通过负载均衡(CLB)7 层监听器接入云 WAF 实例
最近更新时间:2024.01.26 11:09:11
首次发布时间:2024.01.26 11:09:11
如果您的业务接入了火山引擎负载均衡实例,且已为端口添加 HTTP 或 HTTPS 监听,则可以通过负载均衡(CLB) 7 层方式接入云 WAF 防护。WAF 实例会对经过负载均衡的流量进行旁路检测分析,对攻击流量进行清洗,实现业务转发和安全防护分离。
前提条件
- 防护域名已备案,且未添加到 WAF。
- 您已购买火山引擎云 WAF 实例和 CLB 实例。
- 您已将防护域名接入 CLB,并设置了 HTTP 或 HTTPS 监听器和转发规则。关于转发规则的相关配置,可参考创建转发规则。
操作步骤
在顶部菜单栏选择实例所属地域。
在左侧导航选择网站设置,然后单击新建站点。
选择接入方式为负载均衡(CLB 7 层),并配置接入参数。
参数
说明
网站配置
防护域名
填写需要接入防护的域名,支持泛域名或精准域名。域名须经过 ICP备案,未备案域名将无法正常添加。
说明
如需同时配置泛域名和域名主体本身,请分别配置。如:需要同时配置
*.b.a.com和b.a.com,需要分别接入域名并配置策略。负载均衡与监听器
在下拉列表中选择可用的监听器,WAF 会根据您配置的应用型负载均衡转发规则匹配对应域名的监听器信息。
说明
如无可选项,请确认输入的防护域名是否已经配置了对应的转发规则。
日志采集
选择当前域名的日志服务的启用状态。
- 开启:域名规则创建完成后开始采集该域名产生的日志数据。
- 关闭:域名规则创建完成后不会采集该域名产生的日志数据。
说明
如果需要开启日志服务,需要先完成 WAF 访问日志服务的跨服务授权,让 WAF 服务获取日志采集和存储权限。
接入能力
代理配置
需要配置的网站在接入 WAF 前是否使用了高防、CDN 等七层代理。
- 否:WAF 前没有配置代理,WAF 取与 WAF 建立连接的 IP(取 X-Real-Ip)作为客户端 IP。
- 是:WAF 前配置了代理,表示 WAF 收到的业务请求来自其他七层代理服务转发,而非直接来自发起请求的客户端,需要进一步配置客户端 IP 判定方式。
- X-Forwarded-For 字段获取客户端真实 IP:通过 X-Forwarded-For 字段中第一个公网 IP 地址作为客户端真实 IP 地址。
注意
该方式存在攻击者伪造 X-Forwarded-For 字段的风险。
- 自定义 Header 字段:按匹配字段添加顺序获取客户端 IP 并将其作为客户端真实 IP 。如匹配字段无法获取客户端 IP,则将通过 X-Forwarded-For 字段获取;如 X-Forwarded-For 字段由于伪造非法 IP 无法获取,则取 X-Real-Ip 字段作为客户端 IP。
说明
单实例每域名最多可配置 5 个自定义 Header 字段。
- X-Forwarded-For 字段获取客户端真实 IP:通过 X-Forwarded-For 字段中第一个公网 IP 地址作为客户端真实 IP 地址。
单击提交。
接入完成后,网站设置列表自动生成防护网站记录,并默认启用防护。