文档首页/ DDoS防护 AAD/ 最佳实践/ DDoS高防最佳实践/ 华为云"DDoS高防+云模式WAF"联动
更新时间:2024-09-29 GMT+08:00

华为云"DDoS高防+云模式WAF"联动

操作场景

该任务指导用户如何配置域名解析,实现华为云“DDoS高防+WAF(Web应用防火墙)”联动。

DDoS高防和云模式WAF联动后,流量会先经过DDoS高防,再转发至WAF,实现联动防御。

图1 联动原理

如果您在DDoS高防使用同一实例和端口防护了多个域名,且域名源站为WAF CNAME时。当您在WAF侧的CNAME对应源站IP不同时,将WAF CNAME都Bypass后,会导致DDoS高防所有绑定相同高防IP和端口的域名不可用。

前提条件

  • 已成功购买高防实例。
  • 已购买Web应用防火墙云模式,并且已配置防护域名。

约束条件

  • “DDoS高防+云模式WAF”联动仅支持域名防护。

例如,example.com和www.example.com是两个不同的域名,在配置“DDoS高防+WAF”时,需要分别进行配置。

  • 同一个高防IP+端口只能配置一种源站类型,若您配置过源站域名后,无法再配置源站IP。

操作步骤

  1. 获取WAF CNAME值。

    1. 登录管理控制台。
    2. 单击管理控制台左上角的,选择区域或项目。
    3. 单击页面左上方的,选择安全与合规 > Web应用防火墙 WAF
    4. 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
    5. “域名”列,单击要获取CNAME值的域名。
    6. “基本信息”界面,单击“是否使用七层代理”后的
      图2 基本信息
    7. 在弹出界面,选择“否”,单击“确认”
    8. “基本信息”界面,复制CNAME。
      图3 复制CNAME

  2. 把WAF CNAME值配置到DDoS高防。

    配置WAF联动后,网站类业务不需要上传证书。

    1. 单击页面左上方的,选择安全与合规 > DDoS防护 AAD
    2. 选择DDoS高防 > 域名接入,进入“域名接入”页面。
    3. 根据实际选择“中国大陆”“中国大陆外”
    4. 单击“添加域名”
    5. 填写域名信息,单击“下一步”
      图4 配置网站类域名信息
      表1 参数说明

      参数

      说明

      防护域名

      用户的实际业务对外提供服务所使用的域名。域名填写支持泛域名,例如 *.domain.com。

      源站类型

      • 选择“源站域名”
      • 填写源站域名的转发协议和源站端口。
      • 填写复制的WAF CNAME。

      服务器配置

      填写源站服务器使用的转发协议和端口。

    6. “选择实例与线路”界面,选择需要使用的高防实例和对应的高防IP,单击“提交并继续”
      图5 选择实例与线路

  3. 单击“下一步”
  4. “修改DNS解析”页面,复制DDoS高防的CNAME,单击“完成”

    图6 复制DDoS高防CNAME

  5. 修改DNS解析。

    1. 单击页面左上方的,选择网络 > 云解析服务 DNS,进入云解析服务管理控制台。
    2. 单击“公网域名”
    3. 在目标域名所在行,单击“管理解析”
    4. 单击“添加记录集”,添加CNAME记录集。
      图7 添加记录集
      表2 关键参数

      参数

      说明

      主机记录

      填写DDoS高防中配置的域名。

      记录类型

      选择“CNAME-将域名指向另外一个域名”

      线路类型

      选择“全网默认”

      TTL (秒)

      指解析记录在本地DNS服务器的缓存时间。如果您的服务地址经常更换,建议TTL值设置相对小些,反之,建议设置相对大些。

      记录值

      填写复制的DDoS高防CNAME地址。

      DNS解析发布需要一定时间,大部分域名在5分钟内可以切换完成。