如果您的业务服务器部署在华为云上,您可以将网站的域名或IP添加到WAF,使网站 流量切入WAF。
说明
如果您已开通企业项目,您可以在“企业项目”下拉列表中选择您所在的企业项目,在该企业项 目下添加防护网站。
前提条件
● 已购买WAF独享引擎实例。
● 防护域名/IP未添加到WAF,且域名/IP已备案。
约束条件
● 接入Web应用防火墙的网站已使用公网ELB(Elastic Load Balance)代理用作负 载均衡,为了保证WAF的安全策略能够针对真实源IP生效,“是否已使用代理”
请务必选择“是”,如果选择“否”,则Web应用防火墙无法获取Web访问者请 求的真实IP地址。
● 请确保防护域名经过ICP备案,未备案域名将无法正常使用WAF。
收集防护域名/IP 的配置信息
在添加防护域名/IP前,请获取防护域名/IP如表5-1所示相关信息。
表5-1 准备防护域名/IP 相关信息
www.example.co m
标准端口/非 标准端口
需要防护的域名对应的业务端口。
● 标准端口
– 80:HTTP对外协议默认使用 端口
– 443:HTTPS对外协议默认 使用端口
● 非标准端口 80/443以外的端口 须知
如果防护域名使用非标准端口,请 查看WAF支持哪些非标准端口?,
确保购买的WAF版本支持防护该非 标准端口。
80
对外协议 客户端(例如浏览器)请求访问网 站的协议类型。WAF支持
“HTTP”、“HTTPS”两种协议 类型。
HTTP
源站协议 WAF转发客户端(例如浏览器)请 求的协议类型。包括“HTTP”、
“HTTPS”两种协议类型。
HTTP
VPC 选择购买的独享引擎实例所在的 vpc-default
用户指南 5 网站接入 WAF(独享模式)
获取信息 参数 说明 示例 源站地址 客户端(例如浏览器)访问的网站
服务器的私网IP地址或域名。 192.168.1.1
(可选)
证书 - 对外协议选择“HTTPS”时,需要 在WAF上配置证书,将证书绑定到 防护域名。
须知
● WAF当前仅支持PEM格式证书。如 果证书为非PEM格式,请参考如何 将非PEM格式的证书转换为PEM格 式?转化证书格式。
● 目前华为云SCM证书只能推送到
“default”企业项目下。如果您使 用其他企业项目,则不能选择使用 SCM推送的SSL证书。
-操作步骤
步骤1 登录管理控制台。
步骤2 进入网站设置页面入口,如图5-2所示。
图5-2 网站设置入口
步骤3 在网站列表左上角,单击“添加防护网站”。
步骤4 选择“独享模式”后,在页面配置域名基本信息,如图5-3所示,相关参数说明如表 5-2所示。
图5-3 配置网站基本信息
表5-2 基本信息参数说明
参数 参数说明 取值样例
网站名称 网站的名称。
-防护对象 防护的域名或IP,域名支持单域名和泛域名。
● 单域名:输入防护的单域名。例如:
www.example.com。
● 泛域名
说明泛域名不支持下划线(_)。
– 如果各子域名对应的服务器IP地址相同:输入 防护的泛域名。例如:子域名
a.example.com,b.example.com和
c.example.com对应的服务器IP地址相同,可 以直接添加泛域名*.example.com。
– 如果各子域名对应的服务器IP地址不相同:请 将子域名按“单域名”方式逐条添加。
单域名:www.example.
com
泛域名:*.example.com IP:XXX.XXX.
1.1
用户指南 5 网站接入 WAF(独享模式)
参数 参数说明 取值样例 端口 可选参数,仅当用户勾选“非标准端口”时需要配
置。端口的配置示例如配置示例一:防护同一端口的 不同源站IP的标准端口业务。
● “对外协议”选择“HTTP”时,WAF默认防护
“80”标准端口的业务;“对外协议”选择
“HTTPS”时,WAF默认防护“443”标准端口的 业务。
● 如需配置除“80”/“443”以外的端口,勾选
“非标准端口”,在“端口”下拉列表中选择非 标准端口。
Web应用防火墙支持的非标准端口请参见Web应 用防火墙支持的非标准端口。
说明
如果配置了非标准端口,访问网站时,需要在网址后面增加 非标准端口进行访问,否则访问网站时会出现404错误。
81
网站备注 网站补充信息。
-服务器配 置
网站服务器地址的配置。包括对外协议、源站协议、
VPC、源站地址和源站端口。
● 对外协议:客户端请求到WAF独享引擎使用的协 议。包括“HTTP”、“HTTPS”两种协议类型。
● 源站协议:客户端请求经过WAF独享引擎转发到 源站时使用的协议。包括“HTTP”、“HTTPS”
两种协议类型。
说明
– 对外协议与源站协议的具体配置规则,请参见对外 协议与源站协议配置规则。
– WAF支持WebSocket/WebSockets协议,且默认为 开启状态。
● VPC:选择独享引擎实例所在的VPC。
● 源站地址:客户端(例如浏览器)访问的网站服 务器的私网IP地址或域名。
● 源站端口:WAF独享引擎转发客户端请求到服务 器的业务端口。
对外协议:
HTTP 源站协议:
HTTP VPC:vpc-default 源站地址:
192.168.1.1 源站端口:80
证书 “对外协议”设置为“HTTPS”时,需要选择证书。
您可以选择已创建的证书或选择导入的新证书。导入 新证书的操作请参见步骤5。
创建证书的操作,请参见上传证书。
您也可以在SCM管理控制台购买证书并推送到WAF。
有关SCM证书推送到WAF的详细操作,请参见推送证 书到云产品。
--步骤5 (可选)导入新证书。
当“对外协议”设置为“HTTPS”时,可以导入新证书。
1. 单击“导入新证书”,打开“导入新证书”对话框。然后输入“证书名称”,并 将证书内容和私钥内容粘贴到对应的文本框中。
图5-4 导入新证书
说明
Web应用防火墙将对私钥进行加密保存,保障证书私钥的安全性。
WAF当前仅支持PEM格式证书。如果证书为非PEM格式,请参考表5-3在本地将证 书转换为PEM格式,再上传。
表5-3 证书转换命令
格式类型 转换方式
CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。
PFX – 提取私钥命令,以“cert.pfx”转换为“key.pem”为例。
openssl pkcs12 in cert.pfx nocerts out key.pem -nodes
– 提取证书命令,以“cert.pfx”转换为“cert.pem”为例。
openssl pkcs12 -in cert.pfx -nokeys -out cert.pem P7B 1. 证书转换,以“cert.p7b”转换为“cert.cer”为例。
openssl pkcs7 -print_certs -in cert.p7b -out cert.cer 2. 将“cert.cer”证书文件直接重命名为“cert.pem”。
DER – 提取私钥命令,以“privatekey.der”转换为
“privatekey.pem”为例。
openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem
– 提取证书命令,以“cert.cer”转换为“cert.pem”为例。
用户指南 5 网站接入 WAF(独享模式)
说明
– 执行openssl命令前,请确保本地已安装openssl。
– 如果本地为Windows操作系统,请进入“命令提示符”对话框后,再执行证书转换命 令。
2. 单击“确定”,上传证书。
步骤6 “是否已使用代理”选择“是”。
接入Web应用防火墙的网站已使用公网ELB(Elastic Load Balance)代理用作负载均 衡,为了保证WAF的安全策略能够针对真实源IP生效,请务必选择“是”,如果选择
“否”,则Web应用防火墙无法获取Web访问者请求的真实IP地址。
步骤7 选择“策略配置”,默认为“系统自动生成策略”。
您也可以选择已创建的防护策略或在域名接入后根据防护需求配置防护规则。
系统自动生成的策略说明如下:
● Web基础防护(“仅记录”模式、常规检测)
仅记录SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程 命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击行为。
● 网站反爬虫(“仅记录”模式、扫描器)
仅记录漏洞扫描、病毒扫描等Web扫描任务,如OpenVAS、Nmap的爬虫行为。
说明
“仅记录”模式:发现攻击行为后WAF只记录攻击事件不阻断攻击。
步骤8 单击“确定”,防护网站添加成功。
图5-5 域名配置完成
● 单击“配置策略”,您可以为防护网站配置防护策略。
● 单击“继续添加域名”,您可以继续添加防护网站。
● 关闭对话框,您可以在防护网站列表中查看已添加防护网站。
----结束
生效条件
防护网站的初始“接入状态”为“未接入”,配置完负载均衡以及为弹性负载均衡绑 定弹性IP后,当访问请求到达该网站的WAF独享引擎时,该防护网站的接入状态将自 动切换为“已接入”。