更新时间:2024-09-25 GMT+08:00
CFW与WAF、DDoS高防、CDN同时使用的配置建议
本文介绍入云流量防护时云防火墙在网络架构中的位置,以及与其他华为云服务一起使用时,云防火墙上的策略配置和注意事项。
概述
Web应用防火墙(WAF)、DDoS高防(Advanced Anti-DDoS)、内容分发网络(CDN)会对用户的流量进行反向代理,部署后,CFW接收到的源IP为上述服务的回源IP。
当配置了华为云的其他产品后,业务流量会经过多道防护,在对入云流量进行防护时,如果CFW前存在反向代理服务(即购买了CDN、DDoS高防或云模式WAF),需配置放行回源IP策略,避免误拦截,购买独享模式WAF或ELB模式WAF时,按业务需要配置即可。
DDoS高防/CDN
建议您创建放行的防护规则或者添加回源IP至白名单。
- 创建放行的防护规则:添加一条“优先级”“置顶”的“放行”策略,放行所有回源IP;配置后CFW仍会对流量进行检测,进一步保证您的流量安全。
- 添加回源IP至白名单:回源IP加入“白名单”后,这些流量将被直接放通,CFW不再进行任何防护。
流量经过反向代理后,源IP被转换为回源IP,此时如果受到外部攻击,CFW无法获取到攻击者的真实IP地址,您可通过X-Forwarded-For字段获取真实IP地址,请参见如何获取攻击者的真实IP地址?。
请避免将回源IP加入黑名单或阻断的防护策略中,否则将会阻断来自这个IP的所有流量,影响您的业务。
云模式WAF
建议您创建放行的防护规则或者添加回源IP至白名单。
- 创建放行的防护规则:添加一条“优先级”“置顶”的“放行”策略,放行所有回源IP;配置后CFW仍会对流量进行检测,进一步保证您的流量安全。
- 添加回源IP至白名单:回源IP加入“白名单”后,这些流量将被直接放通,CFW不再进行任何防护。
流量经过反向代理后,源IP被转换为回源IP,此时如果受到外部攻击,CFW无法获取到攻击者的真实IP地址,您可通过X-Forwarded-For字段获取真实IP地址,请参见如何获取攻击者的真实IP地址?。
请避免将回源IP加入黑名单或阻断的防护策略中,否则将会阻断来自这个IP的所有流量,影响您的业务。
ELB模式WAF
流量先经过CFW再经过WAF,正常配置即可。
相关文档
- 添加防护规则请参见添加防护规则。
- 设置白名单请参见管理黑/白名单。
- CFW的防护顺序请参见云防火墙的防护顺序是什么?
- 获取Web应用防火墙的回源IP,请参见步骤二:放行WAF回源IP
- 获取DDoS高防的回源IP,请参见如何查看高防回源IP段?
