
“HTTPS”时,WAF默认防护“443”标准端口的 业务。
● 如需配置除“80”/“443”以外的端口,勾选
“非标准端口”,在“端口”下拉列表中选择非 标准端口。
Web应用防火墙支持的非标准端口请参见Web应 用防火墙支持的非标准端口。
说明
如果配置了非标准端口,访问网站时,需要在网址后面增加 非标准端口进行访问,否则访问网站时会出现404错误。
81
包括“HTTP”、“HTTPS”两种协议类型。
● 源站协议:Web应用防火墙转发客户端请求的协 议类型。包括“HTTP”、“HTTPS”两种协议类 型。
说明
– 对外协议与源站协议的具体配置规则,请参见对外 协议与源站协议配置规则。
– WAF支持WebSocket/WebSockets协议,且默认为 开启状态。
● 源站地址:客户端访问的网站服务器的公网IP地址
(一般对应该域名在DNS服务商处配置的A记录)
或者域名(一般对应该域名在DNS服务商处配置 的CNAME)。支持以下两种IP格式:
– IPv4,例如:XXX.XXX.1.1
– IPv6,例如:1050:0:0:0:5:600:300c:326b 须知仅专业版(原企业版)和铂金版(原旗舰版)支持IPv6
防护,且当前仅“华东”和“华北”区域支持IPv4/IPv6 双栈和NAT64。
● 源站端口:WAF转发客户端请求到服务器的业务 端口。
对外协议:
HTTP 源站协议:
HTTP 源站地址:
IPv4 XXX .XXX.
1.1
源站端口:80
参数 参数说明 取值样例
您也可以在SCM管理控制台购买证书并推送到WAF。
有关SCM证书推送到WAF的详细操作,请参见推送证 书到云产品。
须知
● WAF当前仅支持PEM格式证书。如果证书为非PEM格 式,请参考表4-4将证书转换为PEM格式,再上传。
● 目前华为云SCM证书只能推送到“default”企业项目 下。如果您使用其他企业项目,则不能选择使用SCM推 送的SSL证书。
● 如果您的证书即将到期,为了不影响网站的使用,建议 您在到期前重新使用新的证书,并在WAF中同步更新网 站绑定的证书。
● 域名和证书需要一一对应,泛域名只能使用泛域名证 书。如果您没有泛域名证书,只有单域名对应的证书,
则只能在WAF中按照单域名的方式逐条添加域名进行防 护。
--步骤6 (可选)导入新证书。
当“对外协议”设置为“HTTPS”时,可以导入新证书。
1. 单击“导入新证书”,打开“导入新证书”对话框。然后输入“证书名称”,并 将证书内容和私钥内容粘贴到对应的文本框中,如图4-7所示。
图4-7 导入新证书
用户指南 4 网站接入 WAF(云模式)
说明
Web应用防火墙将对私钥进行加密保存,保障证书私钥的安全性。
WAF当前仅支持PEM格式证书。如果证书为非PEM格式,请参考表4-4在本地将证 书转换为PEM格式,再上传。
表4-4 证书转换命令
格式类型 转换方式
CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。
PFX – 提取私钥命令,以“cert.pfx”转换为“key.pem”为例。
openssl pkcs12 in cert.pfx nocerts out key.pem -nodes
– 提取证书命令,以“cert.pfx”转换为“cert.pem”为例。
openssl pkcs12 -in cert.pfx -nokeys -out cert.pem P7B 1. 证书转换,以“cert.p7b”转换为“cert.cer”为例。
openssl pkcs7 -print_certs -in cert.p7b -out cert.cer 2. 将“cert.cer”证书文件直接重命名为“cert.pem”。
DER – 提取私钥命令,以“privatekey.der”转换为
“privatekey.pem”为例。
openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem
– 提取证书命令,以“cert.cer”转换为“cert.pem”为例。
openssl x509 -inform der -in cert.cer -out cert.pem
说明
– 执行openssl命令前,请确保本地已安装openssl。
– 如果本地为Windows操作系统,请进入“命令提示符”对话框后,再执行证书转换命 令。
2. 单击“确定”,上传证书。
步骤7 选择“是否已使用代理”。
须知
● 当在Web应用防火墙前使用代理时,不能切换为“Bypass”工作模式。如何切换工 作模式请参考切换工作模式。
● 如果网站未使用任何代理,而“是否已使用代理”选择了“是”,该配置仅会使 WAF在获取真实源IP时信任HTTP请求头中的“X-Forwarded-For”字段,不影响用 户业务。
● 若接入Web应用防火墙的网站已使用高防、CDN(Content Delivery Network,
内容分发网络)、云加速等代理,为了保证WAF的安全策略能够针对真实源IP生 效,请务必选择“是”,如果选择“否”,则Web应用防火墙无法获取Web访问
者请求的真实IP地址。另外,由于真实源IP字段中可能有多个IP,为确保WAF准确 获取Web访问者请求的真实IP地址,建议添加防护网站的的IP标记流量标识(例 如,CDN代理添加IP标记“CDN-Src-IP”)。
有关添加IP标记的详细操作,请参见配置攻击惩罚的流量标识。
式、常规检测) 仅记录SQL注入、XSS跨站 脚本、远程溢出攻击、文 件包含、Bash漏洞攻击、
远程命令执行、目录遍
Web基础防护(“仅记录”模
Web基础防护(“仅记录”模