网站接入概述
如果要使用Web应用防火墙(Web Application Firewall,WAF)防护您的Web业务,您必须先将Web业务接入WAF。WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种接入方式,您可以根据Web业务的部署特征,选择合适的接入方式。本文通过实现原理、推荐场景、接入对象和接入方式的对比进行介绍。
使用场景
根据不同模式的使用场景、防护对象选择网站接入方式。
- 云模式-CNAME接入:
- 业务服务器部署在华为云、非华为云或线下
- 防护对象:域名
- 接入方式:将网站接入WAF防护(云模式-CNAME接入)
- 云模式-ELB接入:
- 业务服务器部署在华为云。
- 防护对象:域名/IP
- 接入方式:网站接入WAF(云模式-ELB接入)
- 独享模式:
- 业务服务器部署在华为云。
- 防护对象:域名/IP
- 接入方式:将网站接入WAF防护(独享模式)
约束限制
WAF不同接入模式的约束限制如下。
使用云模式-CNAME接入方式将网站接入WAF防护时,有如下限制:
限制项 |
限制条件 |
---|---|
域名限制 |
|
服务版本限制 |
|
证书限制 |
|
WebSocket协议限制 |
WAF支持WebSocket协议,且默认为开启状态。
|
HTTP2协议限制 |
HTTP2协议仅适用于客户端到WAF之间的访问,且“对外协议”必须包含HTTPS才支持使用。
|
规格限制 |
将网站接入WAF后,网站的文件上传请求限制为10G。 |
使用云模式-ELB接入方式将网站接入WAF防护时,有如下限制:
- 仅支持与独享型ELB配套使用,且“规格”必须为“应用型(HTTP/HTTPS)”,不支持“网络型(TCP/UDP)”的独享型的ELB。
- “策略配置”:只有专业版和铂金版支持选择自定义的防护策略。
使用独享模式将网站接入WAF防护时,有如下限制:
限制项 |
限制条件 |
---|---|
ELB限制 |
将网站以独享模式接入WAF时,仅支持与独享型ELB配套使用。有关ELB类型的详细介绍,请参见共享型弹性负载均衡与独享型负载均衡的功能区别。
说明:
2023年4月之前的独享引擎版本,不支持与独享ELB网络型配合使用。因此,如果您使用了独享ELB网络型(TCP/UDP)负载均衡,请确认独享WAF实例已升级到最新版本(2023年4月及之后的版本),独享引擎版本详情请参见独享引擎版本迭代。 |
域名限制 |
|
代理限制 |
如果WAF前有使用CDN、云加速等七层代理服务器,“是否已使用代理”务必选择“七层代理”,选择“七层代理”后,WAF将从配置的Header头中字段中获取用户真实访问IP,详见配置攻击惩罚的流量标识。 |
证书限制 |
|
WebSocket协议限制 |
WAF支持WebSocket协议,且默认为开启状态。
|
网站接入流程
WAF不同接入模式的网站接入流程如下。
以云模式CNAME接入方式接入网站时,您可以参照图1所示的配置流程,快速使用WAF。
操作步骤 |
说明 |
---|---|
配置域名、协议、源站等相关信息。 |
|
如果您的源站服务器安装了其他安全软件或防火墙,建议您配置只允许来自WAF的访问请求访问您的源站,这样既可保证访问不受影响,又能防止源站IP暴露后被黑客直接攻击。 |
|
添加域名后,为了确保WAF转发正常,建议您先通过本地验证确保一切配置正常,然后再修改DNS解析。 |
|
一站式将网站接入WAF即可,具体操作请参见将网站接入WAF防护(云模式-ELB接入)。
以WAF独享模式接入网站时,您可以参照图2所示的配置流程,快速使用WAF。