阿里云服务器ECS    
弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新 [咨询更多]
阿里云存储OSS
简单易用、多重冗余、数据备份高可靠、多层次安全防护安全性更强、低成本 [咨询更多]
阿里云数据库RDS
稳定可靠、可弹性伸缩、更拥有容灾、备份、恢复、监控、迁移等方面的全套解决方案 [咨询更多]
阿里云安全产品
DDoS高防IP、web应用防火墙、安骑士、sll证书、态势感知众多阿里云安全产品热销中 [咨询更多]
阿里云折扣优惠    
云服务器ECS、数据库、负载均衡等产品新购、续费、升级联系客服获取更多专属折扣 [咨询更多]
DDoS原生防护和Web应用防火墙组合使用方案以及配置方法
2021-3-9    点击量:
    典名科技介绍了为网站类业务同时部署DDoS原生防护和Web应用防火墙组合使用方案以及配置方法。此方案适用于为网站业务同时防御四层DDoS攻击和七层Web攻击、CC攻击的场景。

  前提条件

  已创建ECS实例并部署了业务相关的应用,ECS实例拥有公网IP地址且网站有域名。如果网站用于在中国内地提供服务,则网站域名必须已经完成ICP备案,否则将不能接入中国内地的Web应用防火墙实例进行防护。更多信息,请参见ICP备案流程概述。

  已开通DDoS原生防护企业版。更多信息,请参见开通DDoS原生防护企业版。您在购买原生防护企业版实例时,需要选择资源所在地域。该地域必须与ECS实例一致。

  已开通Web应用防火墙。更多信息,请参见开通Web应用防火墙。

  背景信息


  为网站类业务开启DDoS原生防护企业版时,如果业务本身除了需要防御DDoS攻击,还需要防御Web攻击、CC攻击,建议您为网站同时开启Web应用防火墙,由Web应用防火墙帮助业务防御常见的Web攻击、CC攻击。关于Web应用防火墙(WAF)的详细介绍,请参见什么是Web应用防火墙。

  同时使用DDoS原生防护和Web应用防火墙时,您需要先将网站业务接入Web应用防火墙进行防护,然后将WAF实例的IP地址添加为DDoS原生防护企业版实例的防护对象。完成上述部署后,所有业务流量先经过WAF进行安全清洗,攻击流量(包括DDoS攻击、Web攻击、CC攻击)被丢弃,只有正常的业务流量被转发到源站服务器。

  操作步骤

  将网站接入Web应用防火墙进行防护。

  登录Web应用防火墙控制台。

  在顶部菜单栏,选择地域(中国内地、海外地区)。


  Web应用防火墙将根据源站服务器的位置自动匹配最佳的服务地区。

  在左侧导航栏,单击资产中心 > 网站接入。

  单击添加域名。

  Web应用防火墙支持CNAME接入和透明接入两种接入方式,其中CNAME接入分为域名一键接入(即自动操作)和手动添加网站,透明接入目前仅支持源站服务器部署在华北2(北京)地域的阿里云ECS实例。

  本教程以CNAME接入-手动添加网站为例进行介绍。关于其他的接入方法,请参见CNAME接入-自动添加网站、透明接入。

  可选:在域名一键接入页面,单击手动添加其他网站。如果没有跳出域名一键接入页面,请忽略该步骤。

  完成添加域名配置向导中的步骤1:填写网站信息,并单击下一步。

  您需要填写以下网站信息:

  域名:网站的域名。

  协议类型:网站使用的协议类型。如果支持HTTPS,必须在添加域名后上传网站域名的HTTPS证书。更多信息,请参见上传HTTPS证书。

  服务器地址:选择IP类型并填写ECS实例的公网IP地址。

  服务器端口:选择协议类型后,自动匹配默认的服务端口。WAF也支持自定义非标准服务端口。更多信息,请参见支持的自定义端口范围。

  WAF前是否有七层代理(高防/CDN等):选择否。

  您如果已在WAF前配置了其他的七层代理服务(例如DDoS高防、CDN等),那么客户端访问流量到WAF前会先经过其他七层代理转发。由于您使用的是DDoS原生防护,原生防护不属于七层代理服务,此处您选择否即可。

  关于网站信息参数的更多说明,请参见网站信息参数说明。

  单击完成,返回网站列表。

  已添加的网站将获得一个CName地址,您可以在网站列表中获取网站域名的CName地址。

CName地址


  在本地计算机上执行ping命令,ping网站域名的CName地址,获取您已购买的WAF实例的IP地址。

ping网站域名


  在源站服务器上设置放行Web应用防火墙的回源IP段。

  修改网站域名的DNS解析,将域名解析指向步骤1获得的WAFCname地址。

  修改域名解析后,网站的所有访问请求都会解析到Web应用防火墙进行安全清洗(过滤Web攻击、CC攻击),只有正常的业务流量被转发到源站服务器。

  由于WAF实例本身不具备抵御大流量DDoS攻击的能力,业务遭受大流量DDoS攻击时会导致WAF实例性能受损,影响业务转发,所以需要为WAF实例开启原生防护企业版,提高业务的抗DDoS攻击能力。

  将WAF的IP地址添加为您已购买的DDoS原生防护企业版实例的防护对象,为WAF实例开启DDoS原生防护企业版防护。

  成功添加防护对象后,WAF实例将享有DDoS原生防护企业版实例的DDoS攻击全力防护能力,在业务遭受DDoS攻击时,自动触发流量清洗,防御DDoS攻击。

  以上就是典名科技为大家介绍的DDoS原生防护和Web应用防火墙组合使用方案以及配置方法,希望对你有帮助!
联系客服免费领取更多阿里云产品新购、续费升级折扣,叠加官网活动折上折更优惠