cdn加速waf防护资源-凯发k8国际娱乐官网入口
背景信息
cdn是构建在现有互联网基础之上的一层智能虚拟网络,通过在网络各处部署节点服务器,实现将源站内容分发至所有cdn节点,使用户可以就近获得所需的内容,所以接入cdn的网站都能有比较快的响应速度。
web应用防火墙(waf:web application firewall),通过对http(s)请求进行检测,识别并阻断sql注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、cc攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护web服务安全稳定。
如果您的网站对安全性能要求比较高,同时又有加速的需求,可以使用华为云cdn联动waf配置,实现加速的同时防护web攻击。
cdn waf的配置原理
cdn waf联动的业务流向为:cdn>waf>源站,流量由cdn转发到waf,waf再将流量转到源站,实现网站加速、流量检测和攻击拦截。
配置场景
本文配置以您的waf在华为云为例,为您介绍开通cdn waf联动部署。如果您的waf在其它云服务,请参考本文完成配置。
场景1:已购买waf并添加防护域名,配置cdn waf联动
如果您已经将域名接入waf防御,要配置cdn waf联动,您需要先将waf域名基本信息中的“是否已使用代理”修改为“是”,waf才能够针对真实源ip进行安全策略防御;然后在cdn侧添加加速域名,将waf的cname作为cdn的源站,cdn才能将流量转发给waf,实现加速和web攻击防御联动。
使用限制:
- cdn的加速域名仅支持默认端口,以非标端口的方式接入waf的防护域名将无法接入cdn。
- 如果您在waf侧为防护域名配置了https证书,请同步在cdn侧完成证书配置,否则会导致域名无法访问。
操作步骤
- 根据指导修改防护域名的代理设置。
- 是否已使用代理:是
- 复制waf的cname。
- 在cdn侧添加加速域名(即waf的防护域名)
- 登录,在控制台凯发k8国际娱乐k8凯发官网入口首页中选择“cdn与智能边缘 > 内容分发网络 cdn”,进入cdn控制台。
- 在左侧导航栏选择 ,进入域名管理页面。
- 在域名管理界面,单击“添加域名”,在弹出的对话框中配置域名参数。
- 添加源站时,“源站类型”选择“源站域名”,“源站地址”输入waf的cname域名。
- 添加源站时,“源站类型”选择“源站域名”,“源站地址”输入waf的cname域名。
- 单击“确定”完成域名的添加,cdn会为加速域名生成专属cname。
- 如果您的waf是独享模式,需要使用“源站ip”接入cdn,“源站”文本框中请输入。
- (可选)添加加速域名后,为保证顺利切换不影响业务,建议先做测试再切换dns解析,请参考本地测试加速域名。
- 在dns域名服务商处修改解析记录,配置cdn提供的cname,详情请参见配置cname。
- 验证cname是否生效。
打开windows操作系统中的cmd程序,输入如下指令:
nslookup -qt=cname 加速域名
如果回显cname,则表示cname配置已经生效,如下图:
如果您暂未使用cdn和waf,也建议您按照场景1的方式先接入waf,再配置联动。
场景2:加速域名已经接入cdn加速,配置cdn waf联动
如果您的域名已经接入cdn加速,现在需要配置cdn waf联动,您需要先在waf添加防护域名,“是否已使用代理”选项选择“是”,waf才能够针对真实源ip进行安全防御;然后将cdn侧加速域名的源站修改waf的cname,cdn才能将流量转发给waf,实现加速和web攻击防御联动。
使用限制:
如果您在cdn侧为加速域名配置了https证书,请同步在waf侧完成证书配置,否则会导致域名无法访问。
操作步骤
- 将网站信息(源站服务器的ip、端口等信息)添加到waf。配置要点如下。
- 非标准端口:去勾选。
- 是否已使用代理:是。
- 配置完成后,waf会为该域名生成一个专属的cname。
建议您在配置好waf后先验证业务是否正常,再修改cdn源站。
- 将cdn加速域名的源站地址修改为waf的cname域名。
- 登录,在控制台凯发k8国际娱乐k8凯发官网入口首页中选择“cdn与智能边缘 > 内容分发网络 cdn”,进入cdn控制台。
- 在左侧菜单栏中,选择 。
- 在域名列表中,单击需要修改的域名或域名所在行的“设置”,进入域名配置页面。
- 选择“基本配置”页签。
- 在源站配置模块,单击“编辑”,将源站修改为如下配置:
- 源站类型:源站域名。
- 源站地址:填写waf生成的cname域名。
- 回源端口:默认端口。
- 如果您的waf是独享模式,需要使用“源站ip”接入cdn,“源站”文本框中请输入。
完成以上配置后,流量经过cdn转发到waf,达到加速和web攻击防护的目的。
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨