Web应用防火墙(原生版)支持接入负载均衡(ELB)实例,您可以为使用HTTP或HTTPS监听协议的ELB监听器开启WAF防护。WAF对进入监听器的应用层流量进行检测(不参与流量转发),您可根据自身应用需求设置相应的防护规则。
前提条件
该功能当前处于试用阶段,如需试用请通过天翼云控制台提工单进行申请。
已购买WAF SaaS版实例,且当前实例支持防护的ELB监听器个数未超过配额限制。各个版本支持的配额请参见产品规格。
约束限制
目前仅支持防护性能保障型的负载均衡实例,不支持经典型实例。
目前仅支持为HTTP/HTTPS监听器开启安全防护。
目前仅支持防护“武汉41”区域的ELB监听器。
在WAF控制台开启防护
登录天翼云控制中心。
单击页面顶部的区域选择框,选择区域。
在产品服务列表页,选择“安全 > Web应用防火墙(原生版)”。
进入到WAF控制台,在左侧导航栏选择“接入管理”,选择“云产品接入”页签。
单击“添加防护对象”进入添加防护对象页面,配置防护对象参数。
配置项 说明 ELB(负载均衡器) 单击“选择ELB(负载均衡器)”,弹出当前所在区域的ELB实例列表,找到目标ELB,单击操作列的“选择”。 监听器 单击“选择监听器”,弹出所选ELB实例下的监听器列表,找到目标监听器,单击操作列的“选择”。
说明
仅支持选择监听协议为HTTP、HTTPS的监听器。
防护对象名称 防护对象的名称,默认为“ELB名称:监听器名称”,支持自定义。 域名
(可选)填写所选监听器下的域名,可添加精确域名和泛域名:
精确域名:支持多级别精确域名,例如主域名ctyun.cn、子域名www.ctyun.cn等。
泛域名:支持使用泛域名格式,例如*.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。
说明
- 使用泛域名后,WAF将自动匹配该泛域名对应的所有子域名,例如,*.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。
- 泛域名不支持匹配对应的主域名,例如*.ctyun.cn不能匹配ctyun.cn。
- 如果同时存在精确域名和泛域名,则精确域名的转发规则和防护策略优先生效。
- 添加的域名必须通过工信部ICP备案,若未备案则无法添加。
备注 (可选)防护对象的描述信息,可以自定义。 配置完成后单击“确定”,返回云产品接入页面。
说明
ELB监听器接入WAF后,WAF防护开关默认“开启”,暂不支持在WAF控制台关闭防护。
在ELB控制台开启防护
请参见HTTP/HTTPS监听器开启安全防护(WAF防护)。
配置防护规则
ELB监听器接入WAF后,网站访问流量将经过WAF保护,默认开启Web基础防护规则,防护规则组默认选择“正常规则组”,防护动作默认选择“观察”。
监听器防护对象支持以下防护配置,您可以根据需要进行选择,实现有针对性的网站防护。
说明
监听器防护对象的防护动作只支持“观察”、“拦截”。
| 配置类型 | 配置模块 | 说明 | 相关文档 |
|---|---|---|---|
| 安全防护 | Web基础防护 | 覆盖OWASP常见安全威胁,支持SQL注入、XSS、文件包含、远程命令执行、目录穿越、文件上传、CSRF、SSRF、命令注入、模板注入、XML实体注入等攻击检测和拦截。 | Web基础防护 |
| CC防护 | CC防护支持默认防护策略及灵活的自定义防护策略。自定义策略支持依托精准访问控制规则进行特征识别,并根据访问源IP/ SESSION控制访问频率,恶意流量通过阻断、人机验证等处置手段有效缓解CC攻击。 | CC防护 | |
| 精准访问控制 | 支持基于IP、URL、Referer、User-Agent等请求特征进行多维度组合,定义访问匹配条件过滤访问请求,实现针对性的攻击阻断。 | 精准访问控制 | |
| IP黑白名单 | 支持添加始终拦截与始终放行的黑白名单IP/IP地址段,增强防御准确性。 | IP黑白名单 | |
| 地域访问控制 | 支持针对地理位置的黑名单封禁,可指定需要封禁的国家、地区,阻断该区域的来源IP的访问。 | 地域访问控制 | |
| 系统配置 | 隐私屏蔽 | 通过设置隐私屏蔽规则,可屏蔽用户隐私信息,避免用户隐私信息出现在系统记录的日志中。 | 隐私屏蔽 |
