Web应用防火墙

反向代理模式

更新时间: 2022-12-12 20:02:00

点击<新增>按钮可以对站点进行配置，站点防护的相关参数如下：

序号	参数	说明
01	站点名称	配置进行代理防护的Web站点的策略名称。
02	防护域名	需要防护的站点域名，支持IP地址和域名两种形式。填写IP 云WAF会对需要防护的Web站点进行反向代理，此处填写的防护域名若是IP地址，有内网使用私有IP访问需求，则填写云WAF宿主机IP地址；有互联网访问需求，则填写云WAF宿主机IP映射后的公网IP地址；若既有私有IP地址访问需求，也有公网IP地址访问需求，则均需填写。填写域名云WAF会对需要防护的Web站点进行反向代理，此处填写的防护域名若是域名，则域名的DNS解析需要解析成云WAF宿主机的IP地址或NAT映射后的地址。
03	服务类型	云WAF支持对http和https协议进行反向代理和安全防护。
04	监听端口	云WAF进行反向代理所监听的端口。支持单个端口或端口范围（如：80-88）后，最多可以添加16个。
05	备注	对此防护策略进行备注描述，可留空。
06	负载调度算法	云WAF反向代理支持负载均衡算法调度，分别有[加权最小连接]、[源地址哈希]、[轮询]三种。加权最少连接表示选择（连接数/权重）最小的节点。源地址哈希根据源 IP经过哈希运算得到哈希值，使不同的源IP尽可能平均调度节点池中各个节点，相同源IP的访问调度到同一个节点。轮询表示交替返回有效的节点。
07	转发服务器	云WAF反向代理的真实服务器的地址。
08	启用健康检查	对转发服务器中的节点进行服务状态检查，支持http/https/tcp的检查方式，并且可以自定义检查的阈值。
09	保持连接方式	短连接浏览器和服务器每进行一次HTTP操作，就建立一次连接，但任务结束就中断连接。在HTTP/1.0中，默认使用的是短连接。长连接浏览器和服务器进行一次HTTP操作后，浏览器和服务器之间用于传输HTTP数据的 TCP连接不会关闭，如果客户端再次访问这个服务器上的网页，会继续使用这一条已经建立的连接。从 HTTP/1.1起，默认使用长连接。云WAF默认使用长连接，请确认转发服务器是否支持长连接，若不支持，即使设置为长连接，也会使用短连接。
10	会话保持	会话保持是基于Cookie的会话保持方式，该方式匹配HTTP请求中的Cookie字段，通过不同Cookie区分不同客户端，可以将所有携带相同Cookie的HTTP流量转发到同一个转发服务器上面。并且可自定义设置会话保持时间，0表示浏览器关闭时cookie失效，最大24小时。
11	X-Forwarded-For	X-Forwarded-For实现了云WAF到服务器之间的客户端真实地址透传，后端服务器识别X-Forwarded-For字段可以知道访问客户端的真实IP地址。在末尾追加上一跳的IP地址在HTTP头部追加插入X-Forwarded-For字段，为上一跳的IP地址。原封不动不插入X-Forwarded-For字段。用上一跳的IP地址覆盖原有内容在HTTP头部插入X-Forwarded-For字段，为上一跳的IP地址。若HTTP头部存在X-Forwarded-For字段，则用上一跳的IP地址覆盖原有内容。
12	头部改写	可以对HTTP的请求头、相应头进行添加或是隐藏相关参数。
13	防护策略	调用创建的安全防护策略，若选择暂不使用防护策略，则只对站点进行反向代理，不进行安全防护。
14	检测动作	检查动作分为“检测后放行”、“检测后拦截”两种。
15	联动封锁	联动封锁分为“高危行为联动封锁”、“任意攻击行为联动封锁”两种。高危行为联动封锁仅封锁具有高危行为特征的IP，优先保证用户流畅上网、业务稳定的提供服务。任意攻击行为联动封锁对任意具有攻击特征的IP执行访问封锁，最大化业务和用户的安全防御能力。注意：开启联动封锁可有效阻断攻击者的后续攻击力，同时当业务系统代码不规范导致误判发生时，可能会引起业务无法访问。
16	请求检测	检测http/https的请求body大小，最大支持10M。
17	响应检测	检测http/https的相应body大小，最大支持10M。
18	真实客户端IP	如果访问经过CDN，或网络环境中部署了代理设备或负载均衡设备，请在此填写代理头部字段和真实源IP的层数，用于识别真实的源IP进行日志记录和封锁；同时请关闭中低频WEB口令暴破防护，以防止误封锁代理IP。
19	代理服务器IP	如果访问经过CDN，或网络环境中部署了代理设备或负载均衡设备，在此填写CDN IP或代理IP，用于进行日志记录和联动封锁。

Web应用防火墙

反向代理模式

产品服务

解决方案

快速入口

联系我们