全球加速聯動Web應用防火墻(WAF)和全局流量管理(GTM)實現企業ERP管理系統加速,基于云安全大數據能力,同時依托阿里巴巴優質BGP帶寬和全球傳輸網絡,實現全球網絡就近接入和跨地域部署,為企業ERP管理系統提供一套高安全的跨地域加速方案。

前提條件

您已經注冊了阿里云賬號。如未注冊,請先完成賬號注冊

背景信息

某企業ERP管理系統部署在德國(法蘭克福)地域的阿里云上,后端服務器通過兩個阿里云彈性公網IP對外提供服務,轉發端口為9000端口。終端用戶主要集中在中國香港和新加坡地域。終端用戶跨地域訪問ERP管理系統時經常出現文件數據傳輸交互慢、系統登錄超時等問題,而且企業現有ERP服務架構無法進行靈活變動并易受到各類Web應用攻擊,嚴重影響了企業ERP管理系統的安全性和可用性。為了解決此類問題, 您可以通過全球加速聯動WAF和GTM,實現跨國訪問請求就近接入阿里云加速網絡,經過WAF的流量過濾和GTM的流量智能調度,提高跨地域ERP服務的安全性、可用性和互通效率。ERP架構3

如上圖,您可以創建全球加速實例,設置中國香港和新加坡為加速區域,并部署WAF和GTM。部署完成后,WAF將按照配置的防護策略檢測并過濾惡意訪問請求,只放行合法請求到源站服務器;GTM將按照配置的訪問策略幫您實現訪問ERP管理系統的流量轉發和對ERP管理系統服務器的實時健康檢查,并能夠根據健康檢查結果實現故障隔離或流量切換。在本次場景中,中國香港和新加坡用戶的訪問請求先通過全球加速就近從中國香港和新加坡接入點進入阿里云加速網絡,再經過WAF進行流量的檢測和過濾,最后由GTM向源站服務器進行流量轉發,并根據健康檢查結果進行故障隔離或流量切換,實現ERP服務的高安全性和高可用性,并降低網絡時延。

配置流程

配置流程

步驟一:創建全局流量管理實例

全局流量管理(GTM)可以幫助您實現用戶訪問應用服務的高并發負載均攤、應用服務的健康檢查,并能夠根據健康檢查結果實現故障隔離或流量切換。

完成以下操作,創建GTM實例。
說明 首次使用全局流量管理,需要同意云資源訪問授權,授權后全局流量管理產品將擁有對您云監控產品報警通知組的訪問權限。詳情請參見云資源訪問授權
  1. 登錄阿里云云解析DNS控制臺
  2. 在左側導航欄,單擊全局流量管理
  3. 全局流量管理頁面,單擊創建實例
  4. 在購買頁面,根據以下信息配置全局流量管理實例。
    1. 套餐版本:默認為標準版,且不支持修改。
      標準版套餐說明如下:
      • 支持應用服務IP地址健康檢查:pingtcphttp(s)
      • 支持DNS Failover進行故障切換:主備切換、異常隔離。
      • 支持DNS按照區域進行智能解析。
      • 支持多個IP地址(包括云內/云外)輪詢負載均衡。
    2. 購買數量:選擇購買實例的數量。
    3. 購買時長:選擇購買實例的時長。
  5. 單擊立即購買完成支付。

步驟二:配置訪問策略

訪問策略可為不同網絡或區域來源的訪問用戶設置不同的解析響應地址池,并最終實現用戶就近訪問接入和故障自動切換的效果。

完成以下操作,為GTM實例配置訪問策略。

  1. 登錄阿里云云解析DNS控制臺
  2. 在左側導航欄,單擊全局流量管理
  3. 全局流量管理頁面,找到目標全局流量管理實例,單擊操作列下的配置
  4. 選擇配置方法對話框,選擇快速入門
  5. 訪問策略配置向導下,根據以下信息配置訪問策略。
    1. 策略名稱:輸入訪問策略的名稱。
    2. 解析請求來源: 選擇解析請求來源。
      選中解析請求來源后,該區域的用戶訪問應用服務時會智能調度到所配置的后端服務器地址池。本方案選擇全局
      說明
      • 如果只有一個訪問策略,則訪問策略必須選擇全局
      • 如果有多個訪問策略,則必須有一個訪問策略中區域選擇全局,否則可能會造成部分地區無法訪問該應用服務。
      • 在其他訪問策略中已勾選過的選項不能再勾選(選項會置灰)。
      • 若有多個訪問策略,按運營商大陸地區設置解析請求來源的方式只能二選一,不能混用。
    3. 默認地址池:選擇默認地址池。
      默認地址池是業務正常情況下,GTM將用戶訪問流量轉發到的后端服務器地址池。

      本方案您需要先單擊+新增地址,將德國(法蘭克福)ERP服務器A的地址添加到默認地址池,并配置HTTP協議的健康檢查,然后再選擇默認地址池。健康檢查配置詳情請參見HTTP(S)health check地址池配置詳情請參見地址池配置

    4. 備用地址池:選擇備用地址池。
      備用地址池是在默認地址池中的服務器因故障不可用時,GTM將用戶訪問流量切換到的后端服務器地址池。

      本方案您需要單擊+新增地址,將德國(法蘭克福)ERP服務器B的地址添加到備用地址池,并配置HTTP協議的健康檢查,然后再選擇備用地址池。健康檢查配置詳情請參見HTTP(S)health check地址池配置詳情請參見地址池配置

  6. 單擊下一步

步驟三:配置基礎信息

配置訪問策略后,您需要配置GTM實例的基礎信息,包括主域名信息、CNAME接入域名、負載均衡策略、全局TTL、報警通知組等相關信息。

  1. 基礎信息向導下,配置基礎信息。
    1. 實例名稱:輸入實例名稱。
      實例名稱是便于識別該實例用于某個應用服務的標識。
    2. 主域名:輸入終端用戶訪問的域名。本方案輸入www.example.de
    3. CNAME接入域名:選擇接入域名的類型。
      • 系統分配接入域名:適用于后端服務地址池中都是阿里云地址或海外地址。
      • 自定義接入域名:適用于后端服務地址池中有自建IDC的地址。

      本方案中,后端服務地址均為阿里云彈性公網IP,所以選擇系統分配接入域名

    4. 均衡策略:選擇GTM的均衡策略。
      • 負載均攤:默認策略。是指當地址池內存在多個IP地址,由各個IP地址平均分配訪問流量。
      • 加權輪詢:如果應用服務的用戶分布在全國或世界范圍內,可以根據IP地址的處理能力,選擇加權輪詢策略。加權輪詢可以實現將解析流量按照權重進行分配,在DNS查詢請求時,IP地址按照預先設置的權重進行返回。

      本方案選擇默認策略負載均攤

    5. 全局TTL:域名解析對應IP地址的生效時間。本方案選擇1分鐘
      GTM是以域名形式對外提供流量管理服務,全局TTL即域名對應IP地址信息在運營商DNS系統內的緩存生效時間,默認提供1分鐘的TTL時間。如果使用自定義接入域名方式,全局TTL需要與自定義域名的云解析套餐支持的最小TTL保持一致。
    6. 報警通知組:當業務出現異常時,用于接收通知消息的聯系組。
      說明
      • 如果您未配置報警通知組,請先前往云監控控制臺設置。詳細信息,請參見刪除報警聯系人或報警聯系組
      • 如果您已經配置了報警通知組,但您使用子賬號配置基礎信息,請先使用主賬號授權。授權成功后,子賬號才能讀取到報警通知組信息。
  2. 單擊完成
基本信息配置完成后,系統會自動分配一個CNAME接入域名用于解析要調度的后端服務IP。cname

步驟四:開通Web應用防火墻

WAF基于云安全大數據能力,用于防御SQL注入、XSS跨站腳本、常見Web服務器插件漏洞、木馬上傳、非授權核心資源訪問等OWASP常見攻擊,并過濾海量惡意CC攻擊,避免您的網站資產數據泄露,保障網站的安全與可用性。

本方案以包年包月為例,介紹如何開通WAF。

  1. 進入阿里云官網Web應用防火墻產品詳情頁,并登錄您的阿里云賬號。
  2. 單擊包年包月購買
  3. Web應用防火墻(包年包月)頁面,完成以下配置。
    1. 地域:選擇WAF服務主機所在地域。
      本方案中訪問流量經全球加速后轉到WAF,選擇海外地區
    2. 套餐選擇:選擇要開通的WAF服務的版本。
      不同WAF版本適用的業務規模和支持的防護功能不同。詳細信息,請參見套餐和版本說明。本方案選擇企業版
    3. 域名擴展包:指定要開通的域名擴展包數量。
      當您有多個域名(或超過10個子域名)需要接入WAF進行防護時,您可以開通域名擴展包。詳細信息,請參見域名擴展包。本方案不購買域名擴展包。
    4. 帶寬擴展包:指定要開通的帶寬擴展包大小,單位Mbps。
      當您需要接入WAF進行防護的業務總帶寬超過所選套餐規格時,您可以開通帶寬擴展包。詳細信息,請參見額外帶寬擴展包。本方案選擇不購買帶寬擴展包。
    5. 域名獨享資源包:指定要開通的獨享IP數量。
      當您有重要的域名需要使用獨立的WAF IP進行防護時,您可以開通域名獨享IP資源包。詳細信息,請參見獨享IP包。本方案不購買域名獨享資源包。
    6. 智能負載均衡:選擇開啟或關閉智能負載均衡。
      智能負載均衡通過多節點智能接入技術,助力業務支持多節點、多線路自動調度容災,提高業務的可靠性。本方案選擇關閉
    7. 日志服務:選擇開啟或關閉日志服務。
      日志服務將WAF所有的日志信息實時存儲至日志服務存儲空間中,同時提供查詢分析和展示在線報表等功能。本方案選擇關閉
    8. Bot管理:選擇開啟或關閉Bot管理功能。
      如果您需要緩解機器流量對業務造成的安全威脅,您可以開通Bot管理功能模塊。詳細信息,請參見設置爬蟲威脅情報規則設置合法爬蟲規則。本方案選擇關閉
    9. APP防護:選擇開啟或關閉APP防護。
      如果您的業務支持原生APP端且存在可信通信、防機器腳本濫刷等安全需求,您可以開通APP防護模塊。詳細信息,請參見設置App防護。本方案選擇關閉
    10. 可視化大屏服務:選擇要開通的可視化大屏服務類型。
      如果您需要通過接入數據大屏來展示和分析網站的整體業務及安全狀況,您可以開通可視化大屏服務。詳細信息,請參見數據大屏。本方案選擇未開啟
    11. 產品專家服務:選擇是否開通產品專家服務。本方案選擇不開通。
    12. 購買時長:選擇WAF服務的有效時長。
  4. 單擊立即購買完成支付。

步驟五:添加網站配置

開通WAF后,您需要配置WAF防護網站的轉發信息。

完成以下操作,通過DNS配置模式將被防護域名的訪問流量指向WAF。

  1. 登錄Web應用防火墻控制臺
  2. 在頂部狀態欄,選擇WAF實例的地域。本方案選擇非中國內地
  3. 在左側導航欄,選擇資產中心 > 網站接入
  4. 網站接入頁面,單擊網站接入
  5. 填寫網站信息對話框,完成添加網站的配置。
    1. 域名:輸入要防護的域名。 本方案輸入www.example.de
      說明
      • 支持填寫泛域名,例如*.aliyun.com。WAF將自動匹配該泛域名對應的子域名。
      • 如果同時存在泛域名和精確域名配置(例如*.aliyun.comwww.aliyun.com),WAF優先使用精確域名所配置的轉發規則和防護策略。
      • 暫不支持添加.edu域名。如果您需要添加.edu域名,請加入釘群(釘群號:21715946),聯系產品技術專家進行咨詢。
    2. 協議類型:選中網站支持的協議類型。本方案選中HTTP
      說明
      • 如果網站支持HTTPS加密認證,請勾選HTTPS,并在添加網站后上傳證書和私鑰文件。詳細信息,請參見添加域名
      • 勾選HTTPS后,可使用高級設置實現HTTP強制跳轉和HTTP回源等功能,保證訪問平滑。詳細信息,請參見添加域名
      • 使用HTTP2.0協議,需要符合以下要求:
        • 您的WAF實例已升級至企業版或旗艦版。
        • 您已勾選HTTPS協議。
    3. 服務器地址:選擇服務器地址類型,然后輸入網站的源站服務器地址。
      支持IP地址其它地址格式。網站接入WAF后,WAF將過濾后的訪問請求轉發至該地址。本方案選擇其他地址,然后輸入GTM實例生成的CNAME,詳情請參見步驟三:配置基礎信息
    4. 服務器端口:配置網站的協議端口。
      WAF通過所配置的端口為網站提供流量的接入與轉發服務,網站域名的業務流量只通過所配置的服務端口進行轉發;對于未配置的端口,WAF不會轉發任何該端口的訪問請求流量到源站服務器,因此這些端口的啟用和漏洞不會對源站服務器造成任何安全威脅。
      重要 配置的協議和端口必須與您所接入的網站業務源站IP(在WAF中配置的服務器IP地址)的協議和端口(在WAF中配置的服務器端口)一致,不支持端口轉換功能。
      本方案輸入自定義9000端口。
      說明 WAF默認支持以下端口:80/8080(HTTP)和443/8443(HTTPS)。企業版和旗艦版WAF實例支持更多的非標端口,且對被防護域名使用的不同端口的總數有相應限制。詳細信息,請參見WAF支持的端口
    5. WAF前是否有七層代理(高防/CDN等):根據該網站業務的實際情況選擇是否有七層代理(高防/CDN等)。本方案選擇
    6. 負載均衡算法:如果配置了多個源站IP,勾選IP hash輪詢。WAF將根據所選擇的方式在多個源站IP間分發訪問請求,實現負載均衡。
    7. 流量標記:輸入一個空閑的Header字段名稱和自定義Header字段值,用來標識經過WAF轉發到源站的Web請求。流量經過WAF后,WAF在請求中添加此處指定的字段,方便您的后端服務統計信息。
      說明 如果Web請求中本身包含此處定義的頭部字段,WAF將用此處的設定值覆蓋原Web請求中對應字段的內容。
  6. 單擊下一步。在修改DNS解析頁面,單擊復制Cname,記錄下WAF分配的CNAME地址,為后面流量接入WAF做準備。
    WebCNAME
  7. 單擊下一步。單擊完成,返回網站列表
    說明 若您的服務器正在使用其他防火墻,請關閉或將下圖中的WAF的地址加入其白名單,避免誤攔。若您的服務器未使用其他防火墻,請忽略下圖內容。
    WAF地址

步驟六:創建全球加速實例

全球加速是一款覆蓋全球的網絡加速服務,依托阿里巴巴優質BGP帶寬和全球傳輸網絡,實現全球網絡就近接入和跨地域部署,減少延遲、抖動、丟包等網絡問題對服務質量的影響,為全球用戶提供高可用和高性能的網絡加速服務。

完成以下操作,創建全球加速實例。

  1. 登錄全球加速管理控制臺
  2. 實例列表頁面,單擊創建加速實例
  3. 在購買頁面,根據以下信息配置全球加速實例,然后單擊立即購買
    1. 選擇購買全球加速實例的規格。本方案選擇小型Ⅱ。關于實例規格,請參見標準型全球加速實例規格
    2. 選擇購買全球加速實例的時長。
    實例創建好,系統會自動分配一個CNAME用于解析要加速的后端服務的域名,請記錄下此CNAME用于后續DNS解析時使用。CNAME

步驟七:購買并綁定基礎帶寬包

基礎帶寬包提供了覆蓋全球的公網接入帶寬和阿里云內網傳輸帶寬。實現全球加速您需要購買基礎帶寬包并將基礎帶寬包綁定到全球加速實例。

完成以下操作,購買并綁定基礎帶寬包。

  1. 實例列表頁面,單擊購買基礎帶寬包
  2. 在購買頁面,配置基礎帶寬包,然后單擊立即購買完成支付。
    1. 帶寬類型:選擇購買基礎帶寬包的帶寬類型。本方案精品加速帶寬。
      基礎帶寬包支持標準加速帶寬、增強加速帶寬和精品加速帶寬三種帶寬類型。帶寬類型不同,加速類型、加速后端服務和加速范圍也不同,如下表所示。
      帶寬類型加速類型加速后端服務加速范圍
      標準加速帶寬加速部署在阿里云上的應用
      • 標準型全球加速實例:
        • 阿里云公網IP
        • 云服務器ECS
        • 傳統型負載均衡CLB(原SLB)
        • 應用型負載均衡ALB
        • 對象存儲服務OSS
        • 交換機(vSwitch)
      • 基礎型全球加速實例:
        • 傳統型負載均衡CLB(原SLB)
        • 輔助網卡類型的彈性網卡ENI
        • 云服務器ECS
      		默認的加速區域和后端服務區域都位于中國內地
      增強加速帶寬
      • 加速部署在阿里云上的應用
      • 加速部署在非阿里云的應用
      • 標準型全球加速實例:
        • 阿里云公網IP
        • 云服務器ECS
        • 傳統型負載均衡CLB(原SLB)
        • 應用型負載均衡ALB
        • 對象存儲服務OSS
        • 交換機(vSwitch)
        • 自定義IP
        • 自定義域名
      • 基礎型全球加速實例 :不涉及
      		默認的加速區域和后端服務區域都位于中國內地
      精品加速帶寬
      • 加速部署在阿里云上的應用
      • 加速部署在非阿里云的應用
      • 標準型全球加速實例:
        • 阿里云公網IP
        • 云服務器ECS
        • 傳統型負載均衡CLB(原SLB)
        • 應用型負載均衡ALB
        • 對象存儲服務OSS
        • 交換機(vSwitch)
        • 自定義IP
        • 自定義域名
      • 基礎型全球加速實例 :
        • 傳統型負載均衡CLB(原SLB)
        • 輔助網卡類型的彈性網卡ENI
        • 云服務器ECS
      		默認的加速區域和后端服務區域都位于海外(如果要加速中國內地到海外的訪問,需選擇中國香港作為加速地域)
      說明
      • 對于標準型全球加速實例,專有網絡類型ECS、專有網絡類型CLB和ALB類型的后端服務默認不開放。如需使用,請向商務經理申請。
      • 基礎型全球加速實例僅支持綁定帶寬類型為標準加速帶寬和精品加速帶寬的基礎帶寬包,且終端節點后端服務類型僅支持輔助網卡類型的彈性網卡ENI、專有網絡類型的CLB、云服務器ECS。
    2. 帶寬峰值:選擇購買基礎帶寬包的帶寬峰值。本方案選擇20 Mb
    3. 購買時長:選擇購買基礎帶寬包的時長。
  3. 返回實例列表頁面,單擊已創建的全球加速實例ID。
  4. 單擊帶寬包管理頁簽。
  5. 基礎帶寬包區域,找到目標基礎帶寬包,單擊操作列下的綁定
    綁定成功后,基礎帶寬包的狀態變成可用20M精品帶寬包

步驟八:添加加速區域

在購買基礎帶寬包后,您便可以添加加速區域,指定訪問后端服務的用戶的所在地域并分配加速帶寬。

完成以下操作,添加加速區域。

  1. 實例列表頁面,單擊之前創建的全球加速實例ID。
  2. 在實例詳情頁,單擊加速區域頁簽,然后選擇需要進行訪問加速的區域。本方案選擇亞太
  3. 在加速區域頁簽下,單擊添加接入地域
  4. 添加加速區域對話框,配置接入區地域,然后單擊確定
    1. 地域:選擇訪問加速服務用戶的所屬地域。本方案選擇新加坡
    2. 帶寬:選擇加速服務的地域帶寬。本方案選擇10 Mbps。
    3. 選擇中國香港為加速地域,并為中國香港地域分配10 Mbps帶寬。

加速區域添加成功后,全球加速會為每個加速區域中的地域分配一個加速IP,可用來加速用戶訪問。

步驟九:創建監聽

監聽負責檢查連接請求。系統會根據您指定的端口和協議轉發來自客戶端的入站連接。

完成以下操作,為全球加速實例創建監聽。

  1. 實例列表頁面,單擊步驟一中創建的全球加速實例ID。
  2. 在實例詳情頁,單擊監聽頁簽,然后單擊添加監聽
  3. 監聽&協議頁面,配置監聽。
    1. 監聽名稱:輸入監聽的名稱。 名稱長度為2~128個字符,以大小寫字母或中文開頭,可包含數字、下劃線(_)和短劃線(-)。
    2. 協議:選擇監聽的協議類型。本方案選擇TCP
    3. 端口:指定用來接收請求并向終端節點進行轉發的監聽端口,端口取值范圍:1~65499。本方案輸入9000
    4. 客戶端親和性:選擇是否保持客戶端親和性。保持客戶端親和性,即客戶端訪問有狀態的應用程序時,可以將來自同一客戶端的所有請求都定向到同一終端節點。本方案選擇源IP
    監聽
  4. 單擊下一步配置終端節點組。

步驟十:設置終端節點組

每個監聽都關聯一個終端節點組,通過指定要分發流量的地域,將終端節點組與監聽關聯。關聯后,全球加速會將流量分配到與監聽關聯的終端節點組內的最佳終端節點。

完成以下操作,設置終端節點組。

  1. 節點組名稱區域輸入節點組名稱。
  2. 選擇終端節點組所屬的地域,即請求要訪問的目標服務器的所屬地域。
    本方案選擇德國
  3. 選擇后端服務部署在阿里云還是非阿里云。本方案選擇非阿里云
  4. 選擇開啟或關閉保持客戶端源IP。開啟后,后端服務器可以通過該功能獲取客戶端源IP。本方案選擇關閉保持客戶端源IP。
  5. 配置終端節點。
    1. 后端服務類型:選擇自定義域名
    2. 后端服務:輸入要加速的后端服務的域名。本方案輸入WAF生成的CNAME,詳情請參見步驟五:添加網站配置
    3. 權重:輸入終端節點的權重,權重取值范圍:0~255。全球加速根據您配置的權重按比例將流量路由到終端節點。
      警告 如果某個終端節點的權重設置為0,全球加速將終止向該終端節點分發流量,請您謹慎操作。
      德國域名節點組
  6. 單擊下一步查看監聽和終端節點組配置,確認無誤后,再單擊下一步

步驟十一:業務接入配置

添加全球加速的配置后,您必須更新DNS解析設置,將對應域名的DNS解析到全球加速分配的CNAME,使業務流量切換至全球加速。
說明 如果您使用其他DNS服務商的域名解析服務,請登錄服務商系統修改網站域名的解析記錄。

完成以下操作,將業務接入全球加速。

  1. 登錄阿里云云解析DNS控制臺
  2. 域名解析頁面,找到目標域名,單擊操作列下的解析設置
  3. 解析設置頁面,找到要修改的解析記錄,單擊操作列下的修改
  4. 修改記錄對話框,修改主機記錄。
    1. 記錄類型:修改為CNAME
    2. 記錄值:修改為全球加速分配的CNAME地址,詳情請參見步驟六:創建全球加速實例
    3. 其他設置保持不變。
    修改記錄
  5. 單擊確定

步驟十二:訪問測試

完成以下操作,測試全球加速聯動WAF和GTM后的防護和加速效果。

  1. 在接入地域(本方案為中國香港或新加坡)的電腦中打開瀏覽器。
  2. 輸入ERP管理系統域名訪問德國(法蘭克福)地域部署的ERP系統服務。
  3. 在接入地域(本方案為中國香港或新加坡)的電腦中打開命令行窗口。
  4. 執行以下命令,查看數據包延遲情況。
    curl -o /dev/null -s -w "time_connect: %{time_connect}\ntime_starttransfer: %{time_starttransfer}\ntime_total: %{time_total}\n" "http[s]://<ERP系統域名>[:<端口>]"
    其中:
    • time_connect:連接時間,從開始到建立TCP連接完成所用的時間。
    • time_starttransfer:開始傳輸時間。在客戶端發出請求后,到后端服務器響應第一個字節所用的時間。
    • time_total:連接總時間。客戶端發出請求后,到后端服務器響應會話所用的時間。