本文介绍 Web 服务接入的配置步骤,以及介绍用户管理和访问日志的操作方法。Web 服务接入大致分为以下几个步骤:
1. 创建 NAT 防火墙。
2. Web 服务实例添加。
3. 接入防护:使用防火墙域名或使用自有域名。
创建 NAT 边界防火墙
Web 服务实例添加
通过资产中心的同步资产手动进行同步或者手动添加的方式,及时将 Web 服务资产同步到资产中心,以便执行接入防护的操作。
1. 登录 云防火墙控制台,在左侧导航栏中,选择零信任防护 > Web 服务管理。
2. 在 Web 服务管理页面,单击手动添加,添加未被资产中心识别到的 Web 资产。
3. 在手动添加弹窗中,配置相关参数,单击确定。
参数说明:关联实例:选择服务部署所在的实例。
服务地址:选择服务绑定的 IP 地址。
服务域名:非必填,服务绑定的域名,请确认服务域名是否解析到所选实例上。
注意
若该服务通过域名访问,请务必填写服务域名。
4. 在 Web 服务管理页面,单击同步资产,后台自动同步并更新 Web 资产。
接入防护
使用防火墙域名
将 Web 服务接入 NAT 边界防火墙来进行防护,通过接入域名和自定义端口取代公网 IP 或域名、真实端口访问形式,同时在互联网边界阻断公网 IP 的访问,避免业务暴露互联网,从而被 Web 攻击。
1. 在 Web 服务管理页面,选择需要接入防护的 Web 服务资产,单击接入防护。
2. 资产如果未接入 NAT 边界防火墙,会提示 创建 NAT 防火墙;已创建好 NAT 边界防火墙的地域,进入接入防护弹窗中。
3. 在接入防护弹窗中,配置相关参数,单击下一步。
参数名称 | 参数说明 |
域名类型 | 选择一个现有的接入域名或者是新建一个接入域名。 |
启用 https | 启用 https 后,将默认使用云防火墙的 SSL 证书,如需使用高级防护,请选择启用 https 协议。 |
解析地域 | 将域名解析到所选地域的 NAT 实例上。 |
解析实例 | 将域名解析到所选的 NAT 防火墙实例上。 |
访问端口 | 通过指定端口访问域名。 |
防护方式 | 基础防护:提供基于前端对抗和前端挑战的基础防护,对人机、攻击者等进行有效过滤。 高级防护:通过微信身份认证对 Web 服务进行访问控制,高级防护仅支持 https 协议。 |
4. 接入防护参数配置完成后,根据选择方式的不同,配置步骤有所不同。
如果防护方式选择基础防护,单击确定即可生成配置。
如果防护方式选择高级防护,则需要选择绑定的用户,单击确定即可生成配置。
说明
在使用云防火墙域名完成接入防护后,可以访问防火墙域名继续使用该 Web 服务,防火墙将按照基础防护/高级防护的规则进行防护。源域名/IP 的访问将被防火墙拦截。
使用自有域名
1. 在 Web 服务管理页面,选择需要接入防护的 Web 服务资产,单击接入防护。
2. 资产如果未接入 NAT 边界防火墙,会提示 创建 NAT 防火墙;已创建好 NAT 边界防火墙的地域,进入接入防护弹窗中。
3. 在接入防护弹窗中,配置相关参数,单击下一步。
参数名称 | 参数详情 |
服务信息 | 自有域名、IP、端口等信息。 |
启用 https | 启用 https 后,将默认使用云防火墙的 SSL 证书,如需使用高级防护,请选择启用 https 协议。 |
选择证书 | 后端会对证书进行校验。如果证书和域名不匹配会报错,可以重新上传证书并选择。 |
访问端口 | 通过指定端口访问域名。 |
防护方式 | 基础防护:提供基于前端对抗和前端挑战的基础防护,对人机、攻击者等进行有效过滤。 高级防护:通过微信身份认证对 Web 服务进行访问控制,高级防护仅支持 https 协议。 |
封禁 IP | 通过互联网边界防火墙,阻止对该IP的公网访问,必须通过域名访问。 |
4. 接入防护参数配置完成后,根据选择方式的不同,配置步骤有所不同。
如果防护方式选择基础防护,单击确定即可生成配置。
如果防护方式选择高级防护,则需要选择绑定的用户,单击确定即可生成配置。
说明
在使用自有域名接入防护后,可以继续访问该域名继续使用Web服务,防火墙将按照基础防护/高级防护的规则进行防护。源域名/IP 的访问将经过防火墙过滤。