Добавление веб-сайта к WAF
Если сервисы вашего веб-сайта развернуты в облаке, то вы можете добавить доменное имя или IP-адрес веб-сайта в WAF, чтобы трафик веб-сайта перенаправлялся в WAF для проверки.
Если веб-сайт использует прокси-сервер, такой как Elastic Load Balancer, выберите Yes. После этого политики безопасности WAF вступают в силу для IP-адреса исходного сервера.
При выборе No WAF не сможет получить реальный IP-адрес запроса посетителя веб-сайта.
-
Войдите в консоль управления Advanced:
-
В списке сервисов выберите Web Application Firewall. Отобразится информационная панель.
-
В навигационной панели выберите Website Settings.
-
В правом левом углу нажмите Add Website.
-
Сделайте настройки:
-
Domain Name — доменное имя или IP-адрес, который будет защищен с помощью WAF. Это может быть как единичное доменное имя, так и подстановочное.
-
Единичное доменное имя может быть «www.example.com».
-
Подстановочное доменное имя, если IP-адрес сервера каждого имени поддомена:
-
одинаковые, введите подстановочное доменное имя для защиты (например, если у «a.example.com», «b.example.com» и «c.example.com» одинаковые IP-адреса, то для WAF их можно заменить подстановочным доменным именем *.example.com).
-
разные, то необходимо указать единичные доменные имена друг за другом.
-
-
-
Port — установите это значение, только если ранее был активирован чекбокс Non-standard Port.
-
Если в поле ниже выбран Client Protocol — «HTTP», то защита WAF будет производиться по стандартному порту 80.
-
Если в поле ниже выбран Client Protocol — «HTTPS», то защита будет производиться по порту 433.
-
Если активирован чекбокс Non-standard Port, то в выпадающем списке Port можно выбрать вариант порта.
ПримечаниеЕсли настроен нестандартный порт, то посетителям веб-сайта необходимо прописывать его адрес в конец адреса веб-сайта для доступа. В ином случае возникнет ошибка 404.
-
-
Server Configuration — в конфигурацию веб-сервера входит клиентский протокол (Client Protocol), серверный протокол (Server Protocol), VPC, адрес (Server Address) и порт сервера (Server Port).
-
Client Protocol — протокол, используемый для пересылки запросов клиента на выделенный экземпляр WAF, например HTTP или HTTPS.
-
Server Protocol — протокол, используемый для пересылки запроса клиента на исходный сервер через выделенный экземпляр WAF.
-
VPC — выберите VPC, к которому принадлежит WAF.
-
Server Protocol — IP-адрес или доменное имя веб-сервера для доступа на стороне клиента.
-
Server Port — сервисный порт сервера, на который выделенный экземпляр WAF пересылает клиентские запросы.
-
-
Certificate Name — выберите сертификат, если значение клиентского протокола «HTTPS». Сертификат можно выбрать, создать или импортировать (для этого нажмите Import New Certificate).
-
Proxy Configurated — выберите Yes, если используется прокси-сервер (например, Elastic Load Balance). В ином случае выберите No.
-
-
Сохраните настройки, нажав OK.
Импорт сертификата
-
Нажмите Import New Certificate.
-
В открывшемся окне укажите:
-
Certificate Name — имя сертификата. Оно может быть любым.
-
Certificate File — вставьте текст предварительно сгенерированного сертификационного файла.
-
Private Key — укажите приватный ключ.
ПримечаниеWAF шифрует и сохраняет закрытый ключ, чтобы обеспечить его безопасность.
В настоящее время в WAF можно использовать только сертификаты .pem. Если сертификат не в этом формате, то преобразуйте его.
Команды для конвертации сертификатов Формат
Действия для изменения формата
CER/CRT
Переименуйте cert.crt в cert.pem.
PFX
-
Запустите команду для конвертации файла приватного ключа:
openssl pkcs12 -in <файл в формате .pfx (например, cert.pfx)> -nocerts -out <файл в формате .pem (например, key.pem)> -
Запустите команду для конвертации файла сертификата:
openssl pkcs12 -in <файл в формате .pfx (например, cert.pfx)> -nokeys -out <файл в формате .pem (например, cert.pem)>
P7B
Запустите команду для конвертации файла сертификата:
openssl pkcs7 -print_certs -in <файл в формате .p7b (например, cert.p7b)> -out <файл в формате .cer (например, cert.cer)>После конвертации переименуйте файл в формате .cer в файл в формате .pem.
DER
-
Запустите команду для конвертации файла приватного ключа:
openssl rsa -inform DER -outform PEM -in <файл в формате .der (например, privatekey.der)> -out <файл в формате .pem (например, privatekey.pem)> -
Запустите команду для конвертации файла сертификата:
openssl x509 -inform der -in <файл в формате .cer (например, cert.cer)> -out <файл в формате .pem (например, cert.pem)>
-
-
-
Сохраните результат, нажав OK.
- Импорт сертификата