You need to enable JavaScript to run this app.
导航
Web应用防火墙
  • 文档首页
    • /
  • Web应用防火墙

通过负载均衡(CLB)4 层 TCP 监听器接入云 WAF 实例

最近更新时间2024.04.28 11:13:42

首次发布时间2024.01.26 11:09:11

我的收藏

如果您的业务接入了火山引擎负载均衡实例,且已为端口添加 TCP 监听,则可以通过负载均衡(CLB )4 层 TCP 方式接入云 WAF 防护。WAF 实例会对经过负载均衡的流量进行旁路检测分析,对攻击流量进行清洗,实现业务转发和安全防护分离。

前提条件

  • 防护域名已备案,且未添加到 WAF。
  • 您已购买火山引擎华东 1(上海)地域的云 WAF 实例和 CLB 实例。
  • 您已将防护域名接入 CLB,并设置了 TCP 监听器。关于 TCP 协议监听器的相关配置,可参考创建 TCP 协议监听器

操作步骤

  1. 登录火山引擎 Web 应用防火墙控制台

  2. 在顶部菜单栏选择实例所属地域,即选择华东 1(上海)

    说明

    如果您在该地域下没有相关实例,请前往实例页面购买。

  3. 在左侧导航选择网站设置,然后单击新建站点

  4. 选择接入方式为负载均衡(CLB 4 层),并配置接入参数。
    图片

    参数

    说明

    网站配置

    防护域名

    填写需要接入防护的域名,支持泛域名或精准域名。域名须经过 ICP备案,未备案域名将无法正常添加。

    说明

    如需同时配置泛域名和域名主体本身,请分别配置。如:需要同时配置*.b.a.comb.a.com,需要分别接入域名并配置策略。

    负载均衡与监听器

    • 负载均衡实例:在下拉列表中选择可用的负载均衡实例,WAF 会自动匹配配置了 TCP 协议监听器的负载均衡实例。
    • 监听器:选择负载均衡实例下的某个 TCP 协议监听器。
    • 协议类型:需要接入 WAF 的防护域名所使用的通信协议,可选 HTTP、HTTPS 协议。

    说明

    最多可以添加 10 个监听器。

    证书选择

    当协议类型设置为 HTTPS 时,需要选择相关证书。若无适用证书,可单击新建证书上传。

    协议配置

    当协议类型设置为 HTTPS 时,可选择是否开启 HTTP 2.0。开启后支持 HTTP 2.0 协议接入防护,以 HTTP 1.0/1.1 协议转发回源。

    日志采集

    选择当前域名的日志服务的启用状态。

    • 开启:域名规则创建完成后开始采集该域名产生的日志数据。
    • 关闭:域名规则创建完成后不会采集该域名产生的日志数据。

    说明

    如果需要开启日志服务,需要先完成 WAF 访问日志服务的跨服务授权,让 WAF 服务获取日志采集和存储权限。

    接入能力

    代理配置

    需要配置的网站在接入 WAF 前是否使用了高防、CDN 等七层代理。

    • :WAF 前没有配置代理,WAF 取与 WAF 建立连接的 IP(取 X-Real-Ip)作为客户端 IP。
    • :WAF 前配置了代理,表示 WAF 收到的业务请求来自其他七层代理服务转发,而非直接来自发起请求的客户端,需要进一步配置客户端 IP 判定方式。
      • X-Forwarded-For 字段获取客户端真实 IP:通过 X-Forwarded-For 字段中第一个公网 IP 地址作为客户端真实 IP 地址。

        注意

        该方式存在攻击者伪造 X-Forwarded-For 字段的风险。

      • 自定义 Header 字段:按匹配字段添加顺序获取客户端 IP 并将其作为客户端真实 IP 。如匹配字段无法获取客户端 IP,则将通过 X-Forwarded-For 字段获取;如 X-Forwarded-For 字段由于伪造非法 IP 无法获取,则取 X-Real-Ip 字段作为客户端 IP。

        说明

        单实例每域名最多可配置 5 个自定义 Header 字段。

    长连接

    配置客户端与 WAF 之间的长连接限制。

    • 长连接保持时间:客户端与 WAF 之间的长连接保持时间。默认为 75 秒,支持配置 0~900 秒。
    • 复用长连接请求数:单个已建立的 TCP 连接上可以重复发送多个请求的个数。默认为 100 个,支持配置 60~1000 个。

    请求 Body 最大值

    可接收客户端请求正文的最大值。默认为 60 MB,支持配置 1~10240 MB。

    回源能力

    建立超时时间

    WAF 和后端服务器的建连超时时间,建议大于健康检查超时时间。默认为 4 秒,支持配置 4~120 秒。

    写连接超时时间

    WAF 将请求传输给后端服务器的超时时间。默认为 60 秒,支持配置 30~3600 秒。

    读连接超时时间

    WAF 从后端服务器读取响应的超时时间。默认为 60 秒,支持配置 30~3600 秒。

    回源长连接

    WAF 回源时,长连接可复用的个数。默认为 100 个,支持配置 60~1000 个。

    回源重试

    WAF 回源失败后,可重试的次数。默认为 3 次,支持配置 1~10 次。

    空闲长连接超时时间

    WAF 与后端服务器建立请求的长连接空闲时间。默认为 15 秒,支持配置 1~60 秒。

  5. 单击提交
    接入完成后,网站设置列表自动生成防护网站记录,并默认启用防护。