文档首页 > > 最佳实践> WAF接入配置最佳实践> 准备阶段

准备阶段

分享
更新时间: 2019/10/21 GMT+08:00

将网站域名接入华为云Web应用防火墙(Web Application Firewall,WAF),能够帮助您的网站防御常见的Web攻击和恶意CC攻击流量,避免网站遭到入侵导致数据泄露,全面保障您网站的安全性和可用性。

网站业务梳理

建议您对所需接入WAF进行防护的网站业务情况进行全面梳理,帮助您了解当前业务状况和具体数据,为后续配置WAF的防护策略提供依据。

表1 网站业务梳理

梳理项

说明

网站和业务信息

网站/应用业务每天的流量峰值情况,包括Mbps、QPS

判断风险时间点,并且可作为WAF实例的业务带宽和业务QPS规格的选择依据。

业务的主要用户群体(例如,访问用户的主要来源地区)

判断非法攻击来源,后续可使用地理位置访问控制功能屏蔽非法来源地区。

业务是否为C/S架构

如果是C/S架构,进一步明确是否有App客户端、Windows客户端、Linux客户端、代码回调或其他环境的客户端。

源站部署的具体位置

判断购买哪种实例region。

源站服务器的操作系统(Linux、Windows)和所使用的Web服务中间件(Apache、Nginx、IIS等)

判断源站是否存在访问控制策略,避免源站误拦截WAF回源IP转发的流量。

域名使用协议

判断所使用的通信协议WAF是否支持。

业务端口

判断需要防护的业务端口是否在WAF支持的端口范围内。

业务是否使用TLS 1.0或弱加密套件

判断业务使用的加密套件是否支持。

(针对HTTPS业务)客户端是否支持SNI标准

对于支持HTTPS协议的域名,接入WAF后,客户端和服务端都需要支持SNI标准。

业务交互过程

了解业务交互过程、业务处理逻辑,便于后续配置针对性防护策略。

活跃用户数量

便于后续在处理紧急攻击事件时,判断事件严重程度,以采取风险较低的应急处理措施。

业务及攻击情况

业务类型及业务特征(例如,游戏、棋牌、网站、App等业务)

便于在后续攻击防护过程中分析攻击特征。

单用户、单IP的入方向流量范围和连接情况

帮助后续判断是否可针对单个IP制定限速策略。

用户群体属性

例如,个人用户、网吧用户、或通过代理访问的用户。

业务是否遭受过大流量攻击、攻击类型和最大的攻击流量峰值

判断是否需要增加DDoS防护服务,并根据攻击流量峰值判断需要的DDoS防护规格。

业务是否遭受过CC攻击和最大的CC攻击峰值QPS

通过分析历史攻击特征,配置预防性策略。

业务是否已完成压力测试

评估源站服务器的请求处理性能,帮助后续判断是否因遭受攻击导致业务发生异常。

准备工作

  • 已将域名信息(源站服务器的IP、端口等信息)添加到WAF。
  • 具有网站DNS域名解析管理员的账号,用于修改DNS解析记录将网站流量切换至WAF。
  • 推荐在将网站业务接入前,完成压力测试。
  • 检查网站业务是否已有信任的访问客户端(例如监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等)。在将业务接入后,需要将这些信任的客户端IP加入白名单。

WAF配置

根据您的业务场景,参考以下接入配置指导,将您的网站域名接入WAF:

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区