全部產品
Search

搜尋本產品

    Web Application Firewall:通過聯合部署DDoS高防和WAF提升網站防護能力

    文件中心

    Web Application Firewall:通過聯合部署DDoS高防和WAF提升網站防護能力

    更新時間:Dec 27, 2024

    如果您的網路遭受的攻擊既有流量型攻擊,又混雜精巧的Web應用程式層攻擊時,單一使用一種網路安全防護產品無法起到全面的防護效果,我們推薦您組合使用阿里雲DDoS高防和Web Application Firewall(Web Application Firewall,簡稱 WAF)。本文介紹了為業務同時部署DDoS高防和WAF時的配置指導。

    前提條件

    背景資訊

    DDoS高防和WAF同時部署時採用以下網路架構:DDoS高防(入口層,防禦DDoS攻擊)->WAF(中介層,防禦Web應用攻擊)->來源站點伺服器(ECS、SLB、VPC、IDC等)。網站業務流量會先經過DDoS高防清洗,然後轉寄到WAF過濾Web攻擊,最後只有正常的業務流量被轉寄到來源站點伺服器,保障網站的業務安全和資料安全。業務流量的轉寄過程如下圖所示。

    說明

    應用上述網路架構後,訪問請求將經過多層中間代理才到達來源站點,來源站點不能直接擷取請求的真實來源IP。如果您需要擷取訪問請求的真實來源IP,請參見配置DDoS高防後擷取真實的請求來源IP

    步驟一:網站業務接入WAF

    1. 登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地非中国内地)。

    2. 在頂部功能表列,選擇Web Application Firewall執行個體的資源群組和地區(中國內地非中國內地)。

    3. 在左側導覽列,選擇資產中心 > 網站接入

    4. 網域名稱列表頁簽,單擊網站接入

    5. 添加網域名稱。

      • 接入模式:CNAME接入。

        說明

        進入添加網域名稱頁面後,接入模式預設為Cname接入。CNAME接入情境下,您無需再修改接入模式

        1. 填寫網站資訊模組按以下要求配置參數。

          • 網域名稱:填寫要防護的網站網域名稱。

          • 防護資源:按實際情況選擇要使用的防護資源類型。

          • 協議類型:按實際情況選擇網站支援的協議類型。

          • 伺服器位址:選擇IP並填寫來源站點伺服器對應的SLB公網IP、ECS公網IP或雲外機房伺服器的IP。

          • 伺服器連接埠:根據已選擇的協議類型,按實際情況設定來源站點提供對應服務的連接埠。

          • 負載平衡演算法:當設定了多個來源站點伺服器位址時,按實際情況選擇多來源站點伺服器間的負載平衡演算法。

          • WAF前是否有七層代理(高防/CDN等):選擇

          • 啟用流量標記:按實際情況設定是否啟用WAF流量標記功能。

          • 資源群組:當需要根據業務部門、專案等維度對雲資源進行分組管理時,從資源群組列表中選擇該網域名稱所屬資源群組。

        2. 單擊下一步

        3. 返回網域名稱列表,找到新添加的網域名稱,在網域名稱/CNAME列複製WAF為該網域名稱分配的CNAME地址。WAF側CNAME_cn

      • 接入模式:透明接入。

        1. 添加網域名稱頁面,選擇接入模式透明接入

        2. 添加網域名稱資訊模組按以下要求配置參數。

          • 網域名稱:填寫要防護的網站網域名稱。

          • ALB類型七層SLB類型四層SLB類型ECS類型:在標籤頁中選擇待防護執行個體所屬類型,勾選待防護執行個體對應的連接埠。

          • WAF前是否有七層代理(高防/CDN等):選擇

          • 啟用流量標記:按實際情況設定是否啟用WAF流量標記功能。

          • 資源群組:當需要根據業務部門、專案等維度對雲資源進行分組管理時,從資源群組列表中選擇該網域名稱所屬資源群組。

        3. 單擊下一步

        4. 檢查並確認配置後,單擊下一步

        5. 單擊完成,返回網站列表。

    步驟二:網站業務接入DDoS高防

    1. 登入DDoS高防控制台

    2. 在頂部功能表列左上方處,選擇地區。

      • DDoS高防(中國內地):選擇中國內地地區。

      • DDoS高防(非中國內地):選擇非中國內地地區。

    3. 在左側導覽列,選擇接入管理 > 網域名稱接入

    4. 網域名稱接入頁面,單擊添加網站

    5. 按照頁面提示,完成添加網站設定精靈。

      1. 填寫網站資訊模組按以下要求配置參數。

        • 功能套餐:按實際情況選擇要關聯的DDoS高防執行個體的功能套餐。

        • 執行個體:按實際情況選擇要關聯的DDoS高防執行個體。

        • 網站:填寫要防護的網站網域名稱。

        • 協議類型:按實際情況選擇網站支援的協議類型。

        • 啟用OCSP:按實際情況選擇是否啟用OCSP(Online Certificate Status Protocol)功能。

        • 伺服器位址

          • 網域名稱在WAF上的接入模式為CNAME接入時,選擇來源站點網域名稱並填寫步驟一中擷取的WAF的CNAME地址。

          • 網域名稱在WAF上的接入模式為透明接入時,選擇來源站點IP並填寫來源站點伺服器的公網IP。

        • 伺服器連接埠:根據已選擇的協議類型,設定來源站點提供對應服務的連接埠。

        • Cname Reuse:當來源站點伺服器上有多個網站業務時,根據實際情況選擇是否開啟CNAME複用。

      2. 單擊添加

      3. 返回網域名稱接入頁面,找到新添加的網域名稱,在網域名稱列複製DDoS高防為該網域名稱分配的CNAME地址。複製高防CNAME

    步驟三:修改網域名稱的DNS解析

    如果您的網域名稱DNS託管在阿里雲Alibaba Cloud DNS,請按照以下操作,將網域名稱解析指向步驟二擷取的DDoS高防CNAME地址。如果您使用其他DNS服務商的網域名稱解析服務,請登入服務商系統修改網站網域名稱的解析記錄,下文內容僅供參考。

    1. 登入阿里雲Alibaba Cloud DNS控制台

    2. 網域名稱解析頁面,找到要操作的網域名稱,在操作列下單擊解析設定

    3. 解析設定頁面,找到要修改的解析記錄,在操作列下單擊修改

      說明

      如果要操作的解析記錄不在記錄列表中,您可以單擊添加記錄

    4. 修改記錄(或添加記錄)頁面,選擇記錄類型CNAME,並將記錄值修改為網域名稱對應的DDoS高防CNAME地址(即步驟二中擷取到的DDoS高防CNAME地址)。

    5. 單擊確認,等待修改後的解析設定生效。

    6. 使用瀏覽器測試網站訪問是否正常。

      如果網站訪問出現異常,請參見業務接入高防後存在卡頓、延遲、訪問不通等問題

    相關文檔