华为云 Web 应用防火墙配置的全流程与关键要点:
配置全流程
- 登录与选择服务:
- 登录华为云管理控制台。
- 单击管理控制台左上角的图标,选择区域或项目。
- 单击页面左上方的图标,选择 “安全与合规> Web 应用防火墙 WAF”。
- 接入网站:如果是首次使用,需要先将网站接入 WAF。根据网站的实际情况,选择云模式或独享模式接入。
- 配置防护策略:
- 在左侧导航树中,选择 “网站设置”,进入 “网站设置” 页面。
- 在目标域名所在行的 “防护策略” 栏中,单击 “已开启 N 项防护”,进入 “防护策略” 页面。
- Web 基础防护:确认 “Web 基础防护” 的 “状态”,单击 “高级设置”,在 “防护配置” 页面,开启 “常规检测” 和 “Webshell 检测” 开关。
- 网站反爬虫:在 “网站反爬虫” 配置框中,可更改网站反爬虫的 “状态”,单击 “BOT 设置”,进入网站反爬虫规则配置页面。在 “特征反爬虫” 页面,根据业务场景,开启合适的防护功能;也可选择 “JS 脚本反爬虫” 页签,根据业务需求更改 JS 脚本反爬虫的 “状态” 和 “防护模式”,并配置相应规则。
- CC 攻击防护:确认 “CC 攻击防护” 的 “状态” 为 “开启”,在 “CC 防护” 规则配置页面左上角,单击 “添加规则” 来设置相关规则,如 IP 限速和人机验证等。
- 配置精准访问防护规则(可选):
- 在 “防护策略” 页面的 “精准访问防护” 配置框中,更改 “状态”,单击 “自定义精准访问防护规则”,进入精准访问防护规则配置页面。
- 设置 “检测模式”,如短路检测或全检测。
- 在页面左上角单击 “添加规则”,根据需求添加精准访问防护规则,设置 “防护动作”“攻击惩罚”“条件列表”“优先级” 等参数。
- 配置黑白名单(可选):
- 在 “防护策略” 页面的 “黑白名单设置” 配置框中,更改 “状态”,单击 “自定义黑白名单设置规则”,进入黑白名单设置规则页面。
- 在黑白名单设置规则页面左上角,单击 “添加规则” 来添加相应的黑白名单规则。
关键要点
- 明确业务需求和风险状况:在配置防火墙前,需清楚了解网站的业务类型、访问特点以及可能面临的安全风险,以便有针对性地配置防护策略。例如,电商网站可能更关注 CC 攻击防护和精准访问防护以保障交易安全;资讯类网站则可能对反爬虫策略有较高要求。
- 合理选择检测模式和防护动作:精准访问防护规则中的检测模式,短路检测能快速拦截符合条件的请求,适合明确的攻击场景;全检测则更全面,但可能会增加检测时间。防护动作如阻断、放行、仅记录,需根据实际情况谨慎选择。对于确定的攻击行为,可选择阻断;对于不确定是否为正常访问的请求,先设置为仅记录,观察一段时间后再做决策。
- 注意规则的优先级和顺序:无论是精准访问防护规则还是其他防护规则,多条规则间有先后匹配顺序。合理设置优先级,确保重要的规则先被匹配,以获得最优的防护效果。如果多条精准访问控制规则的优先级取值相同,则 WAF 将根据添加防护规则的先后顺序进行排序匹配。
- 关注引用表的使用:引用表可用于多个防护域名,能提高规则配置的效率和复用性。在设置条件列表时,若选择特定逻辑关系,如 “包含任意一个”“不包含所有” 等,可通过引用表来设置匹配内容。
- 考虑 CDN 等相关服务的影响:如果网站接入了 CDN 服务,使用 JS 脚本反爬虫功能时要谨慎。由于 CDN 缓存机制,可能导致该功能无法达到预期效果,甚至造成页面访问异常。
- 及时查看防护日志和效果:配置完成后,要定期查看 “防护事件” 页面的防护日志,了解防火墙的工作情况,检查是否存在误拦截或漏拦截的情况。根据实际防护效果,及时调整和优化防护策略。
