操作类

2022-06-22 01:58:07

Q:如何接入 web 应用防火墙防护 

A:只需要通过修改网站 CNAME 记录即可。如果域名的 DNS 解析服务在自建的服务器,登陆控制台直接修改即可; 如果域名的 DNS 解析服务由第三方提供(如万网、新网等),登陆域名提供 DNS 解析的服务商网站进行修改。

Q:WEB 应用防火墙支持 HTTPS 协议吗? 

A:支持。 

天翼云 web 应用防火墙既支持 http,又支持 https,同时支持单个域名既有 https 又有 http。 

Q:Web 应用防火墙支持 IP 负载均衡吗? 

A:不支持,天翼云 Web 应用防火墙只支持单个 IP 的访问,不支持 IP 负载均衡。 

Q:WEB 应用防火墙流量牵引方式及步骤? 

A:天翼云 Web 应用防火墙采用 DNS 牵引的方式,属于常引流。 

在 web 应用防火墙自服务页面中防护配置生效后,需要客户联系 DNS 服务器商将网站域名解析指向 CNAME 地址,CNAME 规则为:防护域名+.iname.damddos.com,例如原域名 www.ctyun.cn,CNAME 为 www. ctyun.cn.iname.damddos.com)。 

如果用户需要关闭实例、关闭防护,首选需要确保已经联系 DNS 服务商将域名指向切换至源地址,否则将影响客户的正常访问。 

服务到期需要尽快续费,或者需要确保配置失效时将 DNS 指回源站。

Q:为什么要放行云WAF 回源 IP 段? 

A:网站成功接入云 WAF 防护后,所有业务请求将先流转到防护平台进行检测,经过滤后返回到源站服务器。由于源站服务器收到的所有请求都来自云 WAF 平台的 IP,源站服务器上的安全软件(如安全组、防火墙、安全狗、云锁)很可能认为云 WAF 回源 IP在进行攻击而进行封禁,造成误封禁的云 WAF 回源 IP 的所有请求将无法得到源站的正常响应。因此,在网站接入云 WAF 后,需确保源站侧已将云 WAF 所有回源 IP 加入访问控制安全组与相关安全软件白名单进行放行,避免出现网站无法打开或响应缓慢等情况。 

Q:为什么要开通所有网站端口的 WAF 防护? 

A:域名接入云 WAF 防护后,该域名所有公网业务请求都会通过 CNAME 解析牵引至云 WAF,未在云 WAF 侧开通防护配置的端口请求则无法被接收,并且丢弃。因此,需要提供完整的域名及域名所开放端口列表。如未将同一域名下所有端口业务接入云 WAF 进行 防护,将影响该域名下未接入防护的端口业务正常访问。 

Q:如何放行云 WAF 回源 IP 段? 

A:打开源站服务器上的安全软件与访问控制安全组,根据防护开通的所属数据中心中心将云 WAF 平台回源 IP 地址段(内蒙数据中心:36.111.137.0/24 与 203.57.157.0/24,北京数据中心:203.34.106.0/24,上海数据中心:101.226.7.0/24, 广州数据中心:203.32.204.0/24)添加到白名单。 

Q:云 WAF 是否支持会话保持? 

A:支持会话保持,但是默认不开启。如果需要启用会话保持,请联系安全防 

护工程师根据实际业务需求进行会话保持策略配置的调整。 

Q:云 WAF 是否支持源站健康检查? 

A:支持对源站 IP 的健康检查,但是默认不开启。如果需要启用源站健康检查,请联系安全防护工程师根据实际业务需求进行健康检查配置的调整。 

Q:为什么第三方漏洞扫描工具会检测到域名其他未开放的端口? 

A:云WAF 默认开放部分端口用于网站接入和防护服务,对于已接入云 WAF防护的网站,云WAF不会转发任何未开通防护的端口业务请求回到源站。因此,不会对源站服务带来任何安全风险和威胁。关于第三方扫描工具对于网站的端口检测,需以源站公网IP开放的端口为准。