华为云WAF高效配置与防护实战指南
华为云Web应用防火墙(WAF)通过多层次防护策略与灵活部署模式,可高效抵御SQL注入、XSS攻击、CC攻击等Web安全威胁。以下从配置流程、核心功能、实战技巧三个维度展开说明:
一、快速部署与基础配置
购买与接入
选择模式:根据业务场景选择云模式(CNAME/ELB接入)或独享模式:
云模式-CNAME接入:适用于域名防护,支持华为云、非华为云及云下业务,通过DNS解析将流量导向WAF集群。
云模式-ELB接入:适用于华为云上业务,通过弹性负载均衡(ELB)转发流量至WAF,支持旁路检测模式,避免流量转发故障影响业务。
独享模式:适用于高安全需求场景,支持域名或IP接入,提供独立防护引擎,支持非标准端口防护。
配置步骤:
登录华为云控制台,进入“安全与合规 > Web应用防火墙WAF”。
购买WAF实例,选择区域、模式及版本(标准版/专业版/企业版)。
添加防护域名或IP,配置协议(HTTP/HTTPS)、源站地址及端口。
修改DNS解析(CNAME模式)或ELB配置(ELB模式),将流量导向WAF。
基础防护开启
Web基础防护:在“防护策略”页面开启常规检测与Webshell检测,拦截常见攻击特征。
CC攻击防护:配置IP限速或Cookie限速规则,限制高频访问请求。例如,对单个IP设置每秒10次请求阈值。
黑白名单:放行可信IP段(如WAF回源IP),拦截恶意IP或IP段。
二、核心防护功能实战
精准访问控制
路径防护:通过正则表达式匹配URL路径,拦截特定接口攻击。例如,阻断/admin?id=.*的恶意扫描。
参数防护:检测GET/POST参数中的SQL注入或XSS特征,支持模糊匹配与自定义规则。
文件上传防护:限制上传文件类型(如仅允许.jpg、.pdf),拦截Webshell上传行为。
高级防护策略
动态诱饵防护:开启后,WAF自动生成虚假漏洞页面,诱捕攻击者并记录其行为日志。
指纹特征防护:基于User-Agent、Referer等HTTP头字段识别自动化工具(如扫描器、爬虫),并进行限速或拦截。
一键限速规则:针对突发流量攻击,快速启用全局限速策略,缓解服务器压力。
日志与监控
日志配置:在“高级配置”中设置日志响应体字节长度(1-8192 Bytes),记录完整攻击请求与响应信息。
告警设置:通过云监控服务(CES)配置WAF指标异常告警,实时监控攻击流量、拦截次数等关键指标。
日志分析:使用日志服务(LTS)查询并分析WAF防护事件,优化防护规则。
三、实战技巧与优化建议
多层防护联动
DDoS高防+WAF:将域名解析至DDoS高防,再通过CNAME指向WAF,实现DDoS攻击清洗与Web攻击拦截的双重防护。
CDN+WAF:CDN加速流量转发至WAF,提升网站响应速度的同时增强安全防护能力。
ELB健康检查:若后端服务器配置多个源站地址,建议搭配ELB使用,通过健康检查机制自动剔除故障节点。
性能优化
连接超时设置:独享模式或云模式专业版支持手动调整连接超时、读超时、写超时时长(默认30秒),适应不同业务需求。
非标准端口配置:防护非80/443端口业务时,勾选“非标准端口”选项,并在端口列表中选择目标端口。
泛域名防护:若子域名对应服务器IP相同,可直接添加泛域名(如*.example.com)简化配置。
故障排查
523错误处理:若同一网站接入WAF多次导致523错误,需梳理流量图,保留一个防护配置并删除冗余配置。
DNS解析验证:本地使用telnet命令测试域名通断,确认WAF转发是否正常。例如:telnet example.com 443。
源站安全组配置:仅放行WAF回源IP段,防止黑客绕过WAF直接攻击源站。
四、典型场景配置示例
金融行业防护
需求:防护网上银行系统,抵御SQL注入、XSS攻击及CC攻击。
配置:
开启Web基础防护、CC攻击防护及动态诱饵防护。
配置精准访问规则,限制敏感接口(如/login、/transfer)的访问频率。
启用日志记录与CES告警,实时监控异常登录行为。
电商网站防护
需求:保障大促期间网站稳定运行,防止恶意爬虫抓取商品数据。
配置:
开启爬虫检测规则,拦截高频请求的爬虫IP。
配置CDN+WAF联动,提升网站响应速度与防护能力。
设置泛域名防护,统一管理多级子域名安全策略。
政府网站合规防护
需求:满足等保合规要求,防护Web应用漏洞与数据泄露风险。
配置:
开启Webshell检测与文件上传防护,防止后门植入。
配置参数防护规则,检测并拦截敏感信息泄露(如身份证号、手机号)。
定期生成WAF防护报告,作为等保合规审计依据。
