文档首页 > > 最佳实践> WAF接入配置最佳实践> 同时部署CDN和WAF的配置指导

同时部署CDN和WAF的配置指导

分享
更新时间: 2019/10/28 GMT+08:00

CDN加速原理

当用户访问使用CDN服务的网站时,本地DNS服务器通过CNAME方式将最终域名请求重定向到CDN服务。CDN通过一组预先定义好的策略(如内容类型、地理区域、网络负载状况等),将当时能够最快响应用户的CDN节点IP地址提供给用户,使用户可以以最快的速度获得网站内容。

WAF防护原理

购买Web应用防火墙后,在Web应用防火墙的控制界面添加域名(配置源站服务器信息)并完成域名解析,即可启用Web应用防火墙。启用之后,您网站所有的公网流量都会先经过Web应用防火墙,恶意攻击流量在Web应用防火墙上被检测过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。

CDN+WAF的配置原理

先将域名解析到CDN,再将CDN回源地址修改为WAF的“CNAME”,这样流量才会被CDN转发到WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。配置完成后,流量会先经过CDN,再转发至WAF,实现联动防御。

同时,为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您到DNS服务商处添加一条WAF的子域名和TXT记录。

前提条件

  • 已有网站域名。
  • 购买WAF
  • 已将网站信息(源站服务器的IP、端口等信息)添加到WAF
  • 域名已接入CDN
  • 在域名的DNS服务商处有添加域名的权限。
  • (可选)放行WAF回源段IP。源站服务器上已启用非华为云安全软件(如安全狗、云锁)时,您需要在这些软件上设置放行WAF回源段IP,防止由WAF转发到源站的正常业务流量被拦截。具体请参考源站保护最佳实践

配置策略

以下操作以华为云CDN为例介绍配置域名解析的方法。如果您使用的是华为云CDN,您可以直接参照以下步骤进行操作;若您使用华为云以外的CDN,请参考以下步骤在其他CDN上进行类似配置。

  1. 获取“CNAME”“子域名”“TXT记录”值。

    1. 登录管理控制台。
    2. 进入目标域名基本信息页面入口,如图1所示。
      图1 进入基本信息页面
    3. 在域名基本信息页面,单击CNAME所在行的,复制“CNAME”。在“接入状态”所在行,单击“如何接入?”,在弹出的对话框中,复制“子域名”“TXT记录”
      图2 查看基本信息(使用代理)

  2. 将CDN的主源站的源站域名修改为WAF的CNAME
  3. 在DNS服务商添加一条WAF的子域名和TXT记录。

    1. 进入云解析页面的入口,如图3所示。
      图3 云解析页面入口
    2. 在页面的右上角,单击“添加记录集”,进入“添加记录集”页面,配置模式如图4所示。
      • “主机记录”c中复制的TXT记录。
      • “类型”:选择“TXT-设置文本记录”
      • “别名”:选择“否”
      • “线路类型”:全网默认。
      • “TTL(秒)”:一般建议设置为5分钟,TTL值越大,则DNS记录的同步和更新越慢。
      • “值”:将c中复制的TXT记录加上引号后粘贴在对应的文本框,例如,"TXT记录"。
      • 其他的设置保持不变。
      图4 添加记录集
    3. 单击“确定”,完成子域名配置。

  4. (可选)验证DNS配置。您可以Ping网站域名验证DNS解析是否生效。

    由于DNS解析记录生效需要一定时间,如果验证失败,您可以等待5分钟后重新检查。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区