使用CDN和WAF提升网站防护能力和访问速度
防护原理
- 当用户访问使用CDN服务的网站时,本地DNS服务器通过CNAME方式将最终域名请求重定向到CDN服务。CDN通过一组预先定义好的策略(如内容类型、地理区域、网络负载状况等),将当时能够最快响应用户的CDN节点IP地址提供给用户,使用户可以以最快的速度获得网站内容。
CDN支持的对象:域名,华为云、非华为云或云下的Web业务
- Web应用防火墙通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。
CDN+WAF可以对华为云、非华为云或云下的域名进行联动防护,同时提升网站的响应速度和网站防护能力,配置原理图如图1所示。
CDN+WAF配置后,流量被CDN加速后转发到WAF,WAF再将流量转到源站,在提升用户访问网站的响应速度与网站的可用性的同时,实现网站流量检测和攻击拦截。
相关配置说明如下:
约束条件
如果您选择的是云模式-CNAME接入方式,且WAF前使用了高防、CDN(Content Delivery Network,内容分发网络)、云加速等代理,配置CC防护规则时,建议“限速模式”选择“用户限速”,并勾选“全局计数”。
前提条件
部署模式 |
配置说明 |
---|---|
云模式-CNAME接入 |
|
云模式-ELB接入 |
|
独享模式 |
|
WAF云模式配置策略
以下操作以华为云CDN为例介绍配置域名解析的方法。如果您使用的是华为云CDN,您可以直接参照以下步骤进行操作;若您使用华为云以外的CDN,请参考以下步骤在其他CDN上进行类似配置。
- 获取“CNAME”、“子域名”和“TXT记录”值。
- 将CDN的主源站的源站域名修改为WAF的CNAME。
- (可选)在DNS服务商添加一条WAF的子域名和TXT记录。
为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您完成此操作。
- (可选)验证DNS配置。您可以Ping网站域名验证DNS解析是否生效。
由于DNS解析记录生效需要一定时间,如果验证失败,您可以等待5分钟后重新检查。
WAF独享模式/ELB接入配置策略
请参考以下步骤在华为云CDN上进行配置操作。
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域或项目。
- 单击页面左上方的,选择 ,进入CDN页面。
- 在左侧导航树中,选择 。
- 在域名列表中,单击需要修改的域名或域名所在行的“设置”,进入域名配置页面。
- 选择“基本配置”页签,在源站配置模块,单击“编辑”。
- 如果您的业务使用了WAF独享模式,“源站地址”文本框中输入为弹性负载均衡绑定弹性公网IP。
- 如果您的业务使用了WAF云模式-ELB接入,“源站地址”文本框中输入添加到ELB模式中选择的ELB对应的弹性公网IP。
- 单击“保存”,完成源站配置。
生效条件
当“接入状态”为“已接入”,表示域名/IP接入成功。
- WAF每隔一小时就会自动检测防护网站的 接入状态,当WAF统计防护网站在5分钟内达到20次访问请求时,将认定该防护网站已成功接入WAF。
- WAF默认只检测两周内新增或更新的域名的接入状态,如果域名创建时间在两周前,且最近两周内没有任何修改,您可以在“接入状态”栏,单击,手动刷新接入状态。
如果域名接入失败,即域名接入状态为“未接入”,请参考域名/IP接入状态显示“未接入”,如何处理?排查处理。