通常，用户将web应用暴露在公网上，不做任何准备或者安全措施可能会受到黑客的注入入侵攻击导致网站核心数据被脱库泄露。以及木马上传网页篡改，导致网站公信力受到影响。本文九河云将为您介绍如何通过华为云WAF应用防火墙实现web应用安全防护，解决上述问题。

华为云Web应用防火墙

WEB应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。

防护原理

购买WAF后，在WAF管理控制台将网站添加并接入WAF。网站成功接入WAF后，网站所有访问请求将先流转到WAF，WAF检测过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。

（图1 网站接入WAF防护原理）

流量经WAF返回源站的过程称为回源。WAF通过回源IP代替客户端发送请求到源站服务器，接入WAF后，在客户端看来，所有的目标IP都是WAF的IP，从而隐藏源站IP。

                （图2 回源IP）

防护对象

WAF支持云模式、独享模式和ELB模式三种部署模式，各部署模式支持防护的对象说明如下：

• 云模式：域名，华为云、非华为云或云下的Web业务
• 独享模式/ELB模式：域名或IP，华为云的Web业务

四个步骤快速部署华为云WAF

步骤一：购买WAF实例

1.         登录华为云管理控制台。在控制台页面中选择“安全与合规 > Web应用防火墙 WAF”。

2.         在页面右上角，单击“购买WAF实例”，进入购买页面，选择“WAF模式”，完成WAF实例的购买。

步骤二：网站接入WAF

根据不同的模式完成网站接入WAF，网站接入WAF后，WAF才能对HTTP(S)请求进行检测。

云模式执行以下四步，完成网站以云模式的方式接入WAF：

1.添加防护域名（云模式）

2.放行WAF回源IP

3.本地验证

4.域名接入配置

独享模式执行以下五步，完成网站以独享模式的方式接入WAF：

1.添加防护网站（独享模式）

2.配置负载均衡

3.为弹性负载均衡绑定弹性公网IP

4.放行独享引擎回源IP

5.独享引擎本地验证

ELB模式：添加防护网站（ELB模式）

步骤三：配置防护策略

网站接入WAF后，WAF会自动为该网站绑定一个防护策略，并开启“Web基础防护”中的“常规检测”（拦截模式为“仅记录”，“防护等级”为“中等”）和“网站反爬虫”的“扫描器”检测（防护动作为“仅记录”）。

•           如果您没有特殊的安全防护要求，您可以保持默认配置，随时通过“防护事件”查看WAF防护日志。具体操作，请参见查看防护日志。

•           如果您的网站遭遇Web攻击，您可以根据“总览”和“防护事件”的攻击详情，配置对应的防护策略。具体操作，请参见为策略添加防护

步骤四：查看防护日志

在“防护事件”页面，查看已配置的防护策略的防护详情，处置源IP。

•           在防护事件列表的“操作”列，选择“更多 > 误报处理”，通过全局白名单规则配置误报策略，快速加白源IP。

•           通过将源IP添加到黑白名单，快速拦截或放行源IP。