使用WAF、ELB和DDoS原生高级防护提升网站业务安全性

应用场景

华为云Web应用防火墙（WAF）通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。

DDoS原生高级防护可以为接入WAF（云模式-ELB接入）的网站类业务提供四层DDoS攻击防护，实现DDoS原生高级防护和云模式WAF（ELB接入）双重防护，同时防御四层DDoS攻击和七层Web攻击、CC攻击等，大幅提升网站业务的安全性和稳定性。

方案架构

网站业务部署“DDoS原生高级防护+云模式WAF（ELB接入）”联动防护后，所有业务流量经过WAF引擎进行安全清洗后，攻击流量（包括DDoS攻击、Web攻击、CC攻击等）被丢弃，正常的业务流量被WAF转发到源站服务器。

约束与限制

只支持已接入云模式WAF（ELB接入）的网站类业务，接入方法请参考将网站接入WAF防护（云模式-ELB接入）。

资源和成本规划

实施步骤

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域或项目。
3. 单击页面左上方的，选择“网络 > 弹性负载均衡 ELB”，进入“负载均衡器”页面。
4. 在WAF绑定的负载均衡器所在行，获取ELB的弹性公网IP。
   图2 复制弹性公网IP
   

5. 在ELB的弹性公网IP所在的区域购买DDoS原生高级防护实例。

6. 单击页面左上方的，选择“安全与合规 > DDoS防护 AAD”。
7. 在左侧导航栏选择“DDoS原生高级防护 > 实例列表”，进入DDoS原生高级防护“实例列表”页面。
8. 在目标实例所在框的右上方，单击“设置防护对象”。
9. 搜索4中ELB的弹性公网IP，将其设置为防护对象，单击“下一步”。
   图3 添加防护对象
   

10. 为新增的防护IP选择防护策略后，单击“确定”。
    图4 选择防护策略
    

    成功添加防护对象后，您可以为防护对象配置防护策略，具体操作请参见添加防护策略。