文档首页/ Web应用防火墙 WAF/ 最佳实践/ 网站接入配置/ 使用独享WAF和7层ELB以防护任意非标端口
更新时间:2024-11-14 GMT+08:00

使用独享WAF和7层ELB以防护任意非标端口

应用场景

如果您需要防护WAF支持的端口以外的非标端口,可参考本章节配置WAF的独享模式和7层ELB联动,可实现任意端口业务的防护。

方案架构

假设需要将“www.example.com:9876”配置到WAF进行防护,但WAF不支持“9876”非标端口的防护,则可以按以下的方法进行配置,实现“9876”非标端口的防护。

方案优势

可以防护WAF不支持的业务端口。

资源与成本规划

表1 资源和成本规划

资源

资源说明

每月费用

弹性负载均衡

  • 计费模式:包年/包月
  • 实例类型:独享型
  • 规格:应用型(HTTP/HTTPS);小型II
  • 公网带宽:按带宽计费
  • 带宽:10Mbit/s

具体的计费方式及标准请参考计费说明

Web应用防火墙

独享模式:
  • 计费模式:按需计费
  • 域名数量:2,000个(支持2,000个一级域名)
  • WAF实例规格选择WI-500,参考性能:
    • HTTP业务:建议5,000QPS;极限10,000QPS
    • HTTPS业务:建议 4,000QPS;极限8,000QPS
    • Websocket业务:支持最大并发连接5,000
    • 最大回源长连接:60,000
  • WAF实例规格选择WI-100,参考性能:
    • HTTP业务:建议1,000QPS;极限2,000QPS
    • HTTPS业务:建议800QPS;极限1,600QPS
    • Websocket业务:支持最大并发连接1,000
    • 最大回源长连接:60,000

-

前提条件

  • 已购买七层独享型负载均衡。有关ELB类型的详细介绍,请参见共享型弹性负载均衡与独享型负载均衡的功能区别

    2023年4月之前的独享引擎版本,不支持与独享ELB网络型配合使用。因此,如果您使用了独享ELB网络型(TCP/UDP)负载均衡,在目标独享引擎实例列表中的“版本”列查看WAF实例版本,确认已升级到最新版本(2023年4月及之后的版本)。

  • 在该独享引擎实例所在安全组中已放开了相关端口。
    安全组建议配置以下访问规则:
    • 入方向规则

      根据业务需求添加指定端口入方向规则,放通指定端口入方向网络流量。例如,需要放通“80”端口时,您可以添加“策略”“允许”“TCP”“80”协议端口规则。

    • 出方向规则

      默认。放通全部出方向网络流量。

    有关添加安全组规则的详细操作,请参见添加安全组规则

操作步骤

  1. 登录华为云管理控制台
  2. 在控制台页面中选择安全与合规 > Web应用防火墙 WAF,进入Web应用防火墙控制台。
  3. 在左侧导航树中,选择“网站设置”
  4. 单击“添加防护网站”
  5. 选择“独享模式接入”并单击“开始配置”
  6. 将网站“www.example.com”接入WAF,选择任意的非标准端口,如“86”端口,“源站端口”配置为“9876”“是否使用七层代理”选择“是”,其他参数的配置参见添加防护网站(独享模式)

    图1 添加防护域名

  7. 为ELB配置监听器和后端服务器组。

    1. 单击页面左上方的,选择网络 > 弹性负载均衡,进入“负载均衡器”页面。
    2. 在负载均衡器所在行的“名称”列,单击目标负载均衡器名称,进入ELB“基本信息”页面。
    3. 选择“监听器”页签后,单击“添加监听器”,配置监听器信息,“前端端口”配置为您想防护的端口,如此处配置为“9876”
      图2 配置监听器信息
    4. 单击“下一步:配置后端分配策略”,配置后端服务器组。
      图3 配置后端服务器组
      • “分配策略类型”选择“加权轮询算法”时,请关闭“会话保持”,如果开启会话保持,相同的请求会转发到相同的WAF独享引擎实例上,当WAF独享引擎实例出现故障时,再次到达该引擎的请求将会出错。
      • 有关ELB流量分配策略的详细介绍,请参见流量分配策略
    5. 单击“下一步:配置后端服务器”后直接单击“下一步:确认配置”

  8. 将WAF实例添加到ELB。

    1. 单击页面左上方的,选择安全与合规 > Web应用防火墙,进入“安全总览”页面。
    2. 在左侧导航树中,选择系统管理 > 独享引擎,进入“独享引擎”页面。
      图4 独享引擎列表
    3. 在目标实例所在行的“操作”列,单击更多 > 添加到ELB
    4. “添加到ELB”页面中,选择步骤 7中配置的“ELB(负载均衡器)”“ELB监听器”“后端服务器组”
      图5 添加到ELB
    5. 单击“确认”,为WAF实例配置业务端口,“业务端口”需要配置为WAF独享引擎实例实际监听的业务端口,即步骤 6中配置的86端口。
      图6 配置业务端口
    6. 单击“确认”,配置完成。

  9. 为弹性负载均衡绑定弹性公网IP
  10. 放行独享引擎回源IP