腾讯云 Web 应用防火墙(Web Application Firewall,WAF)是一款基于 AI 的一站式 Web 业务运营风险防护方案。通过 AI+规则双引擎识别恶意流量,保护网站安全,提高 Web 站点的安全性和可靠性。通过 BOT 行为分析,防御恶意访问行为,保护网站核心业务安全和数据安全。 腾讯云 WAF 提供两种类型的云上 WAF,SaaS 型 WAF 和负载均衡型 WAF,两种 WAF 提供的安全防护能力基本相同,接入方式不同。
SaaS 型 WAF 通过 DNS 解析,将域名解析到 WAF 集群提供的 CNAME 地址上,通过 WAF 配置源站服务器 IP,实现域名恶意流量清洗和过滤,将正常流量回源到源站,保护网站安全。负载均衡型 WAF 通过和腾讯云负载均衡集群进行联动,将负载均衡的 HTTP/HTTPS 流量镜像到 WAF 集群,WAF 进行旁路威胁检测和清洗,将用户请求的可信状态同步到负载均衡集群进行威胁拦截或放行,实现网站安全防护。腾讯云 WAF 可以有效防御 SQL 注入、XSS 跨站脚本、木马上传、非授权访问等 OWASP 攻击。此外还可以有效过滤 CC 攻击、提供 0day 漏洞补丁、防止网页篡改等,通过多种手段全方位保护网站的系统以及业务安全
相关文档
Web 应用防火墙产品概述
下面T-Sec Web 应用防火墙简称waf
那么我们就用腾讯云saas防火墙演示
WAF产品优势
购买waf需要考虑以下原因
1.服务器在什么地方?
2.服务区域在哪里?
3.网站是否备案并且接入腾讯云?(境外不需要,境内强制备案并且接入腾讯云)
4.网站业务大小
支持的地区:腾讯云目前的对外机房的地区
以我服务器举列子
那么这次就用香港waf来说一下吧
那么我就用香港的轻量应用服务器作为服务器源站
waf活动还是比较多的
Web应用防火墙 3折特惠体验 (tencent.com)
Web应用防火墙 特邀试用活动 (tencent.com)
等等
购买完成登录控制台
SAAS接入教程
点击添加域名 证书这里推荐 https://www1.hi.cn/
是是由“公钥认证服务(重庆)有限公司”运营的数字证书品牌项目,HiCA 诞生于 2022 年 7 月。提供的免费SSL, 180天, +ACME +通配符 +多域名 +IP +.onion...等等
安装教程
https://www1.hi.cn/docs/getting-started/acme.sh-installation
curl https://get.acme.sh -s | sh -s
大陆地区服务器
curl https://gitcode.net/cert/cn-acme.sh/-/raw/master/install.sh?inline=false -s | sh -s
登录解析商控制台 以DNSPod为例登录服务器终端
显示OK就安装成功了
以dnspod举例执行签发命令
export DP_Id="youdnspodID"
export DP_Key="youdnspodkey"
acme.sh --issue
--dns dns_dp
-d *.youdomain
-d youdomain
--days 150
--server https://acme.hi.cn/directory
其他验证方法请访问
https://www1.hi.cn/docs/category/%E5%9F%9F%E5%90%8D%E9%AA%8C%E8%AF%81 官方文档查看
签发成功 推荐HI.cn是因为 他们家泛解析是180天 是Sectigo的根 兼容性也比较强 还支持的windows7和windows xp的正常访问
如果有其他的 acme.sh 需要删除的哦 否则导致SSL无法签发
配置SSL和ssl跳转 SSL跳转目前是302
waf支持泛解析哦,目前大部分ssl的泛解析就是90天的 HI.cn 是180天 可以在一定程度上减少频繁更换SSL的周期哦
源站需要设置
WAF 通过反向代理的方式实现网站安全防护,用户访问 WAF 防护的域名时,会在 HTTP 头部字段中添加一条 X-Forwarded-For 记录,用于记录用户真实 IP,其记录格式为X-Forwarded-For:用户 IP
。如果用户访问域名存在多级代理,WAF 将记录靠近 WAF 上一条的代理服务器 IP。例如:
场景一:用户>WAF>源站,X-Forwarded-For 记录为:X-Forwarded-For:用户真实 IP
。
场景二:用户>CDN > WAF>源站,X-Forwarded-For 记录为:X-Forwarded-For:用户真实 IP,X-Forwarded-For:CDN 回源地址
。
具体数字参考 https://cloud.tencent.com/document/product/627/42441
否则可能获取到WAF的ip导致源站日志可能出现不准确的问题
设置完成点击高级配置
根据自己需求设置
waf目前支持的加密套件
加密套件 那么推荐推荐通用 涉及登录,安全,支付等等建议安全型
比如说我没设置TLS1.0那么TLS1.0访问就会
更严格的PCI DSS合规标准 (myssl.com)
PCI安全标准委员会官方发表博文将于2018年6月30号(最晚),也就是本月月底禁用早期SSL/TLS,并实施更安全的加密协议(TLS v1.1或更高版本,强烈建议使用TLS v1.2)以满足PCI数据安全标准的要求,从而保护支付数据。
也就是说支持TLS v1.0或更早的加密协议将会判定为不合规
那么支持TLS1.0就会
那么
根据需求设置好了之后
返回
查看CNAME记录 记住每一个域名的CNAME记录不一样!!!
登录解析控制台
刷新waf控制台出现正常防护就是接入成功
那么我们访问看看
这就接入好了
可以去myssl.com查看 你的网站
自己设置可能提示 所以说用平台默认的就好,除非比较厉害的大佬就当我没说吧
设置好的就是这样(根据需求设置不一定是这样)
有问题的情况下
那么可能需要发工单获取进一步了解了
waf规则默认比较严格 可能出现误拦截
那么我们这样设置
cc防护根据业务量决定
还可以看看bot什么的
还有贴心的攻击日志 更加方便我们查看和处理了 当用户被拦截可以通过uuid快速解决
然后去服务器安全组
删除80 和443端口去waf控制台
添加waf 回源ip
设置授权waf回源IP更加安全哦,访问服务器IP提示
访问域名就正常,完美让业务服务器隐藏起来了,也有效的避免了查源等攻击行为 导致业务不可用!
此外WAF和正常情况下防御一样需要购买DDOS高防包哦!
原创声明,本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 本站 删除。