通过联合部署DDoS高防和WAF提升网站防护能力

如果您的网络遭受的攻击既有流量型攻击,又混杂精巧的Web应用层攻击时,单一使用一种网络安全防护产品无法起到全面的防护效果,我们推荐您组合使用阿里云DDoS高防和Web应用防火墙(Web Application Firewall,简称 WAF)。本文介绍了为业务同时部署DDoS高防和WAF时的配置指导。

前提条件

背景信息

DDoS高防和WAF同时部署时采用以下网络架构:DDoS高防(入口层,防御DDoS攻击)->WAF(中间层,防御Web应用攻击)->源站服务器(ECS、SLB、VPC、IDC等)。网站业务流量会先经过DDoS高防清洗,然后转发到WAF过滤Web攻击,最后只有正常的业务流量被转发到源站服务器,保障网站的业务安全和数据安全。业务流量的转发过程如下图所示。

image
说明

应用上述网络架构后,访问请求将经过多层中间代理才到达源站,源站不能直接获取请求的真实来源IP。如果您需要获取访问请求的真实来源IP,请参见配置DDoS高防后获取真实的请求来源IP

步骤一:网站业务接入WAF

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地非中国内地)。

  3. 在左侧导航栏,选择资产中心 > 网站接入

  4. 域名列表页签,单击网站接入

  5. 添加域名。

    • 接入模式:CNAME接入。

      说明

      进入添加域名页面后,接入模式默认为Cname接入。CNAME接入场景下,您无需再修改接入模式

      1. 填写网站信息模块按以下要求配置参数。

        • 域名:填写要防护的网站域名。

        • 防护资源:按实际情况选择要使用的防护资源类型。

        • 协议类型:按实际情况选择网站支持的协议类型。

        • 服务器地址:选择IP并填写源站服务器对应的SLB公网IP、ECS公网IP或云外机房服务器的IP。

        • 服务器端口:根据已选择的协议类型,按实际情况设置源站提供对应服务的端口。

        • 负载均衡算法:当设置了多个源站服务器地址时,按实际情况选择多源站服务器间的负载均衡算法。

        • WAF前是否有七层代理(高防/CDN等):选择

        • 启用流量标记:按实际情况设置是否启用WAF流量标记功能。

        • 资源组:当需要根据业务部门、项目等维度对云资源进行分组管理时,从资源组列表中选择该域名所属资源组。

      2. 单击下一步

      3. 返回域名列表,找到新添加的域名,在域名/CNAME列复制WAF为该域名分配的CNAME地址。WAF侧CNAME_cn

    • 接入模式:透明接入。

      1. 添加域名页面,选择接入模式透明接入

      2. 添加域名信息模块按以下要求配置参数。

        • 域名:填写要防护的网站域名。

        • ALB类型七层SLB类型四层SLB类型ECS类型:在标签页中选择待防护实例所属类型,勾选待防护实例对应的端口。

        • WAF前是否有七层代理(高防/CDN等):选择

        • 启用流量标记:按实际情况设置是否启用WAF流量标记功能。

        • 资源组:当需要根据业务部门、项目等维度对云资源进行分组管理时,从资源组列表中选择该域名所属资源组。

      3. 单击下一步

      4. 检查并确认配置后,单击下一步

      5. 单击完成,返回网站列表。

步骤二:网站业务接入DDoS高防

  1. 登录DDoS高防控制台

  2. 在顶部菜单栏左上角处,选择服务所在地域:

    • DDoS高防(新BGP):选择中国内地地域。

    • DDoS高防(国际):选择非中国内地地域。

    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。

  3. 在左侧导航栏,选择接入管理 > 域名接入

  4. 域名接入页面,单击添加网站

  5. 按照页面提示,完成添加网站配置向导。

    1. 填写网站信息模块按以下要求配置参数。

      • 功能套餐:按实际情况选择要关联的DDoS高防实例的功能套餐。

      • 实例:按实际情况选择要关联的DDoS高防实例。

      • 网站:填写要防护的网站域名。

      • 协议类型:按实际情况选择网站支持的协议类型。

      • 启用OCSP:按实际情况选择是否启用OCSP(Online Certificate Status Protocol)功能。

      • 服务器地址

        • 域名在WAF上的接入模式为CNAME接入时,选择源站域名并填写步骤一中获取的WAFCNAME地址。

        • 域名在WAF上的接入模式为透明接入时,选择源站IP并填写源站服务器的公网IP。

      • 服务器端口:根据已选择的协议类型,设置源站提供对应服务的端口。

    2. 单击添加

    3. 返回域名接入页面,找到新添加的域名,在域名列复制DDoS高防为该域名分配的CNAME地址。复制高防CNAME

步骤三:修改域名的DNS解析

如果您的域名DNS托管在阿里云云解析DNS,请按照以下操作,将域名解析指向步骤二获取的DDoS高防CNAME地址。如果您使用其他DNS服务商的域名解析服务,请登录服务商系统修改网站域名的解析记录,下文内容仅供参考。

  1. 登录阿里云云解析DNS控制台

  2. 域名解析页面,找到要操作的域名,在操作列下单击解析设置

  3. 解析设置页面,找到要修改的解析记录,在操作列下单击修改

    说明

    如果要操作的解析记录不在记录列表中,您可以单击添加记录

  4. 修改记录(或添加记录)页面,选择记录类型CNAME,并将记录值修改为域名对应的DDoS高防CNAME地址(即步骤二中获取到的DDoS高防CNAME地址)。

  5. 单击确认,等待修改后的解析设置生效。

  6. 使用浏览器测试网站访问是否正常。

    如果网站访问出现异常,请参见业务接入高防后存在卡顿、延迟、访问不通等问题

相关文档

  • 添加域名:介绍了开通WAF后,如何通过CNAME接入方式将您要防护的域名接入WAF进行防护。

  • 透明接入:介绍了开通WAF后,如何通过透明接入方式将您要防护的域名接入WAF进行防护。

  • 添加网站配置:介绍了开通DDoS高防后,添加网站配置和批量导入网站配置的操作步骤。

  • 修改DNS解析接入网站业务:介绍了手动修改域名解析以接入DDoS高防的操作方法。