网站接入waf，独享模式

步骤一：添加防护网站（独享模式）_Web应用防火墙 WAF_用户指南_网站设置_网站接入WAF（独享模式）_华为云

前提条件

已购买WAF独享引擎实例。

1. 单击管理控制台左上角的，选择区域或项目。
2. 单击页面左上方的，选择“安全与合规 > Web应用防火墙 WAF”。
3. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。
4. 在网站列表左上角，单击“添加防护网站”。
5. 选择“独享模式”并单击“确定”。
6. 配置“域名信息”，如图1所示

7、源站配置，如图2所示，参数说明如表1所示。

 8、高级配置

选择“是否已使用代理”。

• 七层代理：使用了DDoS高防（七层代理，改变源和目的IP）、CDN、云加速等Web代理产品。
• 四层代理：使用了DDoS高防（四层转发，不改变源和目的IP）等Web代理产品。
• 无代理：未使用任何代理产品。

选择“七层代理”后，WAF将从配置的Header头中字段中获取用户真实访问IP，详见配置Header字段转发。

选择“策略配置”：默认为“系统自动生成策略”，您也可以选择已创建的防护策略或在域名接入后根据防护需求配置防护规则。

系统自动生成的策略说明如下：

• Web基础防护（“仅记录”模式、常规检测）

  仅记录SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击行为。

• 网站反爬虫（“仅记录”模式、扫描器）

  仅记录漏洞扫描、病毒扫描等Web扫描任务，如OpenVAS、Nmap的爬虫行为。

• “仅记录”模式：发现攻击行为后WAF只记录攻击事件不阻断攻击。

9、单击“确认”，添加域名完成。

可根据界面提示，完成配置负载均衡、为弹性负载均衡绑定弹性公网IP和放行独享引擎回源IP的操作，建议单击“稍后”。

 

生效条件

防护网站的初始“接入状态”为“未接入”，配置完负载均衡以及为弹性负载均衡绑定弹性IP后，当访问请求到达该网站的WAF独享引擎时，该防护网站的接入状态将自动切换为“已接入”。

导入新证书

当“对外协议”设置为“HTTPS”时，可以导入新证书。

1. 单击“导入新证书”，打开“导入新证书”对话框。然后输入“证书名称”，并将证书内容和私钥内容粘贴到对应的文本框中。

Web应用防火墙将对私钥进行加密保存，保障证书私钥的安全性。

WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请参考表2在本地将证书转换为PEM格式，再上传。

说明：

• 执行openssl命令前，请确保本地已安装openssl。
• 如果本地为Windows操作系统，请进入“命令提示符”对话框后，再执行证书转换命令。

10、网站以“独享模式”成功接入WAF后，建议您在源站服务器上配置只放行独享引擎回源IP的访问控制策略，防止黑客获取源站IP后绕过WAF直接攻击源站，以确保源站安全、稳定、可用。