“独享WAF+7层ELB”联动，实现防护任意非标端口

防护场景

假设需要将“www.example.com:9876”配置到WAF进行防护，但WAF不支持“9876”非标端口的防护，则可以按以下的方法进行配置，实现“9876”非标端口的防护。

前提条件

• 已有合适的负载均衡器类型。
• 在该独享引擎实例所在安全组中已放开了相关端口。
  安全组建议配置以下访问规则：

  • 入方向规则

    根据业务需求添加指定端口入方向规则，放通指定端口入方向网络流量。例如，需要放通“80”端口时，您可以添加“策略”为“允许”的“TCP”、“80”协议端口规则。

  • 出方向规则

    默认。放通全部出方向网络流量。

操作步骤

1. 申请WAF独享引擎实例。
2. 将网站“www.example.com”接入WAF，选择任意的非标准端口，如“86”端口，“源站端口”配置为“9876”，“是否已使用代理”选择，其他参数的配置参见步骤一：添加防护网站（独享模式）。
3. 为ELB配置监听器和后端服务器组。
   1. 登录管理控制台。
   2. 单击管理控制台左上角的，选择区域或项目。
   3. 单击页面左上方的，选择“网络 > 弹性负载均衡”，进入“负载均衡器”页面。
   4. 在负载均衡器所在行的“名称”列，单击目标负载均衡器名称，进入ELB“基本信息”页面。
   5. 选择“监听器”页签后，单击“添加监听器”，配置监听器信息，“前端端口”配置为您想防护的端口，如此处配置为“9876”。
   6. 单击“下一步：配置后端分配策略”，配置后端服务器组。
      

      “分配策略类型”选择“加权轮询算法”时，请关闭“会话保持”，如果开启会话保持，相同的请求会转发到相同的WAF独享引擎实例上，当WAF独享引擎实例出现故障时，再次到达该引擎的请求将会出错。

   7. 单击“下一步：配置后端服务器”后直接单击“下一步：确认配置”。

4. 将WAF实例添加到ELB。
   1. 登录管理控制台。
   2. 单击管理控制台左上角的，选择区域或项目。
   3. 单击页面左上方的，选择“安全 > Web应用防火墙 (独享)”。
   4. 在左侧导航树中，选择“系统管理 > 独享引擎”，进入“独享引擎”页面。
   5. 在目标实例所在行的“操作”列，单击“更多 > 添加到ELB”。
   6. 在“添加到ELB”页面中，选择3中配置的“ELB（负载均衡器）”、“ELB监听器”和“后端服务器组”。
   7. 单击“确认”，为WAF实例配置业务端口，“业务端口”需要配置为WAF独享引擎实例实际监听的业务端口，即2中配置的86端口。
   8. 单击“确认”，配置完成。

5. 为弹性负载均衡绑定弹性公网IP。
6. 放行独享引擎回源IP。

配置完成后流量防护原理图