帮助中心 > Web应用防火墙 > 常见问题 > 怎样启用Web应用防火墙服务?

怎样启用Web应用防火墙服务?

Web应用防火墙的防护模式分为基于agent防护模式和修改DNS解析模式。

基于agent防护模式

  • 开启单台防护
  1. 登录管理控制台。
  2. 选择安全 > 合作伙伴产品中心 > Web应用防火墙,进入“基于agent防护模式”界面。
  3. 在需要开启防护的弹性云服务器所在行,单击,将该弹性云服务器的防护状态置为“ON”

    图1 开启防护

  4. 在弹出的窗口中,单击“确定”
  5. 在弹出的窗口中,按需设置策略。策略的设置包括“防御动作”设置和“防御功能”设置。

    图2 设置策略
    表1 参数说明

    类别

    参数

    说明

    防御动作

    告警

    弹性云服务器遭受攻击时,Web应用防火墙发出告警,用户可通过查看日志了解详情。

    说明:

    单独告警功能只适用于“防SQL注入”“XSS跨站攻击防护”

    告警并阻断

    弹性云服务器遭受攻击时,Web应用防火墙发出告警并进行阻断,用户可通过查看日志了解详情。

    防御功能

    防SQL注入

    Web应用防火墙对SQL注入攻击进行防护。

    XSS跨站攻击防护

    Web应用防火墙对跨站脚本攻击进行防护。

    Webshell上传防护

    防Webshell上传的文件类型。

    防盗链

    • 资源类型:需要防护的文件类型。
    • 防护网站:需防护网站的IP地址+端口或者域名。
      说明:

      Ip+端口或者域名应该和该弹性云服务器对外提供Web网站的配置保持一致。

    • 信任域名:需防护网站的域名或者IP地址+端口。
      说明:

      如果“防护网站”输入的是域名,则“信任域名”需输入对应的IP地址+端口。如果“防护网站”输入的是IP地址+端口,则“信任域名”需输入对应的域名。

    IP白名单

    信任IP,能够顺利访问弹性云服务器。

    • IP地址:信任IP地址,例如:192.168.0.1。
    • 子网掩码:信任子网掩码,例如:255.255.255.0。

    IP黑名单

    非信任IP,限制访问弹性云服务器。

    • IP地址:非信任IP地址,例如:192.168.1.1。
    • 子网掩码:非信任子网掩码,例如:255.255.255.0。

  6. 单击“确定”,完成开启防护操作。
  • 批量开启防护
  1. 登录管理控制台。
  2. 选择安全 > 合作伙伴产品中心 > Web应用防火墙,进入“基于agent防护模式”界面。
  3. 勾选所有需要开启防护的弹性云服务器,单击列表上方的“开启防护”

    图3 批量开启防护

  4. 在弹出窗口中,单击“确定”
  5. 在弹出的窗口中,按需设置策略。策略的设置包括“防御动作”设置和“防御功能”设置。

    图4 设置策略
    表2 参数说明

    类别

    参数

    说明

    防御动作

    告警

    弹性云服务器遭受攻击时,Web应用防火墙发出告警,用户可通过查看日志了解详情。

    说明:

    单独告警功能只适用于“防SQL注入”“XSS跨站攻击防护”

    告警并阻断

    弹性云服务器遭受攻击时,Web应用防火墙发出告警并进行阻断,用户可通过查看日志了解详情。

    防御功能

    防SQL注入

    Web应用防火墙对SQL注入攻击进行防护。

    XSS跨站攻击防护

    Web应用防火墙对跨站脚本攻击进行防护。

    Webshell上传防护

    防Webshell上传的文件类型。

    防盗链

    • 资源类型:需要防护的文件类型。
    • 防护网站:需防护网站的IP地址+端口或者域名。
      说明:

      Ip+端口或者域名应该和该弹性云服务器对外提供Web网站的配置保持一致。

    • 信任域名:需防护网站的域名或者IP地址+端口。
      说明:

      如果“防护网站”输入的是域名,则“信任域名”需输入对应的IP地址+端口。如果“防护网站”输入的是IP地址+端口,则“信任域名”需输入对应的域名。

    IP白名单

    信任IP,能够顺利访问弹性云服务器。

    • IP地址:信任IP地址,例如:192.168.0.1。
    • 子网掩码:信任子网掩码,例如:255.255.255.0。

    IP黑名单

    非信任IP,限制访问弹性云服务器。

    • IP地址:非信任IP地址,例如:192.168.1.1。
    • 子网掩码:非信任子网掩码,例如:255.255.255.0。

  6. 单击“确定”,完成批量开启防护操作。

修改DNS解析模式

  1. 登录管理控制台。
  2. 选择安全 > 合作伙伴产品中心 > Web应用防火墙,选择“修改DNS解析模式”页签。
  3. 选中待启用Web应用防火墙服务的网站,单击网站列表上方的“启用”

    图5 启用Web应用防火墙服务

  4. Web应用防火墙服务启用后,单击“刷新缓存”,可触发同步源站内容到Web应用防火墙中。

    图6 刷新缓存