文档首页 > > 最佳实践> WAF接入配置最佳实践> 同时部署DDoS高防和WAF的配置指导

同时部署DDoS高防和WAF的配置指导

分享
更新时间: 2019/12/20 GMT+08:00

DDoS高防原理

DDoS高防服务通过高防IP代理源IP对外提供服务,将所有的公网流量都引流至高防IP,进而隐藏源站,避免源站(用户业务)遭受大流量DDoS攻击。DDoS高防引流和转发原理示意图如图1 DDoS原理图所示。

图1 DDoS原理图
  • 客户

    访问源站(用户业务)的PC或手机端用户。

  • 源站IP

    源站服务器所使用的公网IP,也是被防护的IP地址,应避免对外暴露(泄露)。

  • 高防IP

    与源站IP相对应,用于代替源站IP来面向客户提供服务,使源站IP不直接暴露出去

  • 回源IP

    是高防机房代替客户去和源站服务器通信的若干个IP地址(高防机房会将客户的IP随机转换成某个回源IP,并由这个回源IP代替客户IP去和源站服务器通信)。

WAF防护原理

购买Web应用防火墙后,在Web应用防火墙的控制界面添加域名(配置源站服务器信息)并完成域名解析,即可启用Web应用防火墙。启用之后,您网站所有的公网流量都会先经过Web应用防火墙,恶意攻击流量在Web应用防火墙上被检测过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。

DDoS高防+WAF的配置原理

先将域名解析到DDoS高防,再将DDoS高防回源地址修改为WAF的“CNAME”,这样流量才会被DDoS高防转发到WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。配置完成后,流量会先经过DDoS高防,再转发至WAF,实现联动防御。

同时,为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您到DNS服务商处添加一条WAF的子域名和TXT记录。

原理图

前提条件

  • 已有网站域名。
  • 购买WAF
  • 已将网站信息(源站服务器的IP、端口等信息)添加到WAF
  • 购买DDoS高防实例并已完成DDoS高防网站类业务接入
  • 在域名的DNS服务商处有添加域名的权限。
  • (可选)放行WAF回源段IP。源站服务器上已启用非华为云安全软件(如安全狗、云锁)时,您需要在这些软件上设置放行WAF回源段IP,防止由WAF转发到源站的正常业务流量被拦截。具体请参考源站保护最佳实践

配置策略

以下操作以华为云DDoS高防为例介绍配置域名解析的方法。如果您使用的是华为云DDoS高防,您可以直接参照以下步骤进行操作;若您使用华为云以外的DDoS高防,请参考以下步骤在其他DDoS高防上进行类似配置。

  1. 获取“CNAME”“子域名”“TXT记录”值。

    1. 登录管理控制台。
    2. 进入目标域名基本信息页面入口,如图2所示。
      图2 进入基本信息页面
    3. 在域名基本信息页面,单击CNAME所在行的,复制“CNAME”。在“接入状态”所在行,单击“如何接入?”,在弹出的对话框中,复制“子域名”“TXT记录”
      图3 查看基本信息(使用代理)

  2. DDoS高防回源IP地址修改。

    1. 单击页面上方的“服务列表”,选择安全 > DDoS高防服务,在左侧导航树中,选择“域名配置”,进入域名配置页面。
    2. 在使用的DDOS高防代理类服务的域名所在行的“操作”列,单击“编辑”,进入“域名业务配置编辑”页面,将“源站IP/域名”的内容修改为复制的WAF的CNAME值,如图4所示。
      图4 域名业务配置编辑
    3. 单击“确定”,DDOS高防回源地址修改完成。

  3. (可选)在DNS服务商添加一条WAF的子域名和TXT记录。

    为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您完成此操作。

    1. 进入云解析页面的入口,如图5所示。
      图5 云解析页面入口
    2. 在页面的右上角,单击“添加记录集”,进入“添加记录集”页面,配置模式如图6所示。
      • “主机记录”c中复制的TXT记录。
      • “类型”:选择“TXT-设置文本记录”
      • “别名”:选择“否”
      • “线路类型”:全网默认。
      • “TTL(秒)”:一般建议设置为5分钟,TTL值越大,则DNS记录的同步和更新越慢。
      • “值”:将c中复制的TXT记录加上引号后粘贴在对应的文本框,例如,"TXT记录"。
      • 其他的设置保持不变。
      图6 添加记录集
    3. 单击“确定”,完成子域名配置。

  4. (可选)验证DNS配置。您可以Ping网站域名验证DNS解析是否生效。

    由于DNS解析记录生效需要一定时间,如果验证失败,您可以等待5分钟后重新检查。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区