将独享WAF接入ELB以增强Web业务安全防护能力
应用场景
如果您的业务服务器部署在华为云,您可以将WAF独享引擎实例接入应用型ELB,对重要的域名或仅有IP的Web服务进行防护。
HTTP(S)请求经由ELB转发后会先经过WAF,恶意攻击流量在WAF上被检测过滤,而正常流量转发给后端服务器,从而确保Web业务的安全、稳定、可用。
本文档将介绍通过将独享WAF实例添加到应用型ELB,增强Web业务的防护能力。
约束与限制
- 后端服务器所在安全组需放行独享型ELB实例所在的后端子网地址和业务端口,详情请参见配置后端服务器的安全组(独享型)。
- 独享WAF实例所在的安全组已放通相关端口,详细操作请参见添加安全组规则。
操作流程
步骤一:创建应用型负载均衡器
- 登录管理控制台。
- 在管理控制台左上角单击图标,选择区域和项目。
- 单击页面左上角的,选择“网络 > 弹性负载均衡”。
- 在“负载均衡器”界面单击“购买弹性负载均衡器”,购买详情请参考创建独享型负载均衡器。
根据界面提示选择负载均衡器的基础配置,如图所示选择“应用型”规格实例。图3 创建应用型负载均衡器(独享型)
- 选定负载均衡器的规格后,请根据界面提示选择负载均衡器的网络配置。
网络类型需选择“IPv4公网”,并为负载均衡器选定弹性公网IP,以便接收公网请求。
图4 为负载均衡器配置弹性公网IP
- 确认配置信息,单击“立即购买”,完成创建。
步骤二:添加HTTP监听器并配置后端服务器组
- 登录管理控制台。
- 在管理控制台左上角单击图标,选择区域和项目。
- 单击页面左上角的,选择“网络 > 弹性负载均衡”。
- 在“负载均衡器”界面,单击步骤一中创建的负载均衡名称。
- 切换到“监听器”页签,单击“添加监听器”,配置HTTP监听器并指定前端端口。
- 单击“下一步:配置后端分配策略”,选择“新创建”后端服务器组。
图6 配置后端服务器组
- 单击“下一步:添加后端服务器”,添加后端服务器并配置健康检查。
- 单击“下一步:确认配置”,确认配置无误后,单击“提交”。
步骤三:域名解析到ELB的弹性公网IP
负载均衡器配置完成后,将目标域名如:www.example.com解析到创建的ELB实例的弹性公网IP上,实现对访问域名请求的均衡转发。
在您的实际业务中建议使用华为云云解析服务DNS完成域名解析,具体操作参见配置网站解析。
步骤四:创建独享模式WAF实例
- 登录管理控制台。
- 在管理控制台左上角单击图标,选择区域和项目。
- 单击页面左上角的,选择“安全与合规 > Web应用防火墙 WAF”。
- 在页面的右上角,单击“购买WAF实例”。根据界面提示选择WAF实例的配置,如图所示选择“独享模式”。
图7 创建独享模式WAF实例
当前独享模式的WAF实例已不支持购买,仅支持已购买的独享模式WAF实例继续使用。
- 确认配置信息,完成创建。
步骤五:Web业务接入WAF
将网站“www.example.com”接入WAF,更多配置详情参见添加防护网站(独享模式)。
- 登录管理控制台。
- 在管理控制台左上角单击图标,选择区域和项目。
- 单击页面左上角的,选择“安全与合规 > Web应用防火墙 WAF”。
- 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
- 在网站列表左上角,单击“添加防护网站”。
- 确认高级配置,“是否已使用代理”请选择“七层代理”。
图9 确认高级配置
步骤六:WAF实例接入ELB
将独享WAF实例添加到ELB的后端服务器组中,请确保安全组和ACL已放通实例和ELB所在的网段。
- 登录管理控制台。
- 在管理控制台左上角单击图标,选择区域和项目。
- 单击页面左上角的,选择“安全与合规 > Web应用防火墙 WAF”。
- 在左侧导航树中,选择“系统管理 > 独享引擎”,进入“独享引擎”页面。
- 在步骤四中创建的实例所在行的“操作”列,单击“更多 > 添加到ELB”。
- 在“添加到ELB”页面,选择步骤一:创建应用型负载均衡器和步骤二:添加HTTP监听器并配置后端服务器组步骤中创建的“ELB(负载均衡器)”、“ELB监听器”和“后端服务器组”。
图10 WAF实例添加到ELB
- 单击“确认”,为WAF实例配置业务端口,“业务端口”需要配置为WAF独享引擎实例实际监听的业务端口,即步骤五:Web业务接入WAF源站配置中的“防护对象端口”。
- 单击“确认”,完成配置。
步骤七:放行独享引擎回源IP
网站以“独享模式”成功接入WAF后,所有网站访问请求将先经过负载均衡器然后流转到独享引擎实例进行监控,经独享引擎实例过滤后再返回到源站服务器,流量经独享引擎实例返回源站的过程称为回源。
在服务器看来,接入WAF后所有源IP都会变成独享引擎实例的回源IP(即独享引擎实例对应的子网IP),以防止源站IP暴露后被黑客直接攻击。
源站服务器上的安全软件很容易认为独享引擎的回源IP是恶意IP,有可能触发屏蔽WAF回源IP的操作。一旦WAF的回源IP被屏蔽,WAF的请求将无法得到源站的正常响应,因此,网站以“独享模式”接入WAF防护后,您需要在源站服务器上设置放行创建的独享引擎实例对应的子网IP,不然可能会出现网站打不开或打开极其缓慢等情况。
详细操作步骤请参考回源到ELB。