使用独享WAF和7层ELB以防护任意非标端口

应用场景

如果您需要防护WAF支持的端口以外的非标端口，可参考本章节配置WAF的独享模式和7层ELB联动，可实现任意端口业务的防护。

方案架构

假设需要将“www.example.com:9876”配置到WAF进行防护，但WAF不支持“9876”非标端口的防护，则可以按以下的方法进行配置，实现“9876”非标端口的防护。

方案优势

可以防护WAF不支持的业务端口。

资源与成本规划

表1 资源和成本规划
资源	资源说明	每月费用
弹性负载均衡	计费模式：包年/包月实例类型：独享型规格：应用型（HTTP/HTTPS）；小型II 公网带宽：按带宽计费带宽：10Mbit/s	具体的计费方式及标准请参考计费说明。
Web应用防火墙	独享模式：计费模式：按需计费域名数量：2,000个（支持2,000个一级域名） WAF实例规格选择WI-500，参考性能： HTTP业务：建议5,000QPS；极限10,000QPS HTTPS业务：建议 4,000QPS；极限8,000QPS Websocket业务：支持最大并发连接5,000 最大回源长连接：60,000 WAF实例规格选择WI-100，参考性能： HTTP业务：建议1,000QPS；极限2,000QPS HTTPS业务：建议800QPS；极限1,600QPS Websocket业务：支持最大并发连接1,000 最大回源长连接：60,000	-

前提条件

已购买七层独享型负载均衡。有关ELB类型的详细介绍，请参见共享型弹性负载均衡与独享型负载均衡的功能区别。

2023年4月之前的独享引擎版本，不支持与独享ELB网络型配合使用。因此，如果您使用了独享ELB网络型（TCP/UDP）负载均衡，在目标独享引擎实例列表中的“版本”列查看WAF实例版本，确认已升级到最新版本（2023年4月及之后的版本）。
在该独享引擎实例所在安全组中已放开了相关端口。
安全组建议配置以下访问规则：
- 入方向规则
   根据业务需求添加指定端口入方向规则，放通指定端口入方向网络流量。例如，需要放通“80”端口时，您可以添加“策略”为“允许”的“TCP”、“80”协议端口规则。
- 出方向规则
   默认。放通全部出方向网络流量。
有关添加安全组规则的详细操作，请参见添加安全组规则。

操作步骤

登录华为云管理控制台。
在控制台页面中选择“安全与合规 > Web应用防火墙 WAF”，进入Web应用防火墙控制台。
在左侧导航树中，选择“网站设置”。
单击“添加防护网站”。
选择“独享模式接入”并单击“开始配置”。
将网站“www.example.com”接入WAF，选择任意的非标准端口，如“86”端口，“源站端口”配置为“9876”，“是否使用七层代理”选择“是”，其他参数的配置参见添加防护网站（独享模式）。

图1 添加防护域名
为ELB配置监听器和后端服务器组。
1. 单击页面左上方的，选择“网络 > 弹性负载均衡”，进入“负载均衡器”页面。
2. 在负载均衡器所在行的“名称”列，单击目标负载均衡器名称，进入ELB“基本信息”页面。
3. 选择“监听器”页签后，单击“添加监听器”，配置监听器信息，“前端端口”配置为您想防护的端口，如此处配置为“9876”。
  图2 配置监听器信息
4. 单击“下一步：配置后端分配策略”，配置后端服务器组。
  图3 配置后端服务器组
  - “分配策略类型”选择“加权轮询算法”时，请关闭“会话保持”，如果开启会话保持，相同的请求会转发到相同的WAF独享引擎实例上，当WAF独享引擎实例出现故障时，再次到达该引擎的请求将会出错。
  - 有关ELB流量分配策略的详细介绍，请参见流量分配策略。
5. 单击“下一步：配置后端服务器”后直接单击“下一步：确认配置”。
将WAF实例添加到ELB。
1. 单击页面左上方的，选择“安全与合规 > Web应用防火墙”，进入“安全总览”页面。
2. 在左侧导航树中，选择“系统管理 > 独享引擎”，进入“独享引擎”页面。
  图4 独享引擎列表
3. 在目标实例所在行的“操作”列，单击“更多 > 添加到ELB”。
4. 在“添加到ELB”页面中，选择7中配置的“ELB（负载均衡器）”、“ELB监听器”和“后端服务器组”。
  图5 添加到ELB
5. 单击“确认”，为WAF实例配置业务端口，“业务端口”需要配置为WAF独享引擎实例实际监听的业务端口，即6中配置的86端口。
  图6 配置业务端口
6. 单击“确认”，配置完成。
为弹性负载均衡绑定弹性公网IP。
放行独享引擎回源IP。