通过联合部署阿里云DDoS高防+WAF提升网站全面防护能力
如果您的网络遭受的攻击既有流量型攻击,又混杂精巧的Web应用层攻击时,单一使用一种网络安全防护产品无法起到全面的防护效果,我们推荐您组合使用阿里云DDoS高防和Web应用防火墙(Web Application Firewall,简称 WAF)。本文介绍了为业务同时部署DDoS高防和WAF时的配置指导。
前提条件
- 已开通DDoS高防(新BGP)或者DDoS高防(国际)实例。更多信息,请参见购买DDoS高防实例。
- 已开通WAF实例。更多信息,请参见开通Web应用防火墙。
背景信息
DDoS高防和WAF同时部署时采用以下网络架构:DDoS高防(入口层,防御DDoS攻击)->WAF(中间层,防御Web应用攻击)->源站服务器(ECS、SLB、VPC、IDC等)。网站业务流量会先经过DDoS高防清洗,然后转发到WAF过滤Web攻击,最后只有正常的业务流量被转发到源站服务器,保障网站的业务安全和数据安全。业务流量的转发过程如下图所示。
说明 应用上述网络架构后,访问请求将经过多层中间代理才到达源站,源站不能直接获取请求的真实来源IP。如果您需要获取访问请求的真实来源IP,请参见配置DDoS高防后获取真实的请求来源IP。
步骤一:网站业务接入WAF
- 添加域名。
- 接入模式:CNAME接入。
说明 进入添加域名页面后,接入模式默认为Cname接入。CNAME接入场景下,您无需再修改接入模式。
- 在填写网站信息模块按以下要求配置参数。
- 域名:填写要防护的网站域名。
- 防护资源:按实际情况选择要使用的防护资源类型。
- 协议类型:按实际情况选择网站支持的协议类型。
- 服务器地址:选择IP并填写源站服务器对应的SLB公网IP、ECS公网IP或云外机房服务器的IP。
- 服务器端口:根据已选择的协议类型,按实际情况设置源站提供对应服务的端口。
- 负载均衡算法:当设置了多个源站服务器地址时,按实际情况选择多源站服务器间的负载均衡算法。
- WAF前是否有七层代理(高防/CDN等):选择是。
- 启用流量标记:按实际情况设置是否启用WAF流量标记功能。
- 资源组:当需要根据业务部门、项目等维度对云资源进行分组管理时,从资源组列表中选择该域名所属资源组。
- 单击下一步。
- 返回域名列表,找到新添加的域名,在域名/CNAME列复制WAF为该域名分配的CNAME地址。
-
- 在填写网站信息模块按以下要求配置参数。
- 接入模式:透明接入。
- 在添加域名页面,选择接入模式为透明接入。
- 在添加域名信息模块按以下要求配置参数。
- 域名:填写要防护的网站域名。
- ALB类型、七层SLB类型、四层SLB类型、ECS类型:在标签页中选择待防护实例所属类型,勾选待防护实例对应的端口。
- WAF前是否有七层代理(高防/CDN等):选择是。
- 启用流量标记:按实际情况设置是否启用WAF流量标记功能。
- 资源组:当需要根据业务部门、项目等维度对云资源进行分组管理时,从资源组列表中选择该域名所属资源组。
- 单击下一步。
- 检查并确认配置后,单击下一步。
- 单击完成,返回网站列表。
- 接入模式:CNAME接入。
步骤二:网站业务接入DDoS高防
- 按照页面提示,完成添加网站配置向导。
- 在填写网站信息模块按以下要求配置参数。
- 功能套餐:按实际情况选择要关联的DDoS高防实例的功能套餐。
- 实例:按实际情况选择要关联的DDoS高防实例。
- 网站:填写要防护的网站域名。
- 协议类型:按实际情况选择网站支持的协议类型。
- 启用OCSP:按实际情况选择是否启用OCSP(Online Certificate Status Protocol)功能。
- 服务器地址:
- 域名在WAF上的接入模式为CNAME接入时,选择源站域名并填写步骤一中获取的WAF的CNAME地址。
- 域名在WAF上的接入模式为透明接入时,选择源站IP并填写源站服务器的公网IP。
- 服务器端口:根据已选择的协议类型,设置源站提供对应服务的端口。
- Cname Reuse:当源站服务器上有多个网站业务时,根据实际情况选择是否开启CNAME复用。
- 单击添加。
- 返回域名接入页面,找到新添加的域名,在域名列复制DDoS高防为该域名分配的CNAME地址。
- 在填写网站信息模块按以下要求配置参数。
步骤三:修改域名的DNS解析
如果您的域名DNS托管在阿里云云解析DNS,请按照以下操作,将域名解析指向步骤二获取的DDoS高防CNAME地址。如果您使用其他DNS服务商的域名解析服务,请登录服务商系统修改网站域名的解析记录,下文内容仅供参考。
