文档首页/ DDoS防护 AAD/ 最佳实践/ DDoS原生高级防护最佳实践/ 华为云“DDoS原生高级防护+云模式WAF(ELB接入)”联动防护
更新时间:2024-09-29 GMT+08:00

华为云“DDoS原生高级防护+云模式WAF(ELB接入)”联动防护

DDoS原生高级防护可以提升华为云弹性云服务器(Elastic Cloud Server,ECS)、弹性负载均衡(Elastic Load Balance,ELB)、Web应用防火墙(Web Application Firewall,WAF)、弹性公网IP(Elastic IP,EIP)等云服务的DDoS防御能力,确保云服务上的业务安全。WAF通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。

应用场景

当您的网站类业务部署在华为云ECS上时,您可以为网站业务配置“DDoS原生高级防护+云模式WAF(ELB接入)”联动防护,即网站业务接入云模式WAF(ELB接入)后将WAF引擎的ELB绑定的公网IP添加到DDoS原生高级防护实例进行防护,实现DDoS原生高级防护和云模式WAF(ELB接入)双重防护,同时防御四层DDoS攻击和七层Web攻击、CC攻击等,大幅提升网站业务的安全性和稳定性。

网站业务部署“DDoS原生高级防护+云模式WAF(ELB接入)”联动防护后,所有业务流量经过WAF引擎进行安全清洗后,攻击流量(包括DDoS攻击、Web攻击、CC攻击等)被丢弃,正常的业务流量被WAF转发到源站服务器。

图1 华为云“DDoS原生高级防护+WAF”联动防护

约束条件

DDoS原生高级防护只能防护购买区域的公网IP资源,不能跨区域防护。

前提条件

网站已接入WAF云模式(ELB接入)

操作步骤

  1. 获取ELB的弹性公网IP。

    1. 登录管理控制台。
    2. 单击管理控制台左上角的,选择区域或项目。
    3. 单击页面左上方的,选择网络 > 弹性负载均衡 ELB,进入“负载均衡器”页面。
    4. 在WAF绑定的负载均衡器所在行,获取ELB的弹性公网IP。
      图2 复制弹性公网IP

  2. 在ELB的弹性公网IP所在的区域购买DDoS原生高级防护实例
  3. 添加ELB的弹性公网IP到DDoS原生高级防护。

    1. 单击页面左上方的,选择安全与合规 > DDoS防护 AAD
    2. 在左侧导航栏选择DDoS原生高级防护 > 实例列表,进入DDoS原生高级防护“实例列表”页面。
    3. 在目标实例所在框的右上方,单击“设置防护对象”
    4. 搜索1中ELB的弹性公网IP,将其设置为防护对象,单击“下一步”
      图3 添加防护对象
    5. 为新增的防护IP选择防护策略后,单击“确定”
      图4 选择防护策略

      成功添加防护对象后,您可以为防护对象配置防护策略,具体操作请参见添加防护策略