Добавление веб-сайта к WAF

Если сервисы вашего веб-сайта развернуты в облаке, то вы можете добавить доменное имя или IP-адрес веб-сайта в WAF, чтобы трафик веб-сайта перенаправлялся в WAF для проверки.

Примечание

Если веб-сайт использует прокси-сервер, такой как Elastic Load Balancer, выберите Yes. После этого политики безопасности WAF вступают в силу для IP-адреса исходного сервера.

При выборе No WAF не сможет получить реальный IP-адрес запроса посетителя веб-сайта.

  1. Войдите в консоль управления Advanced:

  2. Чтобы открыть список сервисов, нажмите Service List.

  3. Выберите Security → Web Application Firewall. Отобразится информационная панель.

  4. В навигационной панели выберите Website Settings.

  5. В правом левом углу нажмите Add Website.

  6. Сделайте настройки:

    • Domain Name — доменное имя или IP-адрес, который будет защищен с помощью WAF. Это может быть как единичное доменное имя, так и подстановочное.

      • Единичное доменное имя может быть «www.example.com».

      • Подстановочное доменное имя, если IP-адрес сервера каждого имени поддомена:

        • одинаковые, введите подстановочное доменное имя для защиты (например, если у «a.example.com», «b.example.com» и «c.example.com» одинаковые IP-адреса, то для WAF их можно заменить подстановочным доменным именем *.example.com).

        • разные, то необходимо указать единичные доменные имена друг за другом.

    • Port — установите это значение, только если ранее был активирован чекбокс Non-standard Port.

      • Если в поле ниже выбран Client Protocol — «HTTP», то защита WAF будет производиться по стандартному порту 80.

      • Если в поле ниже выбран Client Protocol — «HTTPS», то защита будет производиться по порту 433.

      • Если активирован чекбокс Non-standard Port, то в выпадающем списке Port можно выбрать вариант порта.

        Примечание

        Если настроен нестандартный порт, то посетителям веб-сайта необходимо прописывать его адрес в конец адреса веб-сайта для доступа. В ином случае возникнет ошибка 404.

    • Server Configuration — в конфигурацию веб-сервера входит клиентский протокол (Client Protocol), серверный протокол (Server Protocol), VPC, адрес (Server Address) и порт сервера (Server Port).

      • Client Protocol — протокол, используемый для пересылки запросов клиента на выделенный экземпляр WAF, например HTTP или HTTPS.

      • Server Protocol — протокол, используемый для пересылки запроса клиента на исходный сервер через выделенный экземпляр WAF.

      • VPC — выберите VPC, к которому принадлежит WAF.

      • Server Protocol — IP-адрес или доменное имя веб-сервера для доступа на стороне клиента.

      • Server Port — сервисный порт сервера, на который выделенный экземпляр WAF пересылает клиентские запросы.

    • Certificate Name — выберите сертификат, если значение клиентского протокола «HTTPS». Сертификат можно выбрать, создать или импортировать (для этого нажмите Import New Certificate).

    • Proxy Configurated — выберите Yes, если используется прокси-сервер (например, Elastic Load Balance). В ином случае выберите No.

  7. Сохраните настройки, нажав OK.

Импорт сертификата

  1. Нажмите Import New Certificate.

  2. В открывшемся окне укажите:

    • Certificate Name — имя сертификата. Оно может быть любым.

    • Certificate File — вставьте текст предварительно сгенерированного сертификационного файла.

    • Private Key — укажите приватный ключ.

      Примечание

      WAF шифрует и сохраняет закрытый ключ, чтобы обеспечить его безопасность.

      В настоящее время в WAF можно использовать только сертификаты .pem. Если сертификат не в этом формате, то преобразуйте его.

      Команды для конвертации сертификатов

      Формат

      Действия для изменения формата

      CER/CRT

      Переименуйте cert.crt в cert.pem.

      PFX

      • Запустите команду для конвертации файла приватного ключа:

        openssl pkcs12 -in <файл в формате .pfx (например, cert.pfx)> -nocerts -out <файл в формате .pem (например, key.pem)>

      • Запустите команду для конвертации файла сертификата:

        openssl pkcs12 -in <файл в формате .pfx (например, cert.pfx)> -nokeys -out <файл в формате .pem (например, cert.pem)>

      P7B

      Запустите команду для конвертации файла сертификата:

      openssl pkcs7 -print_certs -in <файл в формате .p7b (например, cert.p7b)> -out <файл в формате .cer (например, cert.cer)>

      После конвертации переименуйте файл в формате .cer в файл в формате .pem.

      DER

      • Запустите команду для конвертации файла приватного ключа:

        openssl rsa -inform DER -outform PEM -in <файл в формате .der (например, privatekey.der)> -out <файл в формате .pem (например, privatekey.pem)>

      • Запустите команду для конвертации файла сертификата:

        openssl x509 -inform der -in  <файл в формате .cer (например, cert.cer)> -out <файл в формате .pem (например, cert.pem)>

  3. Сохраните результат, нажав OK.

Запустили Evolution free tier
для Dev & Test
Получить