通过联合部署阿里云DDoS高防+WAF提升网站全面防护能力
如果您的网络遭受的攻击既有流量型攻击,又混杂精巧的Web应用层攻击时,单一使用一种网络安全防护产品无法起到全面的防护效果,我们推荐您组合使用阿里云DDoS高防和Web应用防火墙(Web Application Firewall,简称 WAF)。本文介绍了为业务同时部署DDoS高防和WAF时的配置指导。
前提条件
- 已开通DDoS高防(新BGP)或者DDoS高防(国际)实例。更多信息,请参见购买DDoS高防实例。
- 已开通WAF实例。更多信息,请参见开通Web应用防火墙。
背景信息
DDoS高防和WAF同时部署时采用以下网络架构:DDoS高防(入口层,防御DDoS攻击)->WAF(中间层,防御Web应用攻击)->源站服务器(ECS、SLB、VPC、IDC等)。网站业务流量会先经过DDoS高防清洗,然后转发到WAF过滤Web攻击,最后只有正常的业务流量被转发到源站服务器,保障网站的业务安全和数据安全。业务流量的转发过程如下图所示。
说明 应用上述网络架构后,访问请求将经过多层中间代理才到达源站,源站不能直接获取请求的真实来源IP。如果您需要获取访问请求的真实来源IP,请参见配置DDoS高防后获取真实的请求来源IP。
步骤一:网站业务接入WAF
步骤二:网站业务接入DDoS高防
步骤三:修改域名的DNS解析
如果您的域名DNS托管在阿里云云解析DNS,请按照以下操作,将域名解析指向步骤二获取的DDoS高防CNAME地址。如果您使用其他DNS服务商的域名解析服务,请登录服务商系统修改网站域名的解析记录,下文内容仅供参考。