如果您的網站遭受的攻擊既有流量型攻擊,又混雜精巧的Web應用層攻擊時(例如SQL注入、跨站腳本攻擊、命令注入等)時,推薦您組合使用阿里云DDoS高防和Web 應用防火墻 WAF(Web Application Firewall),通過多層次的安全防護對抗多種潛在威脅。本文介紹如何同時部署DDoS高防和WAF。
網絡架構
DDoS高防和WAF同時部署時采用以下網絡架構:DDoS高防(入口層,防御DDoS攻擊)->WAF(中間層,防御Web應用攻擊)->源站服務器(ECS、SLB、VPC、IDC等)。網站業務流量會先經過DDoS高防清洗,然后轉發到WAF過濾Web攻擊,最后只有正常的業務流量被轉發到源站服務器,保障網站的業務安全和數據安全。業務流量的轉發過程如下圖所示。
注意事項
訪問請求將經過多層中間代理才到達源站,源站不能直接獲取請求的真實來源IP。如果您需要獲取訪問請求的真實來源IP,請參見配置DDoS高防后獲取真實的請求來源IP。
前提條件
已購買DDoS高防實例。更多信息,請參見購買DDoS高防實例。
已購買WAF實例。更多信息,請參見購買WAF 3.0包年包月實例或開通WAF 3.0按量付費實例。
說明本文以WAF 3.0為例介紹,如果您使用的是WAF 2.0也可以參考本文操作。
步驟一:網站業務接入WAF
支持CNAME接入和云產品接入兩種方式,接入前請您詳細了解各接入方式的推薦場景。詳細信息,請參見接入管理概述。
登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)。
在左側導航欄,單擊接入管理。
通過CNAME接入或云產品接入,將業務接入WAF。
CNAME接入
在CNAME接入頁簽,單擊接入。
在配置監聽向導頁,完成如下配置后,單擊下一步。
僅簡要介紹各配置項,更詳細的配置項介紹,請參見添加域名。
配置項
配置說明
域名
填寫您的網站域名。
協議類型
選擇網站使用的協議類型并填寫對應端口。每輸入一個端口,按回車確認。
說明選中HTTPS后,您還需要將網站域名關聯的證書上傳到WAF。如果您的網站要同時支持國密SM2算法,您需要上傳國密證書。
選中HTTPS并配置證書后,您也可以根據業務需要,設置是否開啟HTTP2、是否開啟HTTPS的強制跳轉、選擇TLS協議版本、選擇HTTPS加密套件。
WAF前是否有七層代理(高防/CDN等)
選擇是,并設置客戶端IP判定方式。
(默認)取X-Forwarded-For中的第一個IP作為客戶端源IP
WAF默認讀取請求Header字段
X-Forwarded-For(XFF)中的第一個IP地址作為客戶端IP。【推薦】取指定Header字段中的第一個IP作為客戶端源IP,避免XFF偽造
如果您的網站業務已通過其他代理服務的設置,規定將客戶端源IP放置在某個自定義的Header字段(例如,X-Client-IP、X-Real-IP),則您需要選擇該選項,并在指定Header字段框中輸入對應的Header字段。
說明推薦您在業務中使用自定義Header存放客戶端IP,并在WAF中配置對應Header字段。該方式可以避免攻擊者偽造XFF字段,躲避WAF的檢測規則,提高業務的安全性。
更多配置
根據您的業務,設置是否開啟IPv6、是否開啟獨享IP,選擇要使用的防護資源類型。
資源組
從資源組下拉列表中選擇該域名所屬資源組。如果不選擇,則默認加入默認資源組。
在配置轉發向導頁,完成如下配置后,單擊提交。
在接入完成向導頁,獲取WAF提供的CNAME地址。
配置項
說明
負載均衡算法
源站有多個服務器地址時,根據業務需要設置,以實現負載均衡。
服務器地址
填寫網站對應的源站服務器的公網IP地址或源站域名,用于接收WAF轉發回源的正常業務請求(回源請求)。
HTTPS高級設置
根據業務需要,設置是否開啟HTTP回源、是否啟用回源SNI。
其它高級設置
根據業務需要,設置是否啟用流量標記、WAF回源到源站的超時時間、回源重試、回源長連接。
云產品接入
具體操作,請參見云產品接入。
如果Web業務已啟用阿里云應用型負載均衡(Application Load Balancer,簡稱ALB)、微服務引擎(Microservices Engine,簡稱MSE)、函數計算(Function Compute,簡稱FC)或Serverless 應用引擎 SAE(Serverless App Engine,簡稱SAE),建議您選擇SDK插件接入。如果Web業務已啟用阿里云傳統型負載均衡(Classic Load Balancer,簡稱CLB)上、云服務器(Elastic Compute Service,簡稱ECS),建議您通過反向代理集群接入。
步驟二:網站業務接入DDoS高防
登錄DDoS高防控制臺。
在頂部菜單欄左上角處,選擇地域。
DDoS高防(中國內地):選擇中國內地地域。
DDoS高防(非中國內地):選擇非中國內地地域。
在左側導航欄,選擇。
在域名接入頁面,單擊添加網站,按照頁面提示完成配置。
配置項
說明
功能套餐
選擇要關聯的DDoS高防實例的功能套餐。
實例
選擇要關聯的DDoS高防實例。
一個網站域名最多可以關聯8個DDoS高防實例,且只能關聯同一種功能套餐下的多個實例。
網站
填寫您的網站域名。
協議類型
選擇網站支持的協議類型。
說明選擇HTTPS協議時,完成網站配置后,請上傳網站域名使用的證書。
選中HTTPS協議后,可以根據需要開啟HTTPS的強制跳轉、是否開啟HTTP回源、是否啟用HTTP2。
啟用OCSP
選擇是否啟用OCSP(Online Certificate Status Protocol)功能。
重要該功能適用于網站HTTPS業務。如果您已選擇的協議類型包含HTTPS,推薦啟用該功能。
服務器地址
域名在WAF上的接入模式為CNAME接入時,選擇源站域名并填寫步驟一中獲取的WAF的CNAME地址。
域名在WAF上的接入模式為云產品接入時,選擇源站IP并填寫源站服務器的公網IP。
服務器端口
根據協議類型,設置源站提供對應服務的端口。
HTTP協議、Websocket協議的端口默認為80。
HTTPS協議、HTTP2協議、Websockets協議的端口默認為443。
您可以單擊自定義,自定義服務器端口,多個端口間使用半角逗號(,)分隔。
Cname Reuse
僅DDoS高防(非中國內地)支持配置該參數。選擇是否開啟CNAME復用。更多信息,請參見CNAME復用。
復制DDoS高防提供的CNAME地址。
步驟三:修改域名的DNS解析
請將域名解析指向DDoS高防提供的CNAME地址。以域名DNS托管在阿里云云解析DNS為例介紹,使用其他DNS服務商的域名解析服務時請參考配置。
登錄阿里云云解析DNS控制臺。
在域名解析頁面,定位到目標域名,單擊操作列的解析設置。
在解析設置頁面,定位到目標解析記錄,單擊操作列的修改。
說明如果要操作的解析記錄不在記錄列表中,您可以單擊添加記錄。
在修改記錄(或添加記錄)頁面,選擇記錄類型為CNAME,并將記錄值修改為域名對應的DDoS高防CNAME地址(即步驟二中獲取到的DDoS高防CNAME地址)。
單擊確認,等待修改后的解析設置生效。
使用瀏覽器測試網站訪問是否正常。
相關文檔
修改DNS解析后,如果網站訪問出現異常,請參見業務接入高防后存在卡頓、延遲、訪問不通等問題。
同時部署DDoS高防和CDN時,請參見DDoS高防和CDN或DCDN聯動。