Web应用防火墙本身仅拥有阿里云默认提供的最大5Gbps的DDoS基础防护能力,如果您希望同时为业务接入Web攻击防护和DDoS高级防护,我们推荐您组合使用阿里云Web应用防火墙(WAF)和DDoS高防。本文介绍了为业务同时部署WAF和DDoS高防的配置方法。

背景信息

WAF的核心能力是防护应用层的攻击,典型的是一些由恶意攻击者精心构造的攻击请求,而WAF本身不具备DDoS高级防护能力。DDoS高防的核心能力在于防护DDoS攻击,偏向于流量攻击。更多信息,请参见什么是DDoS高防

网络攻击者往往不会仅用单一的攻击方式发起攻击,多采用混合型的攻击方式,既有流量型攻击,又混杂精巧的Web应用层攻击等其他攻击方式。因此,单一使用一种网络安全防护产品无法起到全面的防护效果,一般建议您根据遭受的攻击进行分析来选择适合的防护手段。

WAF与DDoS高防完全兼容。您可以参照以下架构为网站业务同时部署WAF和DDoS高防:DDoS高防(入口层,实现DDoS防护)> Web应用防火墙(中间层,实现应用层防护)> 源站。

操作步骤

  1. 在Web应用防火墙中添加网站配置。
    1. 登录云盾Web应用防火墙控制台
    2. 管理 > 网站配置页面,单击添加网站
    3. 添加新的网站,并在网站信息中完成以下配置。
      • 域名:填写被防护网站的域名。
      • 服务器地址:勾选IP并填写ECS公网IP、SLB公网IP、云外机房服务器的IP。
      • WAF前是否有七层代理(高防/CDN等):勾选
      说明 更多信息,请参见网站配置
      成功添加网站配置。
    4. 网站配置列表中复制网站的WAF Cname地址。
  2. 在DDoS高防中添加网站配置。
    1. 登录云盾DDoS高防(新BGP)控制台
    2. 管理 > 网站配置页面,单击添加网站
    3. 填写域名信息任务中, 完成以下配置,并单击添加
      • 功能套餐实例:选择要使用的DDoS高防实例。
      • 网站:填写被防护网站的域名。
      • 协议类型:勾选源站支持的协议类型。
      • 服务器地址:勾选源站域名并填写步骤1中获得的WAF Cname地址。
      说明 更多信息,请参见添加网站配置
      高防网站信息
      成功添加网站配置,获得DDoS高防Cname地址。ddos高防cname地址
  3. 更新域名的DNS解析。前往域名的DNS服务商处,设置域名解析,添加一条CNAME记录,将网站域名的解析地址指向步骤2获得的DDoS高防Cname地址。
    说明 更多信息,请参见业务接入DDoS高防配置

执行结果

完成上述配置后,网站流量先经过DDoS高防,再转发到Web应用防火墙。