操作流程

準備工作

1. 在購買Web應(yīng)用防火墻之前，請先注冊華為賬號并開通華為云。具體操作詳見注冊華為賬號并開通華為云、實名認證。

   如果您已開通華為云并進行實名認證，請忽略此步驟。

2. 請保證賬戶有足夠的資金，以免購買Web應(yīng)用防火墻失敗。具體操作請參見賬戶充值。
3. 請確保已為賬號賦予相關(guān)WAF權(quán)限。具體操作請參見創(chuàng)建用戶組并授權(quán)使用WAF。

   表1 WAF系統(tǒng)角色

   系統(tǒng)角色/策略名稱	描述	類別	依賴關(guān)系
   WAF Administrator	Web應(yīng)用防火墻服務(wù)的管理員權(quán)限。	系統(tǒng)角色	依賴Tenant Guest和Server Administrator角色。 Tenant Guest：全局級角色，在全局項目中勾選。 Server Administrator：項目級角色，在同項目中勾選。
   WAF FullAccess	Web應(yīng)用防火墻服務(wù)的所有權(quán)限。	系統(tǒng)策略	無。
   WAF ReadOnlyAccess	Web應(yīng)用防火墻的只讀訪問權(quán)限。	系統(tǒng)策略

步驟一：購買WAF云模式標準版

1. 登錄華為云管理控制臺。
2. 在控制臺頁面中選擇“ 安全與合規(guī) > Web應(yīng)用防火墻 WAF”，進入Web應(yīng)用防火墻控制臺。
3. 在頁面右上角，單擊“購買WAF實例”，進入購買頁面，參考表2配置，完成WAF實例的購買。

   表2 購買參數(shù)說明

   參數(shù)	示例	說明
   WAF模式	云模式	支持使用云模式-CNAME接入，可防護部署在華為云、非華為云上或云下的Web業(yè)務(wù)，防護對象為域名。
   計費模式	包年/包月	預(yù)付費模式，按訂單的購買周期計費，適用于可預(yù)估資源使用周期的場景，價格比按需計費模式更優(yōu)惠。
   區(qū)域	華北-北京四	根據(jù)防護業(yè)務(wù)的所在區(qū)域就近選擇購買的WAF區(qū)域。
   版本規(guī)格	標準版	可防護中小型網(wǎng)站。

4. 確認參數(shù)配置無誤后，在頁面右下角單擊“立即購買”。
5. 確認訂單詳情無誤后，閱讀并勾選《Web應(yīng)用防火墻免責(zé)聲明》，單擊“去支付”，完成購買操作。
6. 進入“付款”頁面，選擇付款方式進行付款。

步驟二：將防護網(wǎng)站添加到WAF

1. 在左側(cè)導(dǎo)航樹中，選擇“網(wǎng)站設(shè)置”，進入“網(wǎng)站設(shè)置”頁面。
2. 在網(wǎng)站列表左上角，單擊“添加防護網(wǎng)站”。
3. 選擇“云模式-CNAME接入”，并單擊“開始配置”。
4. 在“添加防護網(wǎng)站”頁面，完成如下必要參數(shù)配置，其余參數(shù)保持默認值即可。參數(shù)說明請參見表3。
   圖1 添加域名
   

   表3 必要參數(shù)說明

   參數(shù)	示例	說明
   防護域名	www.example.com	需要添加到WAF進行防護的域名。
   防護端口	標準端口	需要防護的域名對應(yīng)的業(yè)務(wù)端口。 配置80/443端口，在下拉框中選擇“標準端口”。
   服務(wù)器配置	對外協(xié)議：HTTP 源站協(xié)議：HTTP 源站地址：IPv4 XXX.XXX.1.1 源站端口：80	服務(wù)器地址的配置。包括對外協(xié)議、源站協(xié)議、源站地址、源站端口和權(quán)重。 對外協(xié)議：客戶端請求訪問服務(wù)器的協(xié)議類型。包括“HTTP”、“HTTPS”兩種協(xié)議類型。 源站協(xié)議：Web應(yīng)用防火墻轉(zhuǎn)發(fā)客戶端請求的協(xié)議類型。包括“HTTP”、“HTTPS”兩種協(xié)議類型。 源站地址：客戶端訪問的網(wǎng)站服務(wù)器的 公網(wǎng)IP 地址（一般對應(yīng)該域名在DNS服務(wù)商處配置的A記錄）或者域名（一般對應(yīng)該域名在DNS服務(wù)商處配置的CNAME）。支持以下兩種IP格式： IPv4，例如：XXX.XXX.1.1 IPv6，例如：fe80:0000:0000:0000:0000:0000:0000:0000 源站端口：WAF轉(zhuǎn)發(fā)客戶端請求到服務(wù)器的業(yè)務(wù)端口。 權(quán)重： 負載均衡 算法將按權(quán)重將請求分配給源站。
   已使用七層代理	否	確認WAF前是否使用七層代理。七層代理為使用了DDoS高防（七層代理）、 CDN 、云加速等Web代理產(chǎn)品。 是：在WAF前使用了DDoS高防（七層代理）、CDN、云加速等Web代理產(chǎn)品。 使用七層代理后，WAF將從Header頭中的相關(guān)字段獲取用戶真實客戶端IP。如果WAF前使用的是華為云DDoS高防，要獲取客戶端真實IP，需要在域名基本信息頁面的“流量標識”欄，將“IP標記”配置為“$remote_addr詳細操作請參見”配置攻擊懲罰的流量標識。 在WAF前使用代理時，不能切換為“Bypass”工作模式。如何切換工作模式請參考切換防護模式。 否：沒有使用七層代理。

5. 單擊“下一步”，域名的基礎(chǔ)信息配置完成。
   圖2 基礎(chǔ)信息配置完成
   
6. 根據(jù)界面提示，完成“放行回源IP”和“本地驗證”。
7. 完成“DNS解析”。

   到該域名的DNS服務(wù)商處，配置防護域名的別名解析，具體操作請咨詢您的域名服務(wù)提供商。

   以下為華為云DNS的CNAME綁定方法，僅供參考。如與實際配置不符，請以各自域名服務(wù)商的信息為準。

   1. 在圖2中復(fù)制WAF提供的CNAME值。
   2. 單擊頁面左上方的，選擇“網(wǎng)絡(luò) > 云解析服務(wù) DNS”。
   3. 在左側(cè)導(dǎo)航欄中，選擇“公網(wǎng)域名”，進入“公網(wǎng)域名”頁面。
   4. 在目標域名所在行的“操作”列，單擊“管理解析”，進入“解析記錄”頁面。
   5. 在目標記錄集的所在行“操作”列，單擊“修改”。
   6. 在彈出的“修改記錄集”對話框中修改記錄值。
      • “主機記錄”：在WAF中配置的域名。
      • “類型”：選擇“CNAME-將域名指向另外一個域名”。
      • “線路類型”：全網(wǎng)默認。
      • “TTL(秒)”：一般建議設(shè)置為5分鐘，TTL值越大，則DNS記錄的同步和更新越慢。
      • “值”：修改為7.a中已復(fù)制的WAF CNAME地址。
      • 其他的設(shè)置保持不變。
   7. 單擊“確定”，完成DNS配置，等待DNS解析記錄生效。

步驟三：配置CC攻擊防護攔截大流量高頻攻擊

您可以配置以下CC規(guī)則，當一個IP在30秒內(nèi)訪問當前域名下任意路徑的次數(shù)超過1000次，則封禁該IP的請求10個小時。該規(guī)則可以作為一般中小型站點的預(yù)防性配置。

1. 在左側(cè)導(dǎo)航樹中，選擇“防護策略”，進入“防護策略”頁面。
2. 單擊目標策略名稱，進入目標策略的防護配置頁面。
3. 選擇“CC攻擊防護”配置框，開啟CC攻擊防護策略。

   ：開啟狀態(tài)。

   ：關(guān)閉狀態(tài)。

4. 在“CC攻擊防護”規(guī)則配置列表左上方，單擊“添加規(guī)則”，在彈出的對話框中，參考如圖3所示進行配置。
   示例中僅解釋必要參數(shù)，其余大多數(shù)配置可保留默認值。必要參數(shù)說明請參見表4。

   圖3 配置CC防護規(guī)則
   

   表4 必要參數(shù)說明

   參數(shù)	示例	參數(shù)說明
   限速模式	“源限速 > IP限速”	“源限速”：對源端限速，如某IP（或用戶）的訪問頻率超過限速頻率，就會對該IP（或用戶）的訪問限速。 “IP限速”：根據(jù)IP區(qū)分單個Web訪問者。 “用戶限速”：根據(jù)Cookie鍵值或者Header區(qū)分單個Web訪問者。 “其他”：根據(jù)Referer（自定義請求訪問的來源）字段區(qū)分單個Web訪問者。 說明： 選擇“其他”時，“Referer”對應(yīng)的“內(nèi)容”填寫為包含域名的完整URL鏈接，僅支持前綴匹配和精準匹配的邏輯，“內(nèi)容”里不能含有連續(xù)的多條斜線的配置，如“///admin”，WAF引擎會將“///”轉(zhuǎn)為“/”。 例如：如果用戶不希望訪問者從“www.test.com”訪問網(wǎng)站，則“Referer”對應(yīng)的“內(nèi)容”設(shè)置為“http://www.test.com”。 “目的限速”：選擇該參數(shù)時，可選擇以下限速類型進行配置： “策略限速” ：當多個域名共用一個策略時，該策略下對應(yīng)的所有域名請求次數(shù)合并限速(不區(qū)分訪問IP)；泛域名防護場景時，該泛域名對應(yīng)的所有子域名的請求次數(shù)合并限速(不區(qū)分訪問IP)。 “域名限速”：每個域名單獨統(tǒng)計總請求次數(shù)，超過設(shè)定值則觸發(fā)防護動作(不區(qū)分訪問IP)。 “URL限速”：每個URL請求單獨統(tǒng)計請求次數(shù)，超過設(shè)定值則觸發(fā)防護動作(不區(qū)分訪問IP)。
   限速條件	“字段”：路徑 “邏輯”：前綴為 “內(nèi)容”：/login.php	單擊“添加條件”增加新的條件，至少配置一項條件，最多可添加30項條件，多個條件同時滿足時，本條規(guī)則才生效。 字段 子字段：當“字段”選擇IPv4、IPv6、Cookie、Header、Params時，請根據(jù)實際需求配置子字段。 須知： 子字段的長度不能超過2048字符。 邏輯：在“邏輯”下拉列表中選擇需要的邏輯關(guān)系。 內(nèi)容：輸入或者選擇條件匹配的內(nèi)容。
   限速頻率	1,000次30秒 全局計數(shù)	單個Web訪問者在限速周期內(nèi)可以正常訪問的次數(shù)，如果超過該訪問次數(shù)，Web應(yīng)用防火墻服務(wù)將根據(jù)配置的“防護動作”來處理。 “全局計數(shù)”：根據(jù)不同的限速模式，將已經(jīng)標識的請求在一個或多個WAF節(jié)點上的計數(shù)聚合。默認為每WAF節(jié)點單獨計數(shù)，開啟后本區(qū)域所有節(jié)點合并計數(shù)。“IP限速”不能滿足針對某個用戶進行限速，需要選擇“用戶限速”或“其他”的Referer限速，此時標識的請求可能會訪問到不同的WAF節(jié)點，開啟全局計數(shù)后，將請求訪問的一個或多個WAF節(jié)點訪問量聚合，達到全局統(tǒng)計的目的。
   防護動作	阻斷	當訪問的請求頻率超過“限速頻率”時，可設(shè)置以下防護動作： 人機驗證：表示超過“限速頻率”后彈出驗證碼，進行人機驗證，完成驗證后，請求將不受訪問限制。人機驗證目前支持英文。 說明： 云模式- ELB 接入不支持該防護動作。 攔截：表示超過“限速頻率”將直接攔截。 動態(tài)攔截：上一個限速周期內(nèi)，請求頻率超過“限速頻率”將被攔截，那么在下一個限速周期內(nèi)，請求頻率超過“放行頻率”將被攔截。 僅記錄：表示超過“限速頻率”將只記錄不攔截。 JS挑戰(zhàn)：表示W(wǎng)AF向客戶端返回一段正常瀏覽器可以自動執(zhí)行的JavaScript代碼。如果客戶端正常執(zhí)行了JavaScript代碼，則WAF在一段時間（默認30分鐘）內(nèi)放行該客戶端的所有請求（不需要重復(fù)驗證），否則攔截請求。 說明： 云模式-ELB接入不支持該防護動作。 請求的Referer跟當前的Host不一致時，JS挑戰(zhàn)不生效。
   阻斷時長	36,000秒	當“防護動作”選擇“阻斷”時，可設(shè)置阻斷后恢復(fù)正常訪問頁面的時間。

5. 確認參數(shù)配置無誤后，單擊“確定”。

相關(guān)信息

• 關(guān)于CC攻擊防護更多詳細的操作，請參見配置CC攻擊防護規(guī)則防御CC攻擊。
• 如果您的業(yè)務(wù)部署在華為云上，規(guī)模為大型企業(yè)網(wǎng)站，且對業(yè)務(wù)穩(wěn)定性有較高的安全防護需求，需要防護對象為域名/IP，您可以采用“云模式-ELB接入”的接入方式，具體操作可參考如下方法：
  1. 購買WAF云模式標準版。

     購買實例后，提交工單申請開通“云模式-ELB接入”。

  2. 將網(wǎng)站接入WAF防護（云模式-ELB接入）。
  3. 配置CC攻擊防護攔截大流量高頻攻擊。
• 如果您的業(yè)務(wù)部署在華為云上，規(guī)模為大型企業(yè)網(wǎng)站，且基于業(yè)務(wù)特性具有制定個性化防護規(guī)則的安全需求，需要防護對象為域名/IP，您可以采用“獨享模式”的接入方式，具體操作可參考如下方法：
  1. 獨享模式在部分區(qū)域已經(jīng)停售，詳見獨享模式停售通知。如果您已購買獨享模式的WAF，可跳過該步驟繼續(xù)使用。
  2. 將網(wǎng)站接入WAF防護（獨享模式）。
  3. 配置CC攻擊防護攔截大流量高頻攻擊。