云技术在线提供WAF技术支持。
非阿里云服务器能否使用Web应用防火墙?
可以,Web应用防火墙支持云外机房用户接入。Web应用防火墙可以保护任何公网路由可达的服务器,不论是阿里云、其他的云服务、IDC机房等环境,都可以使用Web应用防火墙服务。
Web应用防火墙支持云虚拟主机吗?
支持,Web应用防火墙的所有版本都支持独享虚拟主机,直接开通Web应用防火墙进行配置即可。
对于共享虚拟主机,由于使用的是共享IP,源站由多个用户共同使用,不建议单独配置Web应用防火墙。
Web应用防火墙如何防御CC攻击?
Web应用防火墙提供多种CC安全防护模式,您可以根据实际情况进行选择。
如果您希望同时有好的防护效果和低误杀率,建议您选择Web应用防火墙企业版和旗舰版,由安全专家定制针对性的防护算法。
Web应用防火墙是否支持防护HTTPS业务?
支持,Web应用防火墙的所有版本都支持HTTPS业务,并且支持泛域名接入。
只需根据提示将SSL证书及私钥上传,Web应用防火墙即可防护HTTPS业务流量。配置HTTPS业务接入后,Web应用防火墙会先解密访问请求,检查请求包,再重新加密,并转发正常的请求到源站。
Web应用防火墙是否支持自定义端口?
Web应用防火墙QPS限制规格是针对整个Web应用防火墙实例汇总的QPS,还是配置的单个域名的QPS上限?
Web应用防护墙QPS限制规格针对整个Web应用防火墙实例。
例如,您的Web应用防火墙配置防护了三个域名,则这三个域名累加的QPS不能超过规定上限。如果超过已购买的Web应用防火墙实例的QPS限制,将触发限速,可能导致随机丢包。
Web应用防火墙哪些版本支持短信防刷?
Web应用防火墙所有版本都支持短信防刷。
Web应用防火墙中的源站IP可以填写ECS内网IP吗?
不可以。Web应用防火墙通过公网进行回源,不支持直接填写内网IP。
Web应用防火墙能和CDN或DDoS高防一起接入吗?
Web应用防火墙完全兼容CDN和DDoS高防服务。同时接入WAF、CDN和DDoS高防的最佳部署架构为:客户端 > DDoS高防 > CDN > Web应用防火墙 > 负载均衡 > 源站。
Web应用防火墙能够保护在一个域名下的多个源站IP吗?
可以,一个Web应用防火墙域名配置中最多支持配置20个源站IP地址。
Web应用防火墙配置多个源站时如何负载?
如果您配置了多个源站IP地址,Web应用防火墙会自动采用轮询的方式对访问请求进行负载均衡。
Web应用防火墙是否支持健康检查?
Web应用防火墙是否支持会话保持?
Web应用防火墙支持会话保持,但默认不开启。如果您需要使用,请提交工单申请开启会话保持。
修改Web应用防火墙的源站IP是否有延迟?
有。修改Web应用防火墙已防护的源站IP后,大约需要一分钟生效。
在Web应用防火墙管理控制台更改配置后大约需要多久生效?
一般情况下,更改后的配置在一分钟内即可生效。
Web应用防火墙的回源IP段是多少?
您可以在Web应用防火墙控制台的页面查询Web应用防火墙的回源IP段。
Web应用防火墙是否会自动将WAF回源IP段加入安全组?
Web应用防火墙不会自动将WAF回源IP段添加到安全组。如果您的源站部署了其他防火墙或主机安全防护软件,建议您将WAF回源IP段添加至相应的白名单中。
Web应用防火墙回源是否需要放行所有客户端IP?
根据您的业务情况,您可以只放行WAF回源IP段,也可以放行所有客户端IP。
对于Web业务,建议您只放行WAF回源IP,实现源站保护。
Web应用防火墙管理控制台中能查看CC攻击的攻击者IP吗?
可以。您可以开通WAF日志服务,然后使用日志查询功能查询CC攻击的攻击者IP信息。
如何查询Web应用防火墙使用的带宽流量?
您可以在Web应用防火墙控制台的总览页面查看已使用的带宽流量情况。
Web应用防火墙的自定义防护策略(ACL访问控制)中IP字段是否支持填写网段?
支持。
Web应用防火墙的独享IP是否能够防御DDoS攻击?
可以。
- Web应用防火墙给每个用户提供独立的IP,该IP同样适用DDoS防护的黑洞策略,和ECS、SLB服务器一致。
- Web应用防火墙的黑洞阈值和当前地区ECS的默认阈值相同。
Web应用防火墙是否支持HTTPS双向认证?
Web应用防火墙暂时不支持HTTPS双向认证。
Web应用防火墙是否支持Websocket、HTTP 2.0或SPDY协议?
Web应用防火墙支持WebSocket协议,且企业版及以上规格支持HTTP 2.0。目前暂不支持SPDY协议。
Web应用防火墙支持的SSL协议有哪些?
- 中国内地的Web应用防火墙服务支持以下SSL协议:
- TLS v1.0
- TLS v1.1
- TLS v1.2
- 海外地区的Web应用防火墙服务支持以下SSL协议:
- TLS v1.1
- TLS v1.2
ssl_ciphers套件样例:
"ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"Web应用防火墙是否支持跨账号使用CDN+高防+WAF架构?
支持,您可以跨账号使用CDN、高防、WAF产品组合成抵御DDoS攻击和Web应用攻击的安全架构。
匹配条件中的URL匹配字段包含双斜杠(//)的自定义防护策略为何不生效?
由于WAF的规则引擎在处理URL匹配字段时会进行标准化处理,默认将连续的正斜杠(/)进行压缩,因此无法正确匹配包含双斜杠(//)URL的自定义防护策略规则。
如果您需要对包含双斜杠(//)的URL设置ACL访问控制,您可以直接设置该URL对应的单斜杠路径作为匹配条件。例如,如果需要将//api/sms/request作为URL匹配字段的条件值,您只需在匹配内容中填写/api/sms/request,WAF即可针对包含该内容的请求进行访问控制。
Web应用防火墙是否支持接入采用NTLM协议认证的网站?
不支持。如果网站使用NTLM协议认证,经WAF转发的访问请求可能无法通过源站服务器的NTLM认证,客户端将反复出现认证提示。建议您使用其他方式进行网站认证。
跨账号迁移网站配置时需要注意什么?
为了防止网站配置迁移误操作导致业务流量转发出现问题,在您删除网站配置后,有一段时间的域名保护期。如果您需要将Web应用防火墙的网站配置迁移到另一个账号下,在原账号中删除网站配置后,您需要等待30分钟后才能在另一个账号的Web应用防火墙实例中添加该域名的网站配置。