如何接入Web应用防火墙防护?
只需要通过修改网站 CNAME 记录即可。如果域名的 DNS 解析服务在自建的服务器,登陆控制台直接修改即可; 如果域名的 DNS 解析服务由第三方提供(如万网、新网等),登陆域名提供 DNS 解析的服务商网站进行修改。
Web应用防火墙支持 HTTPS 协议吗?
支持。
天翼云 web 应用防火墙既支持 http,又支持 https,同时支持单个域名既有 https 又有 http。
Web应用防火墙支持 IP 负载均衡吗?
不支持,天翼云 Web 应用防火墙只支持单个 IP 的访问,不支持 IP 负载均衡。
Web应用防火墙流量牵引方式及步骤?
天翼云Web应用防火墙采用 DNS 牵引的方式,属于常引流。
在 Web 应用防火墙自服务页面中防护配置生效后,需要客户联系 DNS 服务器商将网站域名解析指向 CNAME 地址,CNAME 规则为:防护域+.iname.damddos.com,例如原域名 www.ctyun.cn,CNAME 为 www. ctyun.cn.iname.damddos.com)。
如果用户需要关闭实例、关闭防护,首选需要确保已经联系 DNS 服务商将域名指向切换至源地址,否则将影响客户的正常访问。
服务到期需要尽快续费,或者需要确保配置失效时将 DNS 指回源站。
为什么要放行云Web应用防火墙回源 IP 段?
网站成功接入云 WAF 防护后,所有业务请求将先流转到防护平台进行检测,经过滤后返回到源站服务器。由于源站服务器收到的所有请求都来自云 WAF 平台的 IP,源站服务器上的安全软件(如安全组、防火墙、安全狗、云锁)很可能认为云 WAF 回源 IP在进行攻击而进行封禁,造成误封禁的云 WAF 回源 IP 的所有请求将无法得到源站的正常响应。因此,在网站接入云 WAF 后,需确保源站侧已将云 WAF 所有回源 IP 加入访问控制安全组与相关安全软件白名单进行放行,避免出现网站无法打开或响应缓慢等情况。
为什么要开通所有网站端口的Web应用防火墙防护?
域名接入Web应用防火墙防护后,该域名所有公网业务请求都会通过 CNAME 解析牵引至云 WAF,未在云 WAF 侧开通防护配置的端口请求则无法被接收,并且丢弃。因此,需要提供完整的域名及域名所开放端口列表。如未将同一域名下所有端口业务接入云 WAF 进行 防护,将影响该域名下未接入防护的端口业务正常访问。
如何放行云Web应用防火墙回源 IP 段?
打开源站服务器上的安全软件与访问控制安全组,根据防护开通的所属数据中心中心将云 WAF 平台回源 IP 地址段(内蒙数据中心:36.111.137.0/24 与 203.57.157.0/24,北京数据中心:203.34.106.0/24,上海数据中心:101.226.7.0/24, 广州数据中心:203.32.204.0/24)添加到白名单。
Web应用防火墙是否支持会话保持?
支持会话保持,但是默认不开启。如果需要启用会话保持,请联系安全防护工程师根据实际业务需求进行会话保持策略配置的调整。
Web应用防火墙是否支持源站健康检查?
支持对源站 IP 的健康检查,但是默认不开启。如果需要启用源站健康检查,请联系安全防护工程师根据实际业务需求进行健康检查配置的调整。
为什么第三方漏洞扫描工具会检测到域名其他未开放的端口?
Web应用防火墙默认开放部分端口用于网站接入和防护服务,对于已接入Web应用防火墙防护的网站,云WAF不会转发任何未开通防护的端口业务请求回到源站。因此,不会对源站服务带来任何安全风险和威胁。关于第三方扫描工具对于网站的端口检测,需以源站公网IP开放的端口为准。
Web应用防火墙是否支持HTTPS与HTTP2.0协议?
云WAF全面支持HTTPS与HTTP2.0协议。用户只需通过自服务平台根据提示将对应的SSL 证书及私钥进行上传托管后,即可联系工程师进行防护开通。
Web应用防火墙是否支持WebSocket协议?
云WAF全面支持WebSocket协议(WS/WSS)。WS防护可以正常开通,WSS业务只需通过自服务平台将对应的SSL 证书及私钥进行上传托管后,即可联系工程师进行防护开通。
Web应用防火墙是否支持IPv4与IPv6双栈?
云WAF支持IPv6流量防护,且针对同一域名可以同时提供IPv6和IPv4的流量防护,支持IPv4和IPv6双栈防护。
Web应用防火墙是否支持NAT64机制?
对于只使用IPv4协议栈回源的业务,云WAF支持NAT64机制,即云WAF提供IPv6访问流量接入及防护,检测过滤后将IPv6访问流量转化为IPv4流量返回源站,快速满足国家IPv6政策要求。
Web应用防火墙支持那些端口?
云WAF防护开通支持HTTP标准端口80、8080,443、8443等以443结尾的HTTPS标准端口,其余非标准端口请联系工程师确认后进行开通。
Web应用防火墙可以拦截哪些类型的攻击?
利用云WAF平台,基于云安全大数据实现,对客户网站提供一整套的4-7层安全防护方案,有效阻拦网站系统被篡改、被挂马、漏洞攻击,恶意扫描、非授权核心资源访问等OWASP常见攻击,并过滤恶意CC攻击,避免客户网站资产数据泄露,保障网站的安全与可用性。启用之后,客户网站所有的公网流量都会先经过云WAF平台,恶意攻击流量在云WAF平台上被检测过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。
什么样的域名无法接入防护?
➢ 网站无域名
云WAF防护是通过域名接入的方式来进行防护。用户将需要防护的域名通过CNAME方式指向云WAF,所有流量经过云WAF的清洗后,将正常的流量回源。在没有域名只有IP的情况下,无法实现用户流量的牵引,故无法接入防护。
➢ 未取得ICP备案号的网站不允许使用
➢ 网站域名与IP不匹配
客户接入云WAF时,需要提供真实的网站域名以及对应的真实网站地址,当网站流量被引流至云WAF,云WAF对流量进行清洗后,正常流量需要回源至客户的服务器进行处理,如果此时提供的IP与网站域名不匹配,会导致正常流量无法处理而被丢弃,从而影响客户网站的正常运行。
➢ https域名无法提供ssl证书
HTTPS传输的内容为加密内容。当网站为HTTP方式时,流量到达云WAF均为加密状态,而此时云WAF无法识别这些内容,从而无法执行相应的清洗动作。为保障清洗的正常运行,云WAF需要使用客户的SSL证书对流量进行解密后执行清洗,当清洗完成后,云WAF会再次通过SSL证书将流量加密,并返回给源站,从而保证整个传输过程都是加密的。
➢ 网站打不开或无任何实际内容,导致无法判断网站运营范围的网站不允许通过。
➢ 相关机构提示网页有威胁的,有非法信息提示不允许通过。
➢ 医院类型网站(流产,皮肤病,性病等医院),未获得卫生部资质网站,不允许通过。
➢ 网站主体内容含有色情(视频交友,一夜情交友)、违法(办假证,贩卖仿真枪)、黑客(非技术交流网站)、钓鱼网站、游戏私服、游戏外挂、网赚(传销性质网站)、成人用品、保健用品(减肥药)、两性、美女贴图和动漫贴图(尺度过大)、赌博(含贩卖赌博工具。)等低俗内容。
➢ 网站存在恶意流氓广告(存在非法内容视频链接,非法网页内容链接)不允许通过。
➢ 网站内容存在版权风险的网站(视频,小说,音乐网站)不允许通过。
➢ 网站含有药品销售、保健品销售,但未取得资质的,或严重夸大药效事实不允许通过。
➢ 网站主要业务为向非法网站提供支付、交易平台、担保,代理外国金融理财(炒股,炒现货,炒黄金)等服务的网站不允许通过。
➢ 网站中大量存在影响社会和谐稳定的内容的网站(涉嫌攻击国家,攻击领导人,攻击人民,言论煽动性质网站)不允许通过。
Web应用防火墙是否能够防御DDoS攻击?
可以。云WAF默认加载中国电信抗D产品防护,利用电信大网资源和路由调度,有效抵御来自互联网的DDoS攻击。
Web应用防火墙支持哪些TLS协议?
WAF实例默认支持TLS 1.0、TLS 1.1、TLS 1.2。
Web应用防火墙是否支持接入采用NTLM协议认证的网站?
不支持。如果网站使用NTLM协议认证,经WAF转发的访问请求可能无法通过源站服务器的NTLM认证,客户端将反复出现认证提示。
Web应用防火墙中的源站IP可以填写ECS内网IP?
不支持。WAF通过公网进行回源,不支持直接填写内网IP。