cdn加速waf防护资源-凯发k8国际娱乐官网入口

前提条件

• 已经按照准备好需要接入的域名和华为账号。
• 已购买waf。
• 已开通cdn服务。

背景信息

cdn是构建在现有互联网基础之上的一层智能虚拟网络，通过在网络各处部署节点服务器，实现将源站内容分发至所有cdn节点，使用户可以就近获得所需的内容，所以接入cdn的网站都能有比较快的响应速度。

web应用防火墙（waf：web application firewall），通过对http(s)请求进行检测，识别并阻断sql注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、cc攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护web服务安全稳定。

如果您的网站对安全性能要求比较高，同时又有加速的需求，可以使用华为云cdn联动waf配置，实现加速的同时防护web攻击。

cdn waf的配置原理

cdn waf联动的业务流向为：cdn>waf>源站，流量由cdn转发到waf，waf再将流量转到源站，实现网站加速、流量检测和攻击拦截。

配置场景

本文配置以您的waf在华为云为例，为您介绍开通cdn waf联动部署。如果您的waf在其它云服务，请参考本文完成配置。

场景1：已购买waf并添加防护域名，配置cdn waf联动

如果您已经将域名接入waf防御，要配置cdn waf联动，您需要先将waf域名基本信息中的“是否已使用代理”修改为“是”，waf才能够针对真实源ip进行安全策略防御；然后在cdn侧添加加速域名，将waf的cname作为cdn的源站，cdn才能将流量转发给waf，实现加速和web攻击防御联动。

使用限制：

• cdn的加速域名仅支持默认端口，以非标端口的方式接入waf的防护域名将无法接入cdn。
• 如果您在waf侧为防护域名配置了https证书，请同步在cdn侧完成证书配置，否则会导致域名无法访问。

操作步骤

1. 根据指导修改防护域名的代理设置。
   • 是否已使用代理：是

   

2. 复制waf的cname。
3. 在cdn侧添加加速域名（即waf的防护域名）
   1. 登录，在控制台凯发k8国际娱乐k8凯发官网入口首页中选择“cdn与智能边缘 > 内容分发网络 cdn”，进入cdn控制台。
   2. 在左侧导航栏选择“域名管理”，进入域名管理页面。
   3. 在域名管理界面，单击“添加域名”，在弹出的对话框中配置域名参数。
      • 添加源站时，“源站类型”选择“源站域名”，“源站地址”输入waf的cname域名。

        

   4. 单击“确定”完成域名的添加，cdn会为加速域名生成专属cname。
   

   • 如果您的waf是独享模式，需要使用“源站ip”接入cdn，“源站”文本框中请输入。
4. （可选）添加加速域名后，为保证顺利切换不影响业务，建议先做测试再切换dns解析，请参考本地测试加速域名。
5. 在dns域名服务商处修改解析记录，配置cdn提供的cname，详情请参见配置cname。
6. 验证cname是否生效。

   打开windows操作系统中的cmd程序，输入如下指令：

   nslookup -qt=cname 加速域名

   如果回显cname，则表示cname配置已经生效，如下图：

   

   

   如果您暂未使用cdn和waf，也建议您按照场景1的方式先接入waf，再配置联动。

场景2：加速域名已经接入cdn加速，配置cdn waf联动

如果您的域名已经接入cdn加速，现在需要配置cdn waf联动，您需要先在waf添加防护域名，“是否已使用代理”选项选择“是”，waf才能够针对真实源ip进行安全防御；然后将cdn侧加速域名的源站修改waf的cname，cdn才能将流量转发给waf，实现加速和web攻击防御联动。

使用限制：

如果您在cdn侧为加速域名配置了https证书，请同步在waf侧完成证书配置，否则会导致域名无法访问。

操作步骤

1. 将网站信息（源站服务器的ip、端口等信息）添加到waf。配置要点如下。
   • 非标准端口：去勾选。
   • 是否已使用代理：是。

   

2. 配置完成后，waf会为该域名生成一个专属的cname。

   

   

   建议您在配置好waf后先验证业务是否正常，再修改cdn源站。

3. 将cdn加速域名的源站地址修改为waf的cname域名。
   1. 登录，在控制台凯发k8国际娱乐k8凯发官网入口首页中选择“cdn与智能边缘 > 内容分发网络 cdn”，进入cdn控制台。
   2. 在左侧菜单栏中，选择“域名管理”。
   3. 在域名列表中，单击需要修改的域名或域名所在行的“设置”，进入域名配置页面。
   4. 选择“基本配置”页签。
   5. 在源站配置模块，单击“编辑”，将源站修改为如下配置：
      • 源站类型：源站域名。
      • 源站地址：填写waf生成的cname域名。
      • 回源端口：默认端口。
      

      • 如果您的waf是独享模式，需要使用“源站ip”接入cdn，“源站”文本框中请输入。

   完成以上配置后，流量经过cdn转发到waf，达到加速和web攻击防护的目的。