使用Web应用防火墙(Web Application Firewall,简称WAF)防护您的Web业务前,您必须将要防护的网站接入WAF。未完成接入操作,您的Web应用防火墙防护将无法生效。
网站接入流程
WAF支持使用CNAME接入和透明接入模式,为您的网站流量提供WAF防护。
- CNAME接入
您在WAF控制台添加需要防护的网站域名后,通过修改域名的DNS解析设置,将网站流量解析到WAF,使访问网站的流量经过WAF并受到WAF的防护。WAF将过滤和处理后的请求转发回该域名的源站服务器。WAF支持自动添加网站(即域名一键接入)和手动添加网站两种方式。
CNAME接入流程:- 添加域名:介绍自动添加网站和手动添加网站的相关操作。
- 放行WAF回源IP段:WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护时,您需要设置源站服务器的安全软件或访问控制策略,放行WAF回源IP段的入方向流量。
- 本地验证:添加域名后,在本地电脑上搭建简易的模拟环境,验证网站流量转发设置已经生效,避免转发设置未生效时修改域名的DNS解析设置,导致业务访问异常。
- 修改域名DNS:手动修改域名的DNS解析设置,将网站流量解析到WAF进行防护。
- 透明接入
透明接入模式无需修改域名的DNS解析设置,完成域名接入后,可以将源站ALB实例、CLB实例上的HTTP或HTTPS请求流量直接牵引到WAF,经WAF处理后再将正常的请求流量转发回源站服务器。
关于透明接入的具体内容及操作,请参见:透明接入。
完成接入流程后,网站访问流量将经过WAF保护。WAF包含多种防护检测模块,帮助网站应对不同类型的安全威胁,其中规则防护引擎和CC安全防护模块默认开启,分别用于防御常见的Web应用攻击(例如SQL注入、XSS跨站、webshell上传等)和CC攻击,其他防护模块需要您手动开启并配置具体防护规则。更多信息,请参见网站防护配置概述。
最佳实践
云产品接入WAF
- 通过联合部署DDoS高防和WAF提升网站防护能力:网站需要同时防御Web应用攻击和DDoS攻击时,您可以在源站前依次部署DDoS高防和WAF。
- 同时部署WAF和CDN:网站需要防御Web应用攻击,同时部署CDN加速时,您可以在源站前依次部署CDN和WAF。