“ddos高防 waf”联动,提升网站全面防护能力-凯发k8国际娱乐官网入口
防护原理
- 通过高防ip代理源ip对外提供服务,将所有的公网流量都引流至高防ip,进而隐藏源站,避免源站(用户业务)遭受大流量ddos攻击。
ddos高防支持防护的对象:域名,华为云、非华为云或云下的web业务
- web应用防火墙通过对http(s)请求进行检测,识别并阻断sql注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、cc攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护web服务安全稳定。
waf支持云模式、独享模式和elb模式三种部署模式,各部署模式支持防护的对象说明如下:
- 云模式:域名,华为云、非华为云或云下的web业务
- 独享模式/elb模式:域名或ip,华为云上的web业务
ddos高防 waf可以对华为云、非华为云或云下的域名进行联动防护,可以同时防御ddos攻击(ntp flood攻击、syn flood攻击、ack flood攻击、icmp flood攻击、http get flood攻击等),以及web应用攻击(sql注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、cc攻击、恶意爬虫扫描、跨站请求伪造等),确保业务持续可靠运行,配置原理图如图1所示。
ddos高防 waf配置后,流量被ddos高防转发到waf,waf再将流量转到源站,实现网站流量检测和攻击拦截。
相关配置说明如下:
- 云模式
先将域名解析到ddos高防,再修改ddos高防域名信息,将源站域名修改为waf的“cname”。同时,为了防止其他用户提前将您的域名配置到waf上,从而对您的域名防护造成干扰,建议您到dns服务商处添加一条waf的子域名和txt记录。
- 独享模式
先将域名解析到ddos高防,再修改ddos高防域名信息,将源站ip修改为waf独享引擎实例配置弹性负载均衡绑定的弹性公网ip。
- elb模式
先将域名解析到ddos高防,再修改ddos高防域名信息,将源站ip修改为中选择的elb对应的弹性公网ip。
约束条件
- “ddos高防 waf”联动仅支持域名防护。
- 如果waf前使用了高防、cdn(content delivery network,内容分发网络)、云加速等代理,配置cc防护规则时,建议“限速模式”选择“用户限速”,并勾选“全局计数”。
前提条件
已并已完成ddos高防,且已完成如表1所示配置操作。
部署模式 |
配置说明 |
---|---|
云模式 |
|
独享模式 |
|
elb模式 |
|
waf云模式配置策略
以下操作以华为云ddos高防为例介绍配置域名解析的方法。如果您使用的是华为云ddos高防,您可以直接参照以下步骤进行操作;若您使用华为云以外的ddos高防,请参考以下步骤在其他ddos高防上进行类似配置。
- 获取“cname”、“子域名”和“txt记录”值。
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域或项目。
- 单击页面左上方的,选择 。
- 在目标域名所在行的“网站设置”列中,单击目标域名,进入域名基本信息页面。
图2 基本信息页面
- 确认“是否已使用代理”是否为“四层代理”或“七层代理”。
如果您使用的是四层代理转发的ddos高防,请选择“四层代理”,反正则选择“七层代理”。
- 单击cname所在行的,复制“cname”。在“接入状态”所在行,单击“如何接入?”,在弹出的对话框中,复制“子域名”和“txt记录”。
- ddos高防回源ip地址修改。
- 单击页面上方的,选择 ,在左侧导航树中,选择 ,进入域名配置页面。
- 在使用的ddos高防代理类服务的域名所在行的“操作”列,单击“编辑”,进入“域名业务配置编辑”页面,将“源站ip/域名”的内容修改为复制的waf的cname值,如图3所示。
图3 域名业务配置编辑
- 单击“确定”,ddos高防回源地址修改完成。
- (可选)在dns服务商添加一条waf的子域名和txt记录。
为了防止其他用户提前将您的域名配置到web应用防火墙上,从而对您的域名防护造成干扰,建议您完成此操作。
- (可选)验证dns配置。您可以ping网站域名验证dns解析是否生效。
由于dns解析记录生效需要一定时间,如果验证失败,您可以等待5分钟后重新检查。
waf独享模式/elb模式配置策略
请参考以下步骤在华为云ddos高防上进行配置操作。
- 。
- 单击管理控制台左上角的,选择区域或项目。
- 单击页面左上方的,选择 ,进入ddos防护页面。
- 在左侧导航树中,选择 ,进入域名接入页面。
- 在目标域名所在行的“操作”列中,单击“编辑”。
- 在弹出“域名业务配置编辑”对话框中,修改源站ip,如图6所示。
图6 修改源站ip
- 如果您的业务使用了waf独享模式,“源站ip/域名”文本框中输入。
- 如果您的业务使用了waf elb模式,“源站ip/域名”文本框中输入中选择的elb对应的弹性公网ip。
- 单击“确定”,完成源站ip配置。
生效条件
当“接入状态”为“已接入”,表示域名/ip接入成功。
- waf每隔一小时就会自动检测防护网站的 “接入状态”,当waf统计防护网站在5分钟内达到20次访问请求时,将认定该防护网站已成功接入waf。
- waf默认只检测两周内新增或更新的域名的“接入状态”,如果域名创建时间在两周前,且最近两周内没有任何修改,您可以在“域名接入”进度栏,单击,手动刷新域名接入进度。
如果域名接入失败,即域名接入状态为“未接入”,请参考排查处理。
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨