接入WAF后为什么漏洞扫描工具扫描出未开通的非标准端口?
问题现象:域名接入WAF通过第三方漏洞扫描工具扫描后,扫描结果显示了域名的标准端口(例如443)和非标准端口(例如8000、8443等)。
可能原因:由于WAF的非标准端口引擎是所有用户间共享的,即通过第三方漏洞扫描工具可以检测到所有已在WAF中使用的非标准端口。域名的端口检测,应以源站IP开通的端口为准,即引擎的端口检测并不影响源站的使用安全,且WAF保证客户解析CNAME返回的引擎IP的安全性。
处理建议:无需处理。
使用Web应用防火墙对邮件收发和邮件端口有影响吗?
WAF是对Web应用网页进行防护,当您的网站接入WAF后,对邮件收发和邮件端口不会产生影响。
Web应用防火墙如何拦截请求内容?
WAF对请求的首部和body体都会进行检测。例如body的表单、xml、json等数据都会被WAF检测,WAF通过检测对不符合防护规则的请求内容进行拦截。
什么是并发数?
并发数指系统能够同时处理请求的数目。对于网站而言,并发数即网站并发用户数,指同时提交请求的用户数目。
如果证书挂载在ELB上,WAF可以根据请求内容进行拦截吗?
如果证书挂载在ELB上,通过WAF的请求都是加密的。对于HTTPS的业务,您必须将证书上传到WAF上,WAF才能根据解密之后的请求判断是否进行拦截。
接入WAF对现有业务和服务器运行有影响吗?
接入WAF不需要中断现有业务,不会影响源站服务器的运行状态,即不需要对源站服务站进行任何操作(例如关机或重启)。
仅放行通过WAF的访问请求,如何配置?
您可以在源站服务器上配置只放行WAF回源IP的访问控制策略,即仅允许通过WAF的请求访问到源站,防止黑客获取源站IP后绕过WAF直接攻击源站,以确保源站安全、稳定、可用。
为什么Cookie中有HWWAFSESID或HWWAFSESTIME字段?
防护域名/IP接入WAF后,WAF会在客户请求Cookie中插入HWWAFSESID,HWWAFSESTIME等字段,这些字段服务于WAF统计和安全特性,不影响用户业务。
网站部署了反向代理服务器,如何配置WAF?
如果网站部署了反向代理服务器,网站接入WAF后不会影响反向代理服务器。接入WAF后,WAF作为一个反向代理部署在客户端和服务器之间,服务器的真实IP被隐藏起来,Web访问者只能看到WAF的IP地址。
使用WAF是否影响内网向外发送数据?
使用WAF不会影响内网机器向外发送数据。网站成功接入WAF后,WAF对网站的HTTP(S)请求进行检测,网站所有访问请求将先流转到WAF,WAF检测过滤恶意攻击流量后,将正常流量返回给源站,从而确保源站安全、稳定、可用。
源站IP地址服务器更换安全组后,在WAF中需要做更改吗?
添加到WAF的域名/IP的源站IP地址服务器更换安全组后,在WAF中不需要做任何操作,但是需要在源站放行WAF的回源IP或者实例IP。
如何获取访问者真实IP?
网站接入WAF后,WAF作为一个反向代理存在于客户端和服务器之间,服务器的真实IP被隐藏起来,Web访问者只能看到WAF的IP地址。
通常情况下,网站访问并不是简单地从用户的浏览器直达服务器,中间可能部署有CDN、WAF、高防。例如,采用这样的架构:“用户 > CDN/WAF/高防 > 源站服务器” 。那么,在经过多层代理之后,服务器如何获取发起请求的真实客户端IP呢?
一个透明的代理服务器在把用户的HTTP请求转到下一环节的服务器时,会在HTTP的头部中加入一条“X-Forwarded-For”记录,用来记录用户的真实IP,其形式为“X-Forwarded-For:访问者的真实IP,代理服务器1-IP, 代理服务器2-IP,代理服务器3-IP,……”。
因此,访问者的真实IP可以通过获取“X-Forwarded-For”对应的第一个IP来得到。
本地文件包含和远程文件包含是指什么?
您可以在WAF的防护事件中查看文件包含等安全事件,快速定位攻击源或对攻击事件进行分析。
文件包含是指程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需再次编写,这种文件调用的过程一般被称为文件包含。文件包含分为本地文件包含和远程文件包含,说明如下:
- 当被包含的文件在服务器本地时,称为本地文件包含。
- 当被包含的文件在第三方服务器时,称为远程文件包含。
文件包含漏洞是指通过函数包含文件时,由于没有对包含的文件名进行有效的过滤处理,被攻击者利用从而导致了包含了Web根目录以外的文件进来,导致文件信息的泄露甚至注入了恶意代码。
泛域名和单域名都接入WAF,WAF如何转发访问请求?
单域名和泛域名都接入WAF后,WAF优先将防护网站的访问请求转发到单域名,如果不能识别单域名,访问请求将转发到泛域名。
例如,单域名a.example.com和泛域名*.example.com接入WAF,访问请求将优先通过单域名a.example.com进行转发。
泛域名配置说明如下:
- 如果各子域名对应的服务器IP地址相同:输入防护的泛域名。例如:子域名a.example.com,b.example.com和c.example.com对应的服务器IP地址相同,可以直接添加泛域名*.example.com。
- 如果各子域名对应的服务器IP地址不相同:请将子域名按“单域名”方式逐条添加。
QPS和请求次数有什么区别?
QPS(Queries Per Second)即每秒钟的请求量,例如一个HTTP GET请求就是一个Query。请求次数是间隔时间内请求的总量。
QPS是单个进程每秒请求服务器的成功次数。
说明QPS = 请求数/秒(req/sec )
“安全总览”页面中QPS的计算方式说明如表所示。
| 时间段 | QPS平均取值说明 | QPS峰值取值说明 |
|---|---|---|
| “昨天”、“今天” | 间隔1分钟,取1分钟内的平均值 | 间隔1分钟,取1分钟内的最大值 |
| “3天” | 间隔5分钟,取5分钟内的平均值 | 间隔5分钟,取5分钟内的最大值 |
| “7天” | 间隔10分钟,取每5分钟内平均值的最大值 | 间隔10分钟,取10分钟内最大值 |
| “30天” | 间隔1小时,取每5分钟内平均值的最大值 | 间隔1小时,取1小时内最大值 |
