如何为网站类业务同时部署DDoS原生防护和Web应用防火墙

本文介绍了为网站类业务同时部署DDoS原生防护和Web应用防火墙的配置方法。该方案适用于为网站业务同时防御四层DDoS攻击和七层Web攻击、CC攻击的场景。

前提条件

已创建ECS实例并部署了业务相关的应用，ECS实例拥有公网IP地址且网站有域名。

说明如果网站用于在中国内地提供服务，则网站域名必须已经完成ICP备案，否则将不能接入中国内地的Web应用防火墙实例进行防护。更多信息，请参见ICP备案流程概述。
已开通DDoS原生防护企业版。更多信息，请参见开通DDoS原生防护企业版。

说明您在购买原生防护企业版实例时，需要选择资源所在地域。该地域必须与ECS实例一致。
已开通Web应用防火墙。更多信息，请参见开通Web应用防火墙。

背景信息

为网站类业务开启DDoS原生防护企业版时，如果业务本身除了需要防御DDoS攻击，还需要防御Web攻击、CC攻击，建议您为网站同时开启Web应用防火墙，由Web应用防火墙帮助业务防御常见的Web攻击、CC攻击。关于Web应用防火墙（WAF）的详细介绍，请参见什么是Web应用防火墙。

同时使用DDoS原生防护和Web应用防火墙时，您需要先将网站业务接入Web应用防火墙进行防护，然后将WAF实例的IP地址添加为DDoS原生防护企业版实例的防护对象。完成上述部署后，所有业务流量先经过WAF进行安全清洗，攻击流量（包括DDoS攻击、Web攻击、CC攻击）被丢弃，只有正常的业务流量被转发到源站服务器。

操作步骤

将网站接入Web应用防火墙进行防护。
1. 登录Web应用防火墙控制台。
2. 在顶部菜单栏，选择地域（中国内地、海外地区）。
  Web应用防火墙将根据源站服务器的位置自动匹配最佳的服务地区。
3. 在左侧导航栏，单击资产中心 > 网站接入。
4. 单击添加域名。
  Web应用防火墙支持CNAME接入和透明接入两种接入方式，其中CNAME接入分为域名一键接入（即自动操作）和手动添加网站，透明接入目前仅支持源站服务器部署在华北2（北京）地域的阿里云ECS实例。
  本教程以CNAME接入-手动添加网站为例进行介绍。关于其他的接入方法，请参见CNAME接入-自动添加网站、透明接入。
5. 可选：在域名一键接入页面，单击手动添加其他网站。如果没有跳出域名一键接入页面，请忽略该步骤。
6. 完成添加域名配置向导中的步骤1：填写网站信息，并单击下一步。
  您需要填写以下网站信息：
  - 域名：网站的域名。
  - 协议类型：网站使用的协议类型。如果支持HTTPS，必须在添加域名后上传网站域名的HTTPS证书。更多信息，请参见上传HTTPS证书。
  - 服务器地址：选择IP类型并填写ECS实例的公网IP地址。
  - 服务器端口：选择协议类型后，自动匹配默认的服务端口。WAF也支持自定义非标准服务端口。更多信息，请参见支持的自定义端口范围。
  - WAF前是否有七层代理（高防/CDN等）：选择否。
    您如果已在WAF前配置了其他的七层代理服务（例如DDoS高防、CDN等），那么客户端访问流量到WAF前会先经过其他七层代理转发。由于您使用的是DDoS原生防护，原生防护不属于七层代理服务，此处您选择否即可。
  关于网站信息参数的更多说明，请参见网站信息参数说明。
7. 单击完成，返回网站列表。
  已添加的网站将获得一个CName地址，您可以在网站列表中获取网站域名的CName地址。
8. 在本地计算机上执行ping命令，ping 网站域名的CName地址，获取您已购买的WAF实例的IP地址。
在源站服务器上设置放行Web应用防火墙的回源IP段。
具体操作请参见放行WAF回源IP段。
修改网站域名的DNS解析，将域名解析指向步骤1获得的WAF Cname地址。
具体操作请参见修改域名DNS。

修改域名解析后，网站的所有访问请求都会解析到Web应用防火墙进行安全清洗（过滤Web攻击、CC攻击），只有正常的业务流量被转发到源站服务器。
由于WAF实例本身不具备抵御大流量DDoS攻击的能力，业务遭受大流量DDoS攻击时会导致WAF实例性能受损，影响业务转发，所以需要为WAF实例开启原生防护企业版，提高业务的抗DDoS攻击能力。
将WAF的IP地址添加为您已购买的DDoS原生防护企业版实例的防护对象，为WAF实例开启DDoS原生防护企业版防护。
具体操作请参见添加防护对象。

成功添加防护对象后，WAF实例将享有DDoS原生防护企业版实例的DDoS攻击全力防护能力，在业务遭受DDoS攻击时，自动触发流量清洗，防御DDoS攻击。