更新时间:2024-11-14 GMT+08:00
使用独享WAF和7层ELB以防护任意非标端口
应用场景
如果您需要防护WAF支持的端口以外的非标端口,可参考本章节配置WAF的独享模式和7层ELB联动,可实现任意端口业务的防护。
方案架构
假设需要将“www.example.com:9876”配置到WAF进行防护,但WAF不支持“9876”非标端口的防护,则可以按以下的方法进行配置,实现“9876”非标端口的防护。
方案优势
可以防护WAF不支持的业务端口。
资源与成本规划
资源 |
资源说明 |
每月费用 |
---|---|---|
弹性负载均衡 |
|
具体的计费方式及标准请参考计费说明。 |
Web应用防火墙 |
独享模式:
|
- |
前提条件
- 已购买七层独享型负载均衡。有关ELB类型的详细介绍,请参见共享型弹性负载均衡与独享型负载均衡的功能区别。
2023年4月之前的独享引擎版本,不支持与独享ELB网络型配合使用。因此,如果您使用了独享ELB网络型(TCP/UDP)负载均衡,在目标独享引擎实例列表中的“版本”列查看WAF实例版本,确认已升级到最新版本(2023年4月及之后的版本)。
- 在该独享引擎实例所在安全组中已放开了相关端口。
有关添加安全组规则的详细操作,请参见添加安全组规则。
操作步骤
- 登录华为云管理控制台。
- 在控制台页面中选择 ,进入Web应用防火墙控制台。
- 在左侧导航树中,选择“网站设置”。
- 单击“添加防护网站”。
- 选择“独享模式接入”并单击“开始配置”。
- 将网站“www.example.com”接入WAF,选择任意的非标准端口,如“86”端口,“源站端口”配置为“9876”,“是否使用七层代理”选择“是”,其他参数的配置参见添加防护网站(独享模式)。
图1 添加防护域名
- 为ELB配置监听器和后端服务器组。
- 单击页面左上方的,选择“负载均衡器”页面。 ,进入
- 在负载均衡器所在行的“名称”列,单击目标负载均衡器名称,进入ELB“基本信息”页面。
- 选择“监听器”页签后,单击“添加监听器”,配置监听器信息,“前端端口”配置为您想防护的端口,如此处配置为“9876”。
图2 配置监听器信息
- 单击“下一步:配置后端分配策略”,配置后端服务器组。
图3 配置后端服务器组
- “分配策略类型”选择“加权轮询算法”时,请关闭“会话保持”,如果开启会话保持,相同的请求会转发到相同的WAF独享引擎实例上,当WAF独享引擎实例出现故障时,再次到达该引擎的请求将会出错。
- 有关ELB流量分配策略的详细介绍,请参见流量分配策略。
- 单击“下一步:配置后端服务器”后直接单击“下一步:确认配置”。
- 将WAF实例添加到ELB。
- 为弹性负载均衡绑定弹性公网IP。
- 放行独享引擎回源IP。
父主题: 网站接入配置