使用独享型接入方式接入WAF前,需要先添加防护对象。
前提条件
已购买WAF独享引擎实例,且当前实例支持接入的防护对象数量未超过限制。
操作步骤
登录天翼云控制中心。
单击页面顶部的区域选择框,选择区域。
在产品服务列表页,选择“安全 > Web应用防火墙(原生版)”。
进入到云WAF控制台,在左侧导航栏选择“接入管理”,选择“独享型接入”页签。
点击“添加防护对象”进入信息配置页,依次配置“防护对象”、“服务器配置”、“代理情况”、“负载均衡策略”等信息。
配置项说明如下:
配置项 说明 选择实例 单击“选择实例”,在弹出的选择实例对话框中,找到目标实例,单击操作列的“选择”。 防护对象 填写防护网站的域名或IP。
域名:支持添加精确域名和泛域名。
- 精确域名:支持多级别精确域名,例如主域名ctyun.cn、子域名www.ctyun.cn等。
- 泛域名:支持使用泛域名格式,例如*.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。
说明
- 使用泛域名后,WAF将自动匹配该泛域名对应的所有子域名,例如,*.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。
- 泛域名不支持匹配对应的主域名,例如*.ctyun.cn不能匹配ctyun.cn。
- 如果同时存在精确域名和泛域名,则精确域名的转发规则和防护策略优先生效。
IP:支持防护公网IP、私网IP。
说明
如果此处配置私网IP,请确保WAF到源站的网络路径是可访问的,以便于WAF能够对流量进行监控。
防护对象名称 自定义防护网站的显示名称。 服务器配置 单击“添加一个服务器端口组”,弹出新增服务器端口组窗口。
选择网站使用的协议类型以及对应的转发服务端口:
- 协议类型:HTTP/HTTPS。
端口:选中协议后,系统会对应设置默认端口,HTTP协议默认为80端口,HTTPS协议默认为443端口。
用户也可自定义选择其他端口,可选类型:
- 标准端口:80、8080;443、8443。
- 非标端口:除以上标准端口以外的端口。
说明
- 如果防护域名使用非标准端口,请查看WAF支持的端口。
- WAF通过此处添加的端口为网站提供流量的接入与转发服务,网站域名的业务流量只通过已添加的服务端口进行转发。对于未添加的端口,WAF不会转发任何该端口的访问请求流量到源站服务器,因此这些端口的启用不会对源站服务器造成任何安全威胁。
- 源站地址:设置网站的源站服务器地址,支持IP地址格式和域名格式。完成接入后,WAF将过滤后的访问请求转发到此处设置的服务器地址。设置说明如下:
IP地址格式:填写源站的私网IP地址。
- 支持填写多个IP地址,每填写一个IP地址,按回车进行确认。
- 最多支持添加40个源站IP或40个服务器域名。
- 支持同时配置IPv4和IPv6地址。
说明
如果此处配置私网IP,请确保WAF到源站的网络路径是可访问的,以便于WAF能够对流量进行监控。
- 域名格式:一般对应该域名在DNS服务商处配置的CNAME。使用域名格式时, WAF会将客户端请求转发到回源域名解析出来的IP地址。
权重:当负载均衡算法为“加权轮询”时生效,所有请求将此处配置的权重轮流分配给源站服务器,权重越大,回源到该源站的几率越高。
不输入则视同为最低权重1。
当输入值为0时,业务不会回源到该站点。
取值范围:0~100的正整数。
说明
当健康检查发现站点出现问题时,剩余站点将按照剩余配置权重进行动态比例变化后的结果进行回源转发。
证书配置 若选择HTTPS协议,还需要上传证书,且证书必须正确、有效,才能保证WAF正常防护网站的HTTPS协议访问请求。
- 点击“上传证书”,进入服务器端证书配置页面。
选择证书类型,支持“通用证书”和“国密证书”。
- 配置证书。支持证书选择、手动填写、文件上传方式:
- 证书选择:如您使用了证书管理服务,可通过下拉框选择已有证书。
- 手动填写:填写证书名称,并将与域名关联的证书文件和私钥文件的文本内容的PEM编码分别复制粘贴到证书文件和证书私钥中。
- 文件上传:填写证书名称,点击“上传”,将与域名关联的证书文件和私钥文件上传至平台中。
说明
- 手动填写需要将证书和私钥的PEM编码内容填入。
- 上传证书时,如果证书是.PEM/.CER/.CRT的后缀,可以直接上传;私钥文件若为.KEY/.PEM的后缀,请确保内容格式为PME编码,即可上传。
高级设置 选择HTTPS后,还支持启用高级设置功能。
HTTPS强制跳转:开启HTTPS的强制跳转,HTTPS强制跳转表示将客户端的HTTP请求强制转换为HTTPS请求,默认跳转到443端口。
如果您需要强制客户端使用HTTPS请求访问网站以提高安全性,则开启该设置。
说明
- 只有在未选中HTTP协议时,支持开启该设置。
- 请确保网站支持HTTPS业务再开启该设置。开启该设置后,部分浏览器将被强制设置为使用HTTPS请求访问网站。
- TLS协议版本:支持TLS1.0、TLS1.1、TLS1.2。
SSL解析方式:支持“单向认证”和“双向认证”。
说明
国密证书暂不支持双向认证。
健康检查 开启健康检查将自动移除对失效源站的转发策略,当失效源站恢复健康后将重新加入转发列表。
开启后,还需配置健康检查策略。
代理情况 选择网站业务在接入WAF前是否开启了其他代理服务(例如DDoS高防、CDN等),按实际情况选择:
- 否:表示WAF收到的业务请求来自发起请求的客户端。WAF直接获取与WAF建立连接的IP作为客户端IP。
是:表示WAF收到的业务请求来自其他代理服务转发,而非直接来自发起请求的客户端。
为了保证WAF可以获取真实的客户端IP进行安全分析,需要进一步设置“源IP获取方式”。
源IP获取方式:系统默认设置为“从Socket连接中获取”,您也可按实际情况,创建一个有序的判定列表,系统将从列表的第一项开始查找,若不存在或者是非法的IP格式,则尝试下一条。
其中检测末项固定为“从Socket连接中获取”。获取方式列表最多可添加5条规则,可选项如下:
- 从Socket连接中获取
- 从X-Fowarded-For连接中获取倒数第x层代理
- 从HTTP头X-Client-IP中获取
负载均衡策略 当设置了多个源站服务器地址时,需设置多源站服务器间的负载均衡算法。可选项如下:
- 轮询:将所有请求轮流分配给不同的源站服务器。
- IP Hash:将来自同一个IP的请求定向分配给同一个源站服务器。
加权轮询:根据同一组回源地址内配置的权重进行加权回源,权重越大,回源到该源站的几率越高。
设置生效后,WAF将根据设置的负载均衡算法向多个源站地址分发回源请求,实现负载均衡。
流量标记 开启流量标记功能,WAF在转发客户端请求到源站服务器时,通过在回源请求头部添加标记字段,标记该请求经过WAF转发,可以帮助源站判断请求来源。
如果请求中存在指定标记字段,则为WAF检测后的正常请求,放行该请求;如果请求中不存在指定标记字段,则为攻击者请求,拦截该请求。
单击“添加一个标记”,添加流量标记。最多支持添加5个标记字段。
支持如下标记类型:
- 自定义Header,配置自定义Header名、Header值。
- 客户端真实源IP,配置客户端真实源IP所在的HTTP Header名。
- 客户端真实源端口,配置客户端真是源端口所在的HTTP Header名。
注意
请勿填写标准的HTTP头部字段,否则会导致标准头部字段内容被自定义的字段值覆盖。
回源长连接 功能开启后,支持回源长连接功能,最大支持1000个回源长连接。
开启“回源长连接”后,还需配置“空闲连接超时时间”,默认值为10秒,最多支持60秒。
- 功能关闭后,将不支持WebSocket。
超时配置 开启超时配置,可以配置如下超时时间:
- 连接超时时间:WAF转发客户端请求时,与源站建立连接的超时时间。
- 读连接超时时间:WAF等待源站响应的超时时间。
- 写连接超时时间:WAF向源站发送请求的超时时间。
以上默认值均为60秒,最短支持10秒,最长支持1200秒。
备注 防护对象的描述信息,可以自定义。 配置完成后单击“保存”,返回独享型接入页面。该网站的WAF防护开关默认开启。
后续配置
添加防护对象后,网站访问流量将经过WAF保护,您还需要完善以下防护配置,才能实现针对性的网站防护。
| 配置 | 说明 | 相关文档 |
|---|---|---|
| Web基础防护 | 覆盖OWASP常见安全威胁,支持SQL注入、XSS、文件包含、远程命令执行、目录穿越、文件上传、CSRF、SSRF、命令注入、模板注入、XML实体注入等攻击检测和拦截。 | Web基础防护 |
| CC防护 | CC防护支持默认防护策略及灵活的自定义防护策略。自定义策略支持依托精准访问控制规则进行特征识别,并根据访问源IP/ SESSION控制访问频率,恶意流量通过阻断、人机验证等处置手段有效缓解CC攻击。 | CC防护 |
| BOT防护 | 提供公开类型、协议特征、自定义会话特征等多种判定维度的防护策略,支持根据BOT会话行为特征设置BOT对抗策略,对BOT行为进行处理,有效防护搜索引擎、扫描器、脚本工具等爬虫攻击。 | BOT防护 |
| 精准访问控制 | 支持基于IP、URL、Referer、User-Agent等请求特征进行多维度组合,定义访问匹配条件过滤访问请求,实现针对性的攻击阻断。 | 精准访问控制 |
| IP黑白名单 | 支持添加始终拦截与始终放行的黑白名单IP/IP地址段,增强防御准确性。 | IP黑白名单 |
| 地域访问控制 | 支持针对地理位置的黑名单封禁,可指定需要封禁的国家、地区,阻断该区域的来源IP的访问。 | 地域访问控制 |
| 防敏感信息泄露 | 支持对网站返回的内容进行过滤(拦截、脱敏展示),过滤内容包括敏感信息、关键字和响应码。 | 防敏感信息泄露 |
| 网页防篡改 | 通过缓存页面和锁定访问请求,可避免页面被恶意篡改而带来的负面影响,对重点静态页面进行保护。 | 网页防篡改 |
| Cookie防篡改 | 通过对Cookie中的字段增加完整性校验保护,WAF会新增一个Cookie字段用于篡改校验。 | Cookie防篡改 |
| 隐私屏蔽 | 通过设置隐私屏蔽规则,可屏蔽用户隐私信息,避免用户隐私信息出现在系统记录的日志中。 | 隐私屏蔽 |
其他配置
证书上传
可直接将证书文件、证书私钥文件直接上传至服务中,将证书内容填写至系统,实现上传。
配置项说明如下:
| 参数 | 描述 |
|---|---|
| 证书名称 | 必填,填写证书名称。 |
| 证书文件 | 必填,填写证书文件。证书文件用于回源时对会话进行加密。 |
| 证书私钥 | 必填,填写证书私钥。证书私钥用于解密用户的请求。 |
支持的证书加密套件请参见WAF支持的加密套件。
回源方式说明
根据您的业务场景,WAF提供灵活的回源方式,用户可以选择HTTP回源,也可选择HTTPS回源,不同的回源方式设置如下。
方式一:使用HTTP进行回源
客户端访问网站和WAF转发客户端请求到源站均使用HTTP协议进行传输。方式二:使用HTTPS回源
客户端访问网站和WAF转发客户端请求到源站均使用HTTPS协议进行传输。
方式三:同时使用HTTP和HTTPS回源
客户端访问网站时,WAF随机使用HTTP协议或HTTPS协议转发客户端请求到源站。
配置示例
示例一:同一域名有多个防护端口
配置场景:需要防护的域名为www.ctyun.cn,需要防护的端口有80/443、8080/8443、5443。
配置如下:需要添加3个服务器端口组。
示例二:客户端请求转发到不同的源站服务器
配置场景:需要防护的域名为www.ctyun.cn,源站服务器有多个IP地址。
配置如下:服务器端口组中,源站地址配置多个IP地址。示例三:HTTP/HTTPS分别转发
客户端访问网站使用HTTP协议时,WAF也使用HTTP协议转发客户端请求到源站。
客户端访问网站使用HTTPS协议时,WAF也使用HTTPS协议转发客户端请求到源站。
示例四:HTTP/HTTPS随机转发
客户端访问网站时,WAF随机使用HTTP协议或HTTPS协议转发客户端请求到源站。
支持协议
目前支持http、https、websocket,其他协议会导致接入不通。
