凯发k8国际娱乐官网入口-k8凯发> web应用防火墙 waf> > > “ddos高防 waf”联动,提升网站全面防护能力
更新时间:2023-12-26 gmt 08:00

“ddos高防 waf”联动,提升网站全面防护能力-凯发k8国际娱乐官网入口

防护原理

  • 通过高防ip代理源ip对外提供服务,将所有的公网流量都引流至高防ip,进而隐藏源站,避免源站(用户业务)遭受大流量ddos攻击。

    ddos高防支持防护的对象:域名,华为云、非华为云或云下的web业务

  • web应用防火墙通过对http(s)请求进行检测,识别并阻断sql注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、cc攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护web服务安全稳定。
    waf支持云模式、独享模式和elb模式三种部署模式,各部署模式支持防护的对象说明如下:
    • 云模式:域名,华为云、非华为云或云下的web业务
    • 独享模式/elb模式:域名或ip,华为云上的web业务

ddos高防 waf可以对华为云、非华为云或云下的域名进行联动防护,可以同时防御ddos攻击(ntp flood攻击、syn flood攻击、ack flood攻击、icmp flood攻击、http get flood攻击等),以及web应用攻击(sql注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、cc攻击、恶意爬虫扫描、跨站请求伪造等),确保业务持续可靠运行,配置原理图如图1所示。

图1 使用代理配置原理图

ddos高防 waf配置后,流量被ddos高防转发到waf,waf再将流量转到源站,实现网站流量检测和攻击拦截。

相关配置说明如下:

  • 云模式

    先将域名解析到ddos高防,再修改ddos高防域名信息,将源站域名修改为waf的“cname”。同时,为了防止其他用户提前将您的域名配置到waf上,从而对您的域名防护造成干扰,建议您到dns服务商处添加一条waf的子域名和txt记录。

  • 独享模式

    先将域名解析到ddos高防,再修改ddos高防域名信息,将源站ip修改为waf独享引擎实例配置弹性负载均衡绑定的弹性公网ip。

  • elb模式

    先将域名解析到ddos高防,再修改ddos高防域名信息,将源站ip修改为中选择的elb对应的弹性公网ip。

约束条件

  • “ddos高防 waf”联动仅支持域名防护。
  • 如果waf前使用了高防、cdn(content delivery network,内容分发网络)、云加速等代理,配置cc防护规则时,建议“限速模式”选择“用户限速”,并勾选“全局计数”

前提条件

已并已完成ddos高防,且已完成如表1所示配置操作。

表1 waf各模式配置说明

部署模式

配置说明

云模式
  1. 购买waf云模式
  2. 已将域名信息(源站服务器的ip、端口等信息)添加到waf云模式
    说明:

    当源站存在ipv6地址,默认开启ipv6防护。waf为了防止客户ipv6的业务中断,禁止关闭ipv6的开关,如果确定不需要ipv6防护,需要先修改服务器配置,在源站删除ipv6的配置,具体的操作方法请参见修改服务器配置信息

  3. 在域名的dns服务商处有添加域名的权限。
  4. (可选)放行waf回源段ip。源站服务器上已启用非华为云安全软件(如安全狗、云锁)时,您需要在这些软件上设置放行waf回源段ip,防止由waf转发到源站的正常业务流量被拦截。具体请参考通过配置ecs/elb访问控制策略保护源站安全

独享模式
  1. 已。
  2. 已将域名信息(源站服务器的ip、端口等信息)。
  3. 已为waf独享模式实例。
  4. 已。

elb模式
  1. 购买waf云模式
  2. 已将域名信息。

waf云模式配置策略

以下操作以华为云ddos高防为例介绍配置域名解析的方法。如果您使用的是华为云ddos高防,您可以直接参照以下步骤进行操作;若您使用华为云以外的ddos高防,请参考以下步骤在其他ddos高防上进行类似配置。

  1. 获取“cname”“子域名”“txt记录”值。
    1. 登录管理控制台。
    2. 单击管理控制台左上角的,选择区域或项目。
    3. 单击页面左上方的,选择安全与合规 > web应用防火墙 waf
    4. 在目标域名所在行的“网站设置”列中,单击目标域名,进入域名基本信息页面。
      图2 基本信息页面
    5. 确认“是否已使用代理”是否为“四层代理”“七层代理”

      如果您使用的是四层代理转发的ddos高防,请选择“四层代理”,反正则选择“七层代理”

      • 否。单击“是否已使用代理”后的,在弹出的“是否已使用代理”界面,选择“四层代理”“七层代理”,单击“确定”。然后执行1.f
      • 是。直接执行1.f
    6. 单击cname所在行的,复制“cname”。在“接入状态”所在行,单击“如何接入?”,在弹出的对话框中,复制“子域名”“txt记录”
  2. ddos高防回源ip地址修改。
    1. 单击页面上方的,选择安全与合规 > ddos防护,在左侧导航树中,选择ddos高防 > 域名接入,进入域名配置页面。
    2. 在使用的ddos高防代理类服务的域名所在行的“操作”列,单击“编辑”,进入“域名业务配置编辑”页面,将“源站ip/域名”的内容修改为复制的waf的cname值,如图3所示。
      图3 域名业务配置编辑
    3. 单击“确定”,ddos高防回源地址修改完成。
  3. (可选)在dns服务商添加一条waf的子域名和txt记录。

    为了防止其他用户提前将您的域名配置到web应用防火墙上,从而对您的域名防护造成干扰,建议您完成此操作。

    1. 进入云解析页面的入口,如图4所示。
      图4 云解析页面入口
    2. 在页面的右上角,单击“添加记录集”,进入“添加记录集”页面,配置模式如图5所示。
      • “主机记录”1.f中复制的txt记录。
      • “类型”:选择“txt-设置文本记录”
      • “别名”:选择“否”
      • “线路类型”:全网默认。
      • “ttl(秒)”:一般建议设置为5分钟,ttl值越大,则dns记录的同步和更新越慢。
      • “值”:将1.f中复制的txt记录加上引号后粘贴在对应的文本框,例如,"txt记录"。
      • 其他的设置保持不变。
      图5 添加记录集
    3. 单击“确定”,完成子域名配置。
  4. (可选)验证dns配置。您可以ping网站域名验证dns解析是否生效。

    由于dns解析记录生效需要一定时间,如果验证失败,您可以等待5分钟后重新检查。

waf独享模式/elb模式配置策略

请参考以下步骤在华为云ddos高防上进行配置操作。

  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全与合规 > ddos防护,进入ddos防护页面。
  4. 在左侧导航树中,选择ddos高防 > 域名接入,进入域名接入页面。
  5. 在目标域名所在行的“操作”列中,单击“编辑”
  6. 在弹出“域名业务配置编辑”对话框中,修改源站ip,如图6所示。
    图6 修改源站ip
    • 如果您的业务使用了waf独享模式,“源站ip/域名”文本框中输入。
    • 如果您的业务使用了waf elb模式,“源站ip/域名”文本框中输入中选择的elb对应的弹性公网ip。
  7. 单击“确定”,完成源站ip配置。

生效条件

“接入状态”“已接入”,表示域名/ip接入成功。

  • waf每隔一小时就会自动检测防护网站的 “接入状态”,当waf统计防护网站在5分钟内达到20次访问请求时,将认定该防护网站已成功接入waf。
  • waf默认只检测两周内新增或更新的域名的“接入状态”,如果域名创建时间在两周前,且最近两周内没有任何修改,您可以在“域名接入”进度栏,单击,手动刷新域名接入进度。

如果域名接入失败,即域名接入状态为“未接入”,请参考排查处理。

父主题:
分享:
网站地图