如果您的业务服务器部署在华为云上,您可以将网站的域名或IP添加到WAF,使网站 流量切入WAF。
须知
使用独享模式或ELB模式前,请确认已提交工单申请开通独享模式或ELB模式。否则,
您将无法购买独享模式或ELB模式。
说明
如果您已开通企业项目,您可以在“企业项目”下拉列表中选择您所在的企业项目,在该企业项 目下添加防护网站。
前提条件
● 已购买ELB模式实例。
购买的ELB模式为七层负载均衡,支持HTTP和HTTPS协议,监听器收到访问请求 后,需要识别并通过HTTP/HTTPS协议报文头中的相关字段,进行数据的转发。
● 防护域名未添加到WAF,且域名已备案。
约束条件
请确保防护域名经过ICP备案,未备案域名将无法正常使用WAF。
收集防护域名/IP 的配置信息
在添加防护域名/IP前,请获取防护域名/IP如表6-1所示相关信息。
表6-1 准备防护域名/IP 相关信息
www.example.com
参数 说明 示例 标准端口/非标
准端口
需要防护的域名对应的业务端口。
● 标准端口
– 80:HTTP对外协议默认使用端 口
– 443:HTTPS对外协议默认使 用端口
● 非标准端口
当您需要配置除“80”/“443”
标准端口以外的端口时,勾选“非 标准端口”进行配置。取值范围为 1~65535。
80
操作步骤
步骤1 登录管理控制台。
步骤2 进入网站设置页面入口,如图6-2所示。
图6-2 网站设置入口
步骤3 在网站列表左上角,单击“添加防护网站”。
步骤4 选择“ELB模式”后,在页面配置域名基本信息,如图6-3所示,相关参数说明如表6-2 所示。
用户指南 6 网站接入 WAF(ELB 模式)
图6-3 配置防护网站基本信息
www.example.com。
● 泛域名
说明泛域名不支持下划线(_)。
– 如果各子域名对应的服务器IP地址相同:输入 防护的泛域名。例如:子域名
a.example.com,b.example.com和
c.example.com对应的服务器IP地址相同,可 以直接添加泛域名*.example.com。
– 如果各子域名对应的服务器IP地址不相同:请 将子域名按“单域名”方式逐条添加。
单域名:www.example.
com
泛域名:*.example.com IP:
XXX.XXX.1.1
端口 可选参数。必须与ELB上配置的监听器端口保持一 致。
当您需要配置除“80”/“443”标准端口以外的端口 时,勾选“非标准端口”进行配置。取值范围为 1~65535。
说明
如果配置了非标准端口,访问网站时,需要在网址后面增加 非标准端口进行访问,否则访问网站时会出现404错误。
81
参数 参数说明 取值样例
网站备注 网站补充信息。
-实例组 选择防护网站绑定的实例组。您可以单击创建实例 组,新建新的实例组,有关创建实例组的详细操作,
请参见创建实例组。
waf_elb
步骤5 选择“策略配置”,默认为“系统自动生成策略”。
您也可以选择已创建的防护策略或在域名接入后根据防护需求配置防护规则。
系统自动生成的策略说明如下:
● Web基础防护(“仅记录”模式、常规检测)
仅记录SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程 命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击行为。
● 网站反爬虫(“仅记录”模式、扫描器)
仅记录漏洞扫描、病毒扫描等Web扫描任务,如OpenVAS、Nmap的爬虫行为。
说明
“仅记录”模式:发现攻击行为后WAF只记录攻击事件不阻断攻击。
步骤6 单击“确定”,防护网站添加成功。
您可在防护网站列表中查看已添加防护网站。
----结束
生效条件
防护网站的初始“接入状态”为“未接入”,当访问请求到达该网站的WAF时,该防 护网站的接入状态将自动切换为“已接入”。