文档简介:
域名/端口类
域名/IP如何接入Web应用防火墙?
域名或IP接入WAF后,WAF作为一个反向代理存在于客户端和服务器之间,服务器的真实IP被隐藏起来,Web访问者只能看到WAF的IP地址。
说明
如果各子域名对应的服务器IP地址相同:输入防护的泛域名。例如:子域名a.example.com,b.example.com和c.example.com对应的服务器IP地址相同,可以直接添加泛域名*.example.com。
如果各子域名对应的服务器IP地址不相同:请将子域名按“单域名”方式逐条添加。
同一个域名对应不同非标准端口视为不同的防护对象,例如www.example.com:8080和www.example.com:8081为两个不同的防护对象,且占用两个域名防护配额。如果您需要防护同一域名的多个端口,您需要将该域名和端口逐一添加到WAF。
WAF支持防护多级别单域名(例如,一级域名example.com,二级域名www.example.com和泛域名*.example.com)。各类型域名接入WAF的流程是相同的。
Web应用防火墙支持哪些非标准端口?
Web应用防火墙除了可以防护标准的80,443端口外,还支持非标准端口的防护,且不同版本支持的端口有所差异。
同一个域名对应不同非标准端口视为不同的防护对象,例如www.example.com:8080和www.example.com:8081为两个不同的防护对象,且占用两个域名防护配额。如果您需要防护同一域名的多个端口,您需要将该域名和端口逐一添加到WAF。
WAF支持的端口
Web应用防火墙可防护的端口如表所示。
WAF支持的端口
| 端口分类 | HTTP协议 | HTTPS协议 | 端口防护限制数 |
|---|---|---|---|
| 标准端口 | 80 | 443 | 不限制 |
| 非标准端口(182 个) | 9945, 9770, 81, 82, 83, 84, 88, 89, 800, 808, 1000, 1090, 3128, 3333, 3501, 3601, 4444, 5000, 5222, 5555, 5601, 6001, 6666, 6788, 6789, 6842, 6868, 7000, 7001, 7002, 7003, 7004, 7005, 7006, 7009, 7010, 7011, 7012, 7013, 7014, 7015, 7016, 7018, 7019, 7020, 7021, 7022, 7023, 7024, 7025, 7026, 7070, 7081, 7082, 7083, 7088, 7097, 7777, 7800, 7979, 8000, 8001, 8002, 8003, 8008, 8009, 8010, 8020, 8021, 8022, 8025, 8026, 8077, 8078, 8080, 8085, 8086, 8087, 8088, 8089, 8090, 8091, 8092, 8093, 8094, 8095, 8096, 8097, 8098, 8106, 8118, 8181, 8334, 8336, 8800, 8686, 8888, 8889, 8989, 8999, 9000, 9001, 9002, 9003, 9080, 9200, 9802, 10000, 10001, 10080, 12601, 86, 9021, 9023, 9027, 9037, 9081, 9082, 9201, 9205, 9207, 9208, 9209, 9210, 9211, 9212, 9213, 48800, 87, 97, 7510, 9180, 9898, 9908, 9916, 9918, 9919, 9928, 9929, 9939, 28080, 33702, 8011, 8012, 8013, 8014, 8015, 8016, 8017, 8070 | 8750, 8445, 18010, 4443, 5443, 6443, 7443, 8081, 8082, 8083, 8084, 8443, 8843, 9443, 8553, 8663, 9553, 9663, 18110, 18381, 18980, 28443, 18443, 8033, 18000, 19000, 7072, 7073, 8803, 8804, 8805, 9999 | 不限制 |
多个域名对应同一源站,Web应用防火墙可以防护这些域名吗?
可以。不同域名对应同一个源站时,您可以将这些域名都接入WAF进行防护。
WAF的防护对象是域名或IP,如果是多个域名使用了同一个EIP对外提供服务,必须将多个域名都接入WAF才能对所有域名进行防护。
如何在添加域名中配置防护域名?
在使用WAF防护前,您需要根据您的Web业务防护需求,在WAF中添加防护域名,WAF支持添加单域名和泛域名。本章节为您介绍如何配置防护域名。
相关概念
泛域名
泛域名是指带1个通配符“ ”且以“ .”号开头的域名。
例如:“ .example.com”是正确的泛域名,但“ .*.example.com”则是不正确的。
一个泛域名算一个域名。
单域名
单域名又称普通域名,是相对泛域名来说的,是一个具体的域名或者说不是通配符域名。
例如:“www.example.com”或“example.com”都算一个单域名。
如“www.example.com”或“a.www.example.com”各个明细子域名都算一个域名。
如何选择域名类型
WAF支持防护单域名和泛域名。
在DNS服务商处购买的域名为单域名(example.com),WAF中添加的域名形式可以为example.com、子域名(例如:a.example.com)、泛域名(*.example.com),可根据以下场景选择配置域名的类型:
如果防护的域名业务相同:输入单域名。例如:防护www.example.com的业务都是8080端口的业务,则“防护域名”直接配置为单域名“www.example.com”。
建议添加的“防护域名”与在DNS服务商处设置的域名保持一致。
添加域名时,防护网站端口需要和源站端口配置一样吗?
端口为实际防护网站的端口,源站端口是WAF转发客户端请求到服务器的业务端口。两者不用配置为一样,端口配置说明如下:
“对外协议”选择“HTTP”时,WAF默认防护“80”标准端口的业务;“对外协议”选择“HTTPS”时,WAF默认防护“443”标准端口的业务。
多个端口的服务器,如果某个端口不需要WAF防护,如何处理?
防护网站是通过域名+端口方式接入WAF进行防护的。在添加防护域名时,您只需要配置域名+需要防护的端口即可。防护网站接入WAF后,流量不会通过其他端口转发到WAF。
域名/IP接入WAF前需要准备哪些数据?
请根据申请的WAF模式,在域名/IP接入WAF前收集相关信息。
接入WAF前需要准备以下数据:
域名/IP
端口:需要防护的域名对应的业务端口,WAF支持防护非标准端口。
服务器信息:
−
对外协议:客户端请求访问服务器的协议类型。
−
源站协议:WAF转发客户端请求到服务器的协议类型。
−
源站地址:客户端访问的网站服务器的IP地址或域名。
−
源站端口:WAF转发客户端请求到服务器的业务端口。
l
证书:如果“对外协议”使用HTTPS,则需要为该域名绑定证书。
删除防护域名时应该注意哪些事项?
删除网站的具体的操作请参见6.7
删除防护域名,删除网站前的注意事项如下:
域名添加到WAF后,域名是否可以修改?
防护域名添加到WAF后,您不能修改防护域名的名称。如果您需要修改防护域名的名称,建议您删除原域名后再重新添加待防护的域名。
后端服务器配置多个源站地址时的注意事项?
−
域名对应的业务端口为非标准端口
对外协议、源站协议和源站端口必须都相同
−
域名对应的业务端口为标准端口
对外协议、源站协议和源站端口可不相同
Web应用防火墙支持配置泛域名吗?
在WAF中添加防护的域名时,您可以根据业务需求配置单域名或泛域名,说明如下:
配置待防护的单域名。例如:www.example.com。
配置泛域名可以使泛域名下的多级域名经过WAF防护。
−
如果各子域名对应的服务器IP地址相同:配置防护的泛域名。例如:子域名a.example.com,b.example.com和c.example.com对应的服务器IP地址相同,可以直接添加泛域名*.example.com。
−
如果各子域名对应的服务器IP地址不相同:请将子域名按“单域名”方式逐条配置。
证书管理
配置泛域名时,如何选择证书?
域名和证书需要一一对应,泛域名只能使用泛域名证书。如果您没有泛域名证书,只有单域名对应的证书,则只能在WAF中按照单域名的方式逐条添加域名进行防护。
ELB已上传的证书,在Web应用防火墙上需要重新导入上传吗?
在选择证书时,您可以选择已创建证书或选择导入的新证书。在ELB上已上传的证书,还需要在WAF上导入上传。
如何将非PEM格式的证书转换为PEM格式?
WAF当前仅支持PEM格式证书。如果证书为非PEM格式,请参考表在本地将证书转换为PEM格式,再上传。
证书转换命令
| 格式类型 | 转换方式 |
|---|---|
| CER/CRT | 将“cert.crt”证书文件直接重命名为“cert.pem”。 |
| PFX | l 提取私钥命令,以“cert.pfx”转换为“key.pem”为例。openssl pkcs12 -in cert.pfx -nocerts -out key.pem -nodes l 提取证书命令,以“cert.pfx”转换为“cert.pem”为例。 openssl pkcs12 -in cert.pfx -nokeys -out cert.pem |
| P7B | 1. 证书转换,以“cert.p7b”转换为“cert.cer”为例。openssl pkcs7 -print_certs -in cert.p7b -out cert.cer 2. 将“cert.cer”证书文件直接重命名为“cert.pem”。 |
| DER | l 提取私钥命令,以“privatekey.der”转换为“privatekey.pem”为例。openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem l 提取证书命令,以“cert.cer”转换为“cert.pem”为例。 openssl x509 -inform der -in cert.cer -out cert.pem执行openssl命令前,请确保本地已安装openssl。如果本地为Windows操作系统,请进入“命令提示符”对话框后,再执行证书转换命令。 |
