企业站点安全快速上手华为云waf怎么设置与策略优化

1.

概述：为什么企业站点要用华为云WAF

· 保护范围：WAF可拦截SQL注入、XSS、远程代码执行等Web攻击。
· 配合CDN：与CDN联动可在边缘拦截恶意流量，减轻源站压力。
· 与DDoS防御协同：WAF专注应用层，DDoS产品负责网络层协同防护。
· 日志与审计：支持将告警日志输出到OBS/CLS，便于事后分析与合规。
· 成本与效率：托管式WAF减少运维门槛，企业可用较低成本获得专业规则库与自动化防护。

2.

部署前准备与服务器/VPS/域名配置示例

· 域名解析：将站点域名CNAME到华为云WAF/加速域名或先到CDN再到WAF（示例：www.example.com -> cname.waf.huaweicloud.com）。
· 证书：准备RSA证书（PEM），在WAF控制台导入SSL证书，用于HTTPS前端解密。
· 源站配置示例：ECS ecs.s6.large，2 vCPU/8GB内存，系统盘40GB，数据盘500GB，公网带宽200Mbps。
· 后端端口：源站监听80/443，同时开放管理端口只允许运维IP访问。
· 白名单：先在WAF中添加运维IP白名单，避免误拦截影响上线测试。

3.

华为云WAF基础设置步骤（逐步演示）

· 创建域名防护：在WAF控制台添加防护域名，选择实例规格与计费模式。
· 绑定证书：在“证书管理”导入证书，并在域名配置中选用。
· 源站配置：填写源站地址（IP或域名）、回源协议与健康检查策略。
· DNS切换：将域名CNAME到WAF提供的地址并校验生效。
· 测试策略：先启用“观察模式”或低风险策略，验证无误后切换到“拦截模式”。

4.

策略优化：常用规则与性能调优建议

· CC防护策略：示例策略为单IP限速100 req/10s，超过触发人机校验或限速封禁1小时。
· 常见规则组：启用SQL注入、XSS、文件包含、命令注入等内置规则库（建议优先级分层）。
· 自定义正则：对特定业务路径定制正则规则（例如 /api/v1/login 参数长度限制）。
· 误报控制：通过白名单、精确URI例外、阈值调节将误报率控制在2%以内（企业目标）。
· 性能优化：在WAF前端配合CDN缓存静态资源，减小源站响应压力；开启压缩与长连接，降低平均响应时间。

5.

真实案例：中型电商站点迁移到华为云WAF后的效果

· 背景：某电商平台峰值QPS 1200，原先仅靠本地防火墙与CDN，遭遇频繁应用层攻击。
· 部署方案：域名CNAME到华为云WAF+CDN，源站ECS ecs.s6.large x2（主备），公网带宽合计400Mbps。
· 规则配置：开启全部内置规则、CC限速100 req/10s、人机识别、IP黑名单自动拉黑。
· 结果数据：部署后7天统计攻击拦截率与性能变化如下表所示。
· 结论：WAF与CDN联防使攻击量显著下降，源站CPU使用率从平均65%降至35%，稳定性提升。

6.

监控与应急：日志、告警与故障恢复实践

· 日志采集：将WAF日志接入CLS与OBS，保留至少30天访问与告警记录用于审计。
· 告警策略：设置异常请求突增告警（例如5分钟内请求数上涨300%触发），并推送到邮件/钉钉/短信。
· 回滚策略：遇到误拦或规则问题，快速切换到观察模式或临时下线特定规则。
· 演练：定期开展DDOS+CC演练，验证WAF与DDoS防护、CDN回源能力与业务恢复流程。
· 持续优化：基于日志数据每周调整黑白名单与阈值，结合WAF提供的风险洞察优化规则集。