日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 Web應用防火墻 Web應用防火墻3.0 實踐教程 CDN回源OSS私有Bucket場景下串接WAF最佳實踐

CDN回源OSS私有Bucket場景下串接WAF最佳實踐

更新時間:
產品詳情
我的收藏

當您的網站域名開啟了阿里云CDN加速,且回源到阿里云對象存儲 OSS(Object Storage Service)私有Bucket時,如果該網站存在一定的Web攻擊風險,我們推薦您組合使用CDN、OSSWeb 應用防火墻 WAF(Web Application Firewall),將開啟CDN加速的域名接入WAF,實現OSS私有Bucket的安全防護。本文介紹如何為業務同時部署CDN、OSS私有Bucket、WAF。

前提條件

網絡架構

image

步驟一:在OSS Bucket中綁定CDN加速域名

  1. 登錄OSS管理控制臺

  2. 單擊Bucket 列表,然后單擊目標Bucket名稱。

  3. 在左側導航欄,選擇Bucket 配置>域名管理

  4. 域名管理頁面,單擊綁定域名

  5. 綁定域名面板,輸入CDN加速域名,單擊提交

    說明

    • 綁定的域名不支持泛域名,例如*.example.com

    • 如果提示域名沖突,表示該域名已綁定至其他Bucket。此時,您可以更換域名或通過驗證域名所有權強制綁定域名。驗證域名所有權會解除域名與其他Bucket的綁定關系。

完成域名綁定后,您可以在瀏覽器輸入域名和Bucket中任意文件名稱(例如<被防護域名>/test.pngtest.png為上傳到Bucket中的圖片名稱),如果網站能正常訪問,表示域名添加成功。

單擊目標域名操作列的域名綁定配置,可以獲取OSS域名。image.png

步驟二:將域名接入WAF,并修改源站為OSS域名

為了實現WAFOSS私有Bucket的防護,您需要將開啟CDN加速且綁定OSS私有Bucket的域名接入WAF,并將源站修改為OSS域名。

  1. 登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地非中國內地)。

  2. 在左側導航欄,單擊接入管理

  3. CNAME接入頁簽,單擊接入

  4. 配置監聽向導頁,完成如下配置后,單擊下一步

    配置項

    配置說明

    域名

    填寫步驟一中,綁定到OSS Bucket中的域名。

    協議類型

    選擇網站使用的協議類型并填寫對應端口,支持HTTPHTTPS。更多信息請參見協議類型

    WAF前是否有七層代理(高防/CDN等)

    選擇

    更多配置

    • 開啟IPv6:按實際情況選擇要使用的防護資源類型。

    • 開啟獨享IP:保持默認配置即可。

    • 防護資源:按實際情況選擇要使用的防護資源類型。

    資源組

    如果需要根據業務部門、項目等維度對云資源進行分組管理時,從資源組列表中選擇該域名所屬資源組。

  5. 配置轉發向導頁,完成如下配置后,單擊提交

    配置項

    說明

    負載均衡算法

    如果源站有多個服務器地址,您可以根據業務需要,選擇不同的負載均衡算法,使WAF將回源請求轉發到對應的服務器,實現負載均衡。支持IP hash輪詢Least time

    服務器地址

    填寫網站對應的源站服務器的公網IP地址或源站域名,用于接收WAF轉發回源的正常業務請求(回源請求),此處填寫OSS域名。關于OSS域名的獲取方式,請參見獲取OSS域名

    HTTPS高級設置

    • 開啟HTTP回源:如果您希望WAF轉發的請求(無論來自80443端口)都通過80端口訪問源站,可啟用該功能。

    • 啟用回源SNI:如果您的源站綁定了多個域名,且WAF回源協議類型為HTTPS時,可配置回源SNI,并在回源SNI內指明所請求的具體域名,使源站服務器根據該域名正確地返回對應的SSL證書。

    其它高級設置

    • 啟用流量標記:如果你需要將WAF識別到的客戶端IP、客戶端端口等信息通過指定Header字段透傳到源站,來判斷請求是否經過WAF,可啟用該功能。

    • 按實際情況設置WAF回源到源站的超時時間,包括 設置新建連接超時時間設置讀連接超時時間設置寫連接超時時間

    • 回源重試:按需開啟。

    • 回源長連接:按需開啟。

  6. 接入完成向導頁,獲取WAF提供的CNAME地址。

    復制CNAME

步驟三:開啟CDN回源配置,修改源站為WAF提供的CNAME地址

  1. 登錄CDN控制臺

  2. 在左側導航欄,單擊域名管理

  3. 定位到目標域名,單擊域名或操作列的管理

  4. 回源配置分頁,開啟阿里云OSS私有Bucket回源image.png

  5. 基本配置分頁,定位目標源站,單擊操作列的編輯,選擇源站信息源站域名后,填寫步驟6獲取的WAF CNAME地址。

完成配置后,您可以再次在瀏覽器輸入已添加的域名和Bucket中任意文件名稱(例如<被防護域名>/test.pngtest.png為上傳到Bucket中的圖片名稱),如果網站能正常訪問,表示域名添加成功。

您也可以在瀏覽器輸入已添加的域名和Web攻擊代碼(例如<被防護域名>/alert(xss)alert(xss)為用作測試的跨站腳本攻擊代碼),如果返回405攔截提示頁面,表示攻擊被攔截,WAF防護成功。

后續操作

完成上述配置后,WAF會自動將加速域名添加為防護對象,并默認為其開啟基礎防護規則,通過對訪問域名的請求特征進行識別和檢測,將正常的訪問請求轉發給OSS私有Bucket,實現安全防護。

您也可以根據實際業務情況,登錄Web應用防火墻3.0控制臺,在防護配置 > 防護對象頁面,為添加的域名配置更有針對性的防護規則。更多信息,請參見防護配置概述

相關文檔