更新时间:2024-09-29 GMT+08:00
华为云"DDoS高防+云模式WAF"联动
操作场景
该任务指导用户如何配置域名解析,实现华为云“DDoS高防+WAF(Web应用防火墙)”联动。
DDoS高防和云模式WAF联动后,流量会先经过DDoS高防,再转发至WAF,实现联动防御。
图1 联动原理
如果您在DDoS高防使用同一实例和端口防护了多个域名,且域名源站为WAF CNAME时。当您在WAF侧的CNAME对应源站IP不同时,将WAF CNAME都Bypass后,会导致DDoS高防所有绑定相同高防IP和端口的域名不可用。
前提条件
- 已成功购买高防实例。
- 已购买Web应用防火墙云模式,并且已配置防护域名。
约束条件
- “DDoS高防+云模式WAF”联动仅支持域名防护。
例如,example.com和www.example.com是两个不同的域名,在配置“DDoS高防+WAF”时,需要分别进行配置。
- 同一个高防IP+端口只能配置一种源站类型,若您配置过源站域名后,无法再配置源站IP。
操作步骤
- 获取WAF CNAME值。
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域或项目。
- 单击页面左上方的,选择 。
- 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
- 在“域名”列,单击要获取CNAME值的域名。
- 在“基本信息”界面,单击“是否使用七层代理”后的。
图2 基本信息
- 在弹出界面,选择“否”,单击“确认”。
- 在“基本信息”界面,复制CNAME。
图3 复制CNAME
- 把WAF CNAME值配置到DDoS高防。
配置WAF联动后,网站类业务不需要上传证书。
- 单击页面左上方的,选择 。
- 选择“域名接入”页面。 ,进入
- 根据实际选择“中国大陆”或“中国大陆外”。
- 单击“添加域名”。
- 填写域名信息,单击“下一步”。
图4 配置网站类域名信息
表1 参数说明 参数
说明
防护域名
用户的实际业务对外提供服务所使用的域名。域名填写支持泛域名,例如 *.domain.com。
源站类型
- 选择“源站域名”。
- 填写源站域名的转发协议和源站端口。
- 填写复制的WAF CNAME。
服务器配置
填写源站服务器使用的转发协议和端口。
- 在“选择实例与线路”界面,选择需要使用的高防实例和对应的高防IP,单击“提交并继续”。
图5 选择实例与线路
- 单击“下一步”。
- 在“修改DNS解析”页面,复制DDoS高防的CNAME,单击“完成”。
图6 复制DDoS高防CNAME
- 修改DNS解析。
- 单击页面左上方的,选择 ,进入云解析服务管理控制台。
- 单击“公网域名”。
- 在目标域名所在行,单击“管理解析”。
- 单击“添加记录集”,添加CNAME记录集。
图7 添加记录集
表2 关键参数 参数
说明
主机记录
填写DDoS高防中配置的域名。
记录类型
选择“CNAME-将域名指向另外一个域名”。
线路类型
选择“全网默认”。
TTL (秒)
指解析记录在本地DNS服务器的缓存时间。如果您的服务地址经常更换,建议TTL值设置相对小些,反之,建议设置相对大些。
记录值
填写复制的DDoS高防CNAME地址。
DNS解析发布需要一定时间,大部分域名在5分钟内可以切换完成。
父主题: DDoS高防最佳实践