域名接入

单独使用WAF配置指导

网站没有接入WAF前，DNS直接解析到源站的IP。网站接入WAF后，需要把DNS解析到WAF的CNAME，这样流量才会先经过WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。

本文介绍通过DNS配置模式接入WAF时，如何在已添加网站配置后，配置域名解析，实现业务接入。

“DDoS高防+WAF”联动，提升网站全面防护能力

“DDoS高防+WAF”组合可以对华为云、非华为云或云下的域名进行联动防护，同时防御DDoS攻击和Web应用攻击，确保业务持续可靠运行。

防御DDoS攻击：NTP Flood攻击、SYN Flood攻击、ACK Flood攻击、ICMP Flood攻击、HTTP Get Flood攻击等。
防御Web应用攻击：SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等。

“CDN+WAF”联动，提升网站防护能力和访问速度

“CDN+WAF”组合可以对华为云、非华为云或云下的域名进行联动防护，同时提升网站的响应速度和网站防护能力。

“独享WAF+7层ELB”联动，实现防护任意非标端口

如果您需要防护WAF支持的端口以外的非标端口，可参考本章节配置WAF的独享模式和7层ELB联动，实现任意端口业务的防护。

策略防护

Web基础防护功能最佳实践

从应用场景、防护策略、防护效果三个方面，介绍WAF对Web页面的攻击防护。

CC攻击防御最佳实践

基于Web应用防火墙实践编写，指导您在遭遇CC（Challenge Collapsar）攻击时，完成基于IP限速和基于Cookie字段识别的防护规则配置。

通过配置反爬虫防护策略阻止爬虫攻击

Web应用防火墙可以通过Robot检测（识别User-Agent）、网站反爬虫（检查浏览器合法性）和CC攻击防护（限制访问频率）三种反爬虫策略，帮您解决业务网站遭受的爬虫问题。

通过误报处理提升Web基础防护效果

网站接入WAF并开启Web基础防护后，WAF会根据您设置的Web基础防护规则检测、拦截命中规则的请求。

如果是业务的正常请求命中Web基础防护规则，被WAF误拦截，可能导致正常请求访问网站显示异常。此时，您可以通过误报处理使WAF不再拦截该请求，提升Web基础防护效果。

使用Postman工具模拟业务验证全局白名单规则

当防护网站成功接入WAF后，您可以使用接口测试工具模拟用户发起各类HTTP(S)请求，验证配置的WAF防护规则是否生效，检验防护效果。

本实践以Postman工具为例，说明如何验证全局白名单（原误报屏蔽）规则。

“WAF+HSS”联动，提升网页防篡改能力

主机安全HSS网页防篡改功能和Web应用防火墙“双剑合璧”，杜绝网页篡改事件发生。

Web漏洞防护

Java Spring框架远程代码执行高危漏洞

Spring是一款主流的Java EE轻量级开源框架，面向服务器端开发设计。Spring框架被曝出可导致RCE远程代码执行的漏洞，该漏洞攻击面较广，潜在危害严重，对JDK 9及以上版本皆有影响。

Apache Dubbo反序列化漏洞

2020年02月10日，华为云安全团队监测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告，漏洞等级中危。当用户选择http协议进行通信时，攻击者可以通过发送POST请求的时候来执行一个反序列化的操作，由于没有任何安全校验，该漏洞可以造成反序列化执行任意代码。目前，华为云Web应用防火墙（Web Application Firewall，WAF）提供了对该漏洞的防护。

开源组件Fastjson拒绝服务漏洞

2019年09月03日，华为云安全团队检测到应用较广的开源组件Fastjson的多个版本出现拒绝服务漏洞。攻击者利用该漏洞，可构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。目前，华为云Web应用防火墙（Web Application Firewall，WAF）提供了对该漏洞的防护。

开源组件Fastjson远程代码执行漏洞

2019年07月12日，华为云应急响应中心检测到开源组件Fastjson存在远程代码执行漏洞，此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用，可直接获取服务器权限，危害严重。

Oracle WebLogic wls9-async反序列化远程命令执行漏洞（CNVD-C-2019-48814）

2019年04月17日，华为云应急响应中心检测到国家信息安全漏洞共享平台（China National Vulnerability Database，CNVD）发布的Oracle WebLogic wls9-async组件安全公告。Oracle WebLogic wls9-async组件在反序列化处理输入信息时存在缺陷，攻击者可以发送精心构造的恶意HTTP请求获取目标服务器权限，在未授权的情况下远程执行命令，CNVD对该漏洞的综合评级为“高危”。

LTS日志分析

通过LTS快速查询分析WAF访问日志

开启WAF全量日志功能后，您可以将攻击日志、访问日志记录到云日志服务（Log Tank Service，简称LTS）中。通过LTS记录的WAF日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。

通过LTS实时分析Spring core RCE漏洞的拦截情况

对WAF攻击日志开启LTS快速分析功能，通过Spring规则ID快速查询、分析被拦截的Spring core RCE漏洞日志。

通过LTS配置WAF规则的拦截告警

本实践对WAF攻击日志开启LTS快速分析功能，再配置告警规则，实现WAF规则拦截日志的分析及告警，实时洞察您的业务在WAF中的防护情况并作出决策分析。

独享引擎实例升级

独享引擎实例升级最佳实践

当您的防护网站以独享模式部署到WAF后，您可以在WAF管理控制台上通过升级操作，将WAF独享引擎实例升级到最新版本，以获取独享引擎实例最新防护性能。

为了提升业务的高可靠性，请您参照以下操作指导完成独享引擎实例升级操作。

TLS加密配置

通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全

HTTPS协议是由“TLS（Transport Layer Security，传输层安全性协议）+HTTP协议”构建的可进行加密传输、身份认证的网络协议。

当域名接入WAF时，如果客户端采用HTTPS协议请求访问服务器（即防护域名的“对外协议”配置为“HTTPS”），您可以通过为域名配置最低TLS版本和加密套件来确保网站安全。

源站安全保护实践

通过配置ECS/ELB访问控制策略保护源站安全

介绍源站服务器部署在华为云弹性云服务器（以下简称ECS）、或华为云弹性负载均衡（以下简称ELB）时：

如何判断源站是否存在泄漏风险？
如何配置访问控制策略保护源站安全？

获取客户端真实IP

获取客户端真实IP

介绍通过WAF直接获取真实IP的方法，以及不同类型的Web应用服务器（包括Tomcat、Apache、Nginx、IIS 6和IIS 7）如何进行相关设置，以获取客户端的真实IP。

安全与治理

Web网站基础安全防护

帮助企业网站业务流量进行多维度检测和防护，避免网站被黑客恶意攻击和入侵。

基于开源Modsecurity构建WAF

ModSecurity是一个开源的、跨平台的Web应用防火墙（WAF），它可以通过检查Web服务接收到的数据，以及发送出去的数据对网站进行安全防护。

该解决方案帮助您在华为云弹性云服务器上基于开源ModSecurity软件，一键部署实现Web应用防火墙（WAF）功能；配合Nginx的灵活与高效，有效的增强Web安全性。

等保二级解决方案

华为云等保二级解决方案适用于如下用户场景：

接到相关部门通知需要做安全整改。
新业务需要做安全防护。
业务遭受攻击导致企业效益受损，或无法正常办公。

WAF用来对业务流量进行多维度检测和防护。

等保合规安全解决方案

华为云依托自身安全能力与安全合规生态，为客户提供一站式的安全解决方案，帮助客户快速、低成本完成安全整改，轻松满足等保合规要求。