华为云Web应用防火墙waf“DDoS高防+WAF”联动,提升网站全面防护能力_云淘科技

防护原理

DDoS高防通过高防IP代理源IP对外提供服务,将所有的公网流量都引流至高防IP,进而隐藏源站,避免源站(用户业务)遭受大流量DDoS攻击。

DDoS高防支持防护的对象:域名,华为云、非华为云或云下的Web业务

Web应用防火墙通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。

WAF支持云模式、独享模式和ELB模式三种部署模式,各部署模式支持防护的对象说明如下:

云模式:域名,华为云、非华为云或云下的Web业务
独享模式/ELB模式:域名或IP,华为云上的Web业务

DDoS高防+WAF可以对华为云、非华为云或云下的域名进行联动防护,可以同时防御DDoS攻击(NTP Flood攻击、SYN Flood攻击、ACK Flood攻击、ICMP Flood攻击、HTTP Get Flood攻击等),以及Web应用攻击(SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等),确保业务持续可靠运行,配置原理图如图1所示。

图1 使用代理配置原理图

DDoS高防+WAF配置后,流量被DDoS高防转发到WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。

相关配置说明如下:

云模式

先将域名解析到DDoS高防,再修改DDoS高防域名信息,将源站域名修改为WAF的“CNAME”。同时,为了防止其他用户提前将您的域名配置到WAF上,从而对您的域名防护造成干扰,建议您到DNS服务商处添加一条WAF的子域名和TXT记录。

独享模式

先将域名解析到DDoS高防,再修改DDoS高防域名信息,将源站IP修改为WAF独享引擎实例配置弹性负载均衡绑定的弹性公网IP。

ELB模式

先将域名解析到DDoS高防,再修改DDoS高防域名信息,将源站IP修改为添加到ELB模式中选择的ELB对应的弹性公网IP。

约束条件

“DDoS高防+WAF”联动仅支持域名防护。
如果WAF前使用了高防、CDN(Content Delivery Network,内容分发网络)、云加速等代理,配置CC防护规则时,建议“限速模式”选择“用户限速”,并勾选“全局计数”。

前提条件

已购买DDoS高防实例并已完成DDoS高防网站类业务接入,且已完成如表1所示配置操作。

表1 WAF各模式配置说明

部署模式

配置说明

云模式

已购买WAF云模式。
已将域名信息(源站服务器的IP、端口等信息)添加到WAF云模式。

说明:

当源站存在IPv6地址,默认开启IPv6防护。WAF为了防止客户IPv6的业务中断,禁止关闭IPv6的开关,如果确定不需要IPv6防护,需要先修改服务器配置,在源站删除IPv6的配置,具体的操作方法请参见修改服务器配置信息。

在域名的DNS服务商处有添加域名的权限。
(可选)放行WAF回源段IP。源站服务器上已启用非华为云安全软件(如安全狗、云锁)时,您需要在这些软件上设置放行WAF回源段IP,防止由WAF转发到源站的正常业务流量被拦截。具体请参考通过配置ECS/ELB访问控制策略保护源站安全。

独享模式

已购买WAF独享模式。
已将域名信息(源站服务器的IP、端口等信息)添加到WAF独享模式。
已为WAF独享模式实例配置负载均衡。
已为弹性负载均衡绑定弹性公网IP。
放行独享引擎回源IP。

ELB模式

已购买WAF云模式。
已将域名信息添加到ELB模式。

WAF云模式配置策略

以下操作以华为云DDoS高防为例介绍配置域名解析的方法。如果您使用的是华为云DDoS高防,您可以直接参照以下步骤进行操作;若您使用华为云以外的DDoS高防,请参考以下步骤在其他DDoS高防上进行类似配置。

获取“CNAME”、“子域名”和“TXT记录”值。

登录管理控制台。
单击管理控制台左上角的,选择区域或项目。
单击页面左上方的,选择“安全与合规 > Web应用防火墙 WAF”。
在目标域名所在行的“网站设置”列中,单击目标域名,进入域名基本信息页面。

图2 基本信息页面

确认“是否已使用代理”是否为“四层代理”或“七层代理”。

如果您使用的是四层代理转发的DDoS高防,请选择“四层代理”,反正则选择“七层代理”。

否。单击“是否已使用代理”后的,在弹出的“是否已使用代理”界面,选择“四层代理”或“七层代理”,单击“确定”。然后执行1.f。
是。直接执行1.f。

单击CNAME所在行的,复制“CNAME”。在“接入状态”所在行,单击“如何接入?”,在弹出的对话框中,复制“子域名”和“TXT记录”。

DDoS高防回源IP地址修改。

单击页面上方的,选择“安全与合规 > DDoS防护”,在左侧导航树中,选择“DDoS高防 > 域名接入”,进入域名配置页面。
在使用的DDoS高防代理类服务的域名所在行的“操作”列,单击“编辑”,进入“域名业务配置编辑”页面,将“源站IP/域名”的内容修改为复制的WAF的CNAME值,如图3所示。

图3 域名业务配置编辑

单击“确定”,DDoS高防回源地址修改完成。

(可选)在DNS服务商添加一条WAF的子域名和TXT记录。

为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您完成此操作。

进入云解析页面的入口,如图4所示。

图4 云解析页面入口

在页面的右上角,单击“添加记录集”,进入“添加记录集”页面,配置模式如图5所示。

“主机记录”:1.f中复制的TXT记录。
“类型”:选择“TXT-设置文本记录”。
“别名”:选择“否”。
“线路类型”:全网默认。
“TTL(秒)”:一般建议设置为5分钟,TTL值越大,则DNS记录的同步和更新越慢。
“值”:将1.f中复制的TXT记录加上引号后粘贴在对应的文本框,例如,”TXT记录“。
其他的设置保持不变。

图5 添加记录集

单击“确定”,完成子域名配置。

(可选)验证DNS配置。您可以Ping网站域名验证DNS解析是否生效。

由于DNS解析记录生效需要一定时间,如果验证失败,您可以等待5分钟后重新检查。

WAF独享模式/ELB模式配置策略

请参考以下步骤在华为云DDoS高防上进行配置操作。

登录管理控制台。
单击管理控制台左上角的,选择区域或项目。
单击页面左上方的,选择“安全与合规 > DDoS防护”,进入DDoS防护页面。
在左侧导航树中,选择“DDoS高防 > 域名接入”,进入域名接入页面。
在目标域名所在行的“操作”列中,单击“编辑”。
在弹出“域名业务配置编辑”对话框中,修改源站IP,如图6所示。

图6 修改源站IP

如果您的业务使用了WAF独享模式,“源站IP/域名”文本框中输入为弹性负载均衡绑定弹性公网IP。
如果您的业务使用了WAF ELB模式,“源站IP/域名”文本框中输入添加到ELB模式中选择的ELB对应的弹性公网IP。

单击“确定”,完成源站IP配置。

生效条件

当“接入状态”为“已接入”,表示域名/IP接入成功。

WAF每隔一小时就会自动检测防护网站的 “接入状态”,当WAF统计防护网站在5分钟内达到20次访问请求时,将认定该防护网站已成功接入WAF。
WAF默认只检测两周内新增或更新的域名的“接入状态”,如果域名创建时间在两周前,且最近两周内没有任何修改,您可以在“域名接入”进度栏,单击,手动刷新域名接入进度。

如果域名接入失败,即域名接入状态为“未接入”,请参考域名/IP接入状态显示“未接入”,如何处理?排查处理。

父主题: 联动防护配置

同意关联代理商云淘科技,购买华为云产品更优惠(QQ 78315851)

内容没看懂? 不太想学习?想快速解决? 有偿解决: 联系专家