- tocdepth
2
Добавление веб-сайта к WAF
Если сервисы вашего веб-сайта развернуты в облаке, то вы можете добавить доменное имя или IP-адрес веб-сайта в WAF, чтобы трафик веб-сайта перенаправлялся в WAF для проверки.
Примечание
Если веб-сайт использует прокси-сервер, такой как Elastic Load Balancer, выберите Yes. После этого политики безопасности WAF вступают в силу для IP-адреса исходного сервера.
При выборе No WAF не сможет получить реальный IP-адрес запроса посетителя веб-сайта.
Войдите в консоль управления Advanced:
Чтобы открыть список сервисов, нажмите Service List.
Выберите
. Отобразится информационная панель.В навигационной панели выберите Website Settings.
В правом левом углу нажмите Add Website.
Сделайте настройки:
Domain Name — доменное имя или IP-адрес, который будет защищен с помощью WAF. Это может быть как единичное доменное имя, так и подстановочное.
Единичное доменное имя может быть «www.example.com».
Подстановочное доменное имя, если IP-адрес сервера каждого имени поддомена:
одинаковые, введите подстановочное доменное имя для защиты (например, если у «a.example.com», «b.example.com» и «c.example.com» одинаковые IP-адреса, то для WAF их можно заменить подстановочным доменным именем
*.example.com
).разные, то необходимо указать единичные доменные имена друг за другом.
Port — установите это значение, только если ранее был активирован чекбокс Non-standard Port.
Если в поле ниже выбран Client Protocol — «HTTP», то защита WAF будет производиться по стандартному порту 80.
Если в поле ниже выбран Client Protocol — «HTTPS», то защита будет производиться по порту 433.
Если активирован чекбокс Non-standard Port, то в выпадающем списке Port можно выбрать вариант порта.
Примечание
Если настроен нестандартный порт, то посетителям веб-сайта необходимо прописывать его адрес в конец адреса веб-сайта для доступа. В ином случае возникнет ошибка 404.
Server Configuration — в конфигурацию веб-сервера входит клиентский протокол (Client Protocol), серверный протокол (Server Protocol), VPC, адрес (Server Address) и порт сервера (Server Port).
Client Protocol — протокол, используемый для пересылки запросов клиента на выделенный экземпляр WAF, например HTTP или HTTPS.
Server Protocol — протокол, используемый для пересылки запроса клиента на исходный сервер через выделенный экземпляр WAF.
VPC — выберите VPC, к которому принадлежит WAF.
Server Protocol — IP-адрес или доменное имя веб-сервера для доступа на стороне клиента.
Server Port — сервисный порт сервера, на который выделенный экземпляр WAF пересылает клиентские запросы.
Certificate Name — выберите сертификат, если значение клиентского протокола «HTTPS». Сертификат можно выбрать, создать или импортировать (для этого нажмите Import New Certificate).
Proxy Configurated — выберите Yes, если используется прокси-сервер (например, Elastic Load Balance). В ином случае выберите No.
Сохраните настройки, нажав OK.
Импорт сертификата
Нажмите Import New Certificate.
В открывшемся окне укажите:
Certificate Name — имя сертификата. Оно может быть любым.
Certificate File — вставьте текст предварительно сгенерированного сертификационного файла.
Private Key — укажите приватный ключ.
Примечание
WAF шифрует и сохраняет закрытый ключ, чтобы обеспечить его безопасность.
В настоящее время в WAF можно использовать только сертификаты
.pem
. Если сертификат не в этом формате, то преобразуйте его. Формат
Действия для изменения формата
CER/CRT
Переименуйте
cert.crt
вcert.pem
.PFX
Запустите команду для конвертации файла приватного ключа:
openssl pkcs12 -in <файл в формате .pfx (например, cert.pfx)> -nocerts -out <файл в формате .pem (например, key.pem)>
Запустите команду для конвертации файла сертификата:
openssl pkcs12 -in <файл в формате .pfx (например, cert.pfx)> -nokeys -out <файл в формате .pem (например, cert.pem)>
P7B
Запустите команду для конвертации файла сертификата:
openssl pkcs7 -print_certs -in <файл в формате .p7b (например, cert.p7b)> -out <файл в формате .cer (например, cert.cer)>
После конвертации переименуйте файл в формате
.cer
в файл в формате.pem
.DER
Запустите команду для конвертации файла приватного ключа:
openssl rsa -inform DER -outform PEM -in <файл в формате .der (например, privatekey.der)> -out <файл в формате .pem (например, privatekey.pem)>
Запустите команду для конвертации файла сертификата:
openssl x509 -inform der -in <файл в формате .cer (например, cert.cer)> -out <файл в формате .pem (например, cert.pem)>
Сохраните результат, нажав OK.
для Dev & Test