如果您的网络遭受的攻击既有流量型攻击,又混杂精巧的Web应用层攻击时,单一使用一种网络安全防护产品无法起到全面的防护效果,我们推荐您组合使用阿里云DDoS高防和Web应用防火墙(Web Application Firewall,简称 WAF)。本文介绍了为业务同时部署DDoS高防和WAF时的配置指导。
前提条件
已购买DDoS高防(新BGP)或者DDoS高防(国际)实例。更多信息,请参见购买DDoS高防实例。
已购买WAF实例。更多信息,请参见购买WAF 3.0包年包月实例或开通WAF 3.0按量付费实例。
背景信息
DDoS高防和WAF同时部署时采用以下网络架构:DDoS高防(入口层,防御DDoS攻击)->WAF(中间层,防御Web应用攻击)->源站服务器(ECS、SLB、VPC、IDC等)。网站业务流量会先经过DDoS高防清洗,然后转发到WAF过滤Web攻击,最后只有正常的业务流量被转发到源站服务器,保障网站的业务安全和数据安全。业务流量的转发过程如下图所示。
应用上述网络架构后,访问请求将经过多层中间代理才到达源站,源站不能直接获取请求的真实来源IP。如果您需要获取访问请求的真实来源IP,请参见配置DDoS高防后获取真实的请求来源IP。
步骤一:网站业务接入WAF
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择 。
在域名列表页签,单击网站接入。
添加域名。
接入模式:CNAME接入。
说明进入添加域名页面后,接入模式默认为Cname接入。CNAME接入场景下,您无需再修改接入模式。
在填写网站信息模块按以下要求配置参数。
域名:填写要防护的网站域名。
防护资源:按实际情况选择要使用的防护资源类型。
协议类型:按实际情况选择网站支持的协议类型。
服务器地址:选择IP并填写源站服务器对应的SLB公网IP、ECS公网IP或云外机房服务器的IP。
服务器端口:根据已选择的协议类型,按实际情况设置源站提供对应服务的端口。
负载均衡算法:当设置了多个源站服务器地址时,按实际情况选择多源站服务器间的负载均衡算法。
WAF前是否有七层代理(高防/CDN等):选择是。
启用流量标记:按实际情况设置是否启用WAF流量标记功能。
资源组:当需要根据业务部门、项目等维度对云资源进行分组管理时,从资源组列表中选择该域名所属资源组。
单击下一步。
返回域名列表,找到新添加的域名,在域名/CNAME列复制WAF为该域名分配的CNAME地址。
接入模式:透明接入。
在添加域名页面,选择接入模式为透明接入。
在添加域名信息模块按以下要求配置参数。
域名:填写要防护的网站域名。
ALB类型、七层SLB类型、四层SLB类型、ECS类型:在标签页中选择待防护实例所属类型,勾选待防护实例对应的端口。
WAF前是否有七层代理(高防/CDN等):选择是。
启用流量标记:按实际情况设置是否启用WAF流量标记功能。
资源组:当需要根据业务部门、项目等维度对云资源进行分组管理时,从资源组列表中选择该域名所属资源组。
单击下一步。
检查并确认配置后,单击下一步。
单击完成,返回网站列表。
步骤二:网站业务接入DDoS高防
在顶部菜单栏左上角处,选择服务所在地域:
DDoS高防(新BGP):选择中国内地地域。
DDoS高防(国际):选择非中国内地地域。
您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
在左侧导航栏,选择 。
在域名接入页面,单击添加网站。
按照页面提示,完成添加网站配置向导。
在填写网站信息模块按以下要求配置参数。
功能套餐:按实际情况选择要关联的DDoS高防实例的功能套餐。
实例:按实际情况选择要关联的DDoS高防实例。
网站:填写要防护的网站域名。
协议类型:按实际情况选择网站支持的协议类型。
启用OCSP:按实际情况选择是否启用OCSP(Online Certificate Status Protocol)功能。
服务器地址:
域名在WAF上的接入模式为CNAME接入时,选择源站域名并填写步骤一中获取的WAF的CNAME地址。
域名在WAF上的接入模式为透明接入时,选择源站IP并填写源站服务器的公网IP。
服务器端口:根据已选择的协议类型,设置源站提供对应服务的端口。
Cname Reuse:当源站服务器上有多个网站业务时,根据实际情况选择是否开启CNAME复用。
单击添加。
返回域名接入页面,找到新添加的域名,在域名列复制DDoS高防为该域名分配的CNAME地址。
步骤三:修改域名的DNS解析
如果您的域名DNS托管在阿里云云解析DNS,请按照以下操作,将域名解析指向步骤二获取的DDoS高防CNAME地址。如果您使用其他DNS服务商的域名解析服务,请登录服务商系统修改网站域名的解析记录,下文内容仅供参考。
登录阿里云云解析DNS控制台。
在域名解析页面,找到要操作的域名,在操作列下单击解析设置。
在解析设置页面,找到要修改的解析记录,在操作列下单击修改。
说明如果要操作的解析记录不在记录列表中,您可以单击添加记录。
在修改记录(或添加记录)页面,选择记录类型为CNAME,并将记录值修改为域名对应的DDoS高防CNAME地址(即步骤二中获取到的DDoS高防CNAME地址)。
单击确认,等待修改后的解析设置生效。
使用浏览器测试网站访问是否正常。
如果网站访问出现异常,请参见业务接入高防后存在卡顿、延迟、访问不通等问题。
相关文档
添加域名:介绍了开通WAF后,如何通过CNAME接入方式将您要防护的域名接入WAF进行防护。
透明接入:介绍了开通WAF后,如何通过透明接入方式将您要防护的域名接入WAF进行防护。
添加网站配置:介绍了开通DDoS高防后,添加网站配置和批量导入网站配置的操作步骤。
修改DNS解析接入网站业务:介绍了手动修改域名解析以接入DDoS高防的操作方法。