ALB 可以与火山引擎 Web应用防火墙(Web Application Firewall,WAF)联动,您可在 WAF 控制台接入 ALB 实例。ALB 实例接入 WAF 后,系统通过监测分析经过 ALB 的流量,对攻击流量进行清洗。
接入 WAF 防护
前提条件
- 已开通火山引擎 Web应用防火墙并购买 WAF 实例。
- 所需防护域名已备案,且未添加到 WAF。
- 网站服务在火山引擎上,已使用 ALB 进行流量负载均衡服务,服务正常进行。
说明
更多关于火山引擎 Web应用防火墙内容,请参见官网文档。
操作步骤
- 登录火山引擎 Web应用防火墙控制台。
- 单击左侧导航栏中的 网站设置,进入网站设置页面。
- 在 网站设置 页面,点击 负载均衡接入 。
- 在 负载均衡接入 标签页,添加防护域名并完成代理配置,详见配置说明。确认配置信息无误后点击 下一步 。
- 选择待接入 WAF 的 ALB 实例、转发协议、端口号。若存在转发多个端口流量的业务需求,请勾选多个端口。确认配置信息无误后,点击 确定 ,完成 ALB 实例接入 WAF防护。
配置说明
配置字段 | 说明 |
---|
防护域名 | 请填写待接入的网站域名,此域名应与监听器中的域名相同。 |
代理配置 | 请确认需要配置的网站在接入 WAF 前是否使用了高防、CDN等七层代理。 - 否:网站接入 WAF 前没有配置代理,与WAF建立连接的 IP(取X-Real-Ip)作为客户端 IP。
- 是:网站接入 WAF 前已经配置代理,因此 WAF 收到的业务请求是由其他七层代理服务转发,不是直接来自发起请求的客户端,需要进一步配置客户端 IP 判定方式。具体如下:
- X-Forwarded-For 字段获取客户端真实 IP :通过 X-Forwarded-For 字段中第一个公网 IP 地址作为客户端真实 IP 地址。
- 自定义 Header 字段获取客户端真实 IP:按匹配字段添加顺序获取客户端 IP 并将其作为客户端真实 IP 地址。
|
说明
- X-Forwarded-For 字段获取客户端真实 IP 方式, 可能存在攻击者伪造XFF字段的风险。
- 自定义 Header 字段获取客户端真实 IP 方式,单一实例每个域名最多可配置5个自定义Header字段。
- 若匹配字段无法获取客户端 IP,则通过 X-Forwarded-For 字段获取客户端真实 IP。
- 若 X-Forwarded-For 字段由于伪造非法 IP 无法获取客户端真实 IP,则取X-Real-Ip字段作为客户端IP。
网站列表
网站设置 的 网站列表 页面中展示已接入 WAF 后的网站基本信息,包括源服务器IP、接入方式、协议类型、接入状态、防护状态、攻击信息等。具体字段说明如下:
字段 | 说明 |
---|
防护网站 | 已接入 WAF防护的网站。点击网站名称,可了解网站基本信息。包括防护域名、监听协议类型、WAF回源IP、负载均衡算法、回源协议、私有网络、源站配置、接入方式、CNAME值。 |
源服务器 IP | 接入 WAF 的网站对外提供服务的源站 IP 地址。 |
接入方式 | 网站接入 WAF 集群方式支持: - CNAME 接入:包括 SaaS 型和高防型,详见WAF防护-网站设置。
- 负载均衡接入:ALB实例接入 WAF防护。
|
协议类型 | 接入 WAF 的网站使用的协议类型,当前支持: |
接入状态 | 网站接入 WAF 集群的状态。 |
防护状态 | 当前不同防护策略的启用状态,点击具体防护策略即可进入此策略的配置页面。支持防护策略包括:漏洞防护、CC防护、访问黑名单、访问白名单、地理防护控制、自定义拦截响应、防敏感信息泄漏、API 防护、请求加白、字段加白、托管 bot 分类、自定义 bot 分类。 |
3天攻击监控 | 近3天网站遭受攻击的情况。 |
操作 | 支持对接入WAF的网站进行编辑、防护设置及删除操作。 - 编辑:编辑修改已接入 WAF防护的网站设置。
- 防护设置:修改网站不同防护策略的具体防护规则。
- 删除:对于负载均衡型接入的域名,直接删除即可。
|