You need to enable JavaScript to run this app.
导航

接入高防型 WAF 实例

最近更新时间2023.10.08 16:12:30

首次发布时间2021.10.15 18:40:46

您需要防护的网站可通过 CNAME 方式接入高防型 WAF 实例,通过 CNAME 记录将防护网站的请求流量转发至对应的 WAF 集群进行清洗检测,实现防护。本文介绍接入高防型 WAF 实例的流程。

限制及约束

WAF CNAME 接入支持 WebSocket 和 WebSockets 协议,且默认为开启状态。

前提条件

所需防护域名已备案,且未添加到 WAF。

流程说明

步骤一:购买高防型 WAF 实例

  1. 登录Web 应用防火墙控制台

  2. 在安全概览页面,单击购买 WAF

  3. 在购买页面配置高防型实例参数,配置说明如下。

    配置

    说明

    实例名称

    最多 60 个字符,只允许字母、数字、中文字符,'-'、'_'、'.'。

    实例类型

    选择高防型。

    区域

    WAF 实例所属区域。高防型支持地域为华北 2(北京高防)和华东 2(南通高防 3),建议选择与待防护资源位置较近的区域。

    说明

    同一帐号在同一个区域只能购买生成一条实例,实例到期回收后可以重新选购实例。

    计费模式

    支持选择包年包月。

    说明

    试用相关操作和注意事项请参见开通免费试用

    套餐规格

    高防型实例支持高级版、企业版、旗舰版三个版本,规格详情请参见实例规格对比详情

    日志服务

    开启日志服务后,默认授权创建 IAM 服务关联角色。

    日志容量

    开启日志服务后,默认起购日志容量 3 TiB,最多可购买 500 TiB。

    域名扩展包

    支持扩展防护域名数量,一个域名扩展包包含:10 个域名防护(限制仅支持 1 个一级域名),最多可购买 1000 个扩展包。

    QPS 扩展包

    支持扩展 QPS 量,一个 QPS 扩展包包含:1000 QPS,最多可购买 20 个扩展包。

    购买时长

    实例有效时长。

    注意

    • 实例到期 15 × 24 小时后将进行实例回收处理,请提前修改域名解析配置,以免影响您的正常业务。
      • 过期的实例仅保留转发能力,不再具备 WAF 防护功能。通过 WAF CNAME 接入的域名,不会改变 CNAME 解析。
      • 高防型 WAF 实例到期回收后,保留 WAF CNAME 并解析至对应域名在 WAF 配置的源站地址,此时不保证回源能力,请及时处理。
    • 实例购买时默认开启到期自动续费,即当前实例创建完成后,账户可用余额充足的前提下,该实例会在到期前自动续费,默认单次续费时长为一个月。您可以手动取消勾选,或者在开通后前往费用中心随时修改。
  4. 确认所选配置后,阅读并同意勾选相关服务协议。

  5. 单击立即购买进入订单管理页面,确认订单信息。

  6. 确认订单信息无误后,完成支付。

步骤二:添加域名

  1. 登录火Web 应用防火墙控制台
  2. 在顶部菜单栏选择实例所属地域。
  3. 在左侧导航选择网站设置,然后单击CNAME接入
  4. 填写要接入 WAF 的网站基础信息,包括网站配置回源配置高级配置
    • 网站配置
      图片

      参数

      说明

      防护域名

      填写需要接入防护的域名,支持泛域名或精准域名。如需同时配置泛域名和域名主体本身,请分别配置。如:需要同时配置*.b.a.comb.a.com,需要分别接入域名并配置策略。

      注意

      域名须经过ICP备案,未备案域名将无法正常添加。

      协议类型

      需要接入 WAF 的网站所使用的通信协议,可选 HTTP、HTTPS 协议,勾选目标协议后,可在协议下方的输入框输入端口号。

      • 协议选择:如只勾选 HTTPS 协议,则 HTTP 请求将默认重定向至 HTTPS。
      • 端口号配置:
        • 协议支持配置的端口数量因版本而异。
        • 端口号输入后按回车键可继续输入其他端口号。
        • 支持编辑或删除已输入的端口号。

        注意

        输入的端口号需在可添加端口范围内且不能重复,单击查看可添加端口可搜索查看对应协议下可添加的端口号。

      • 更多设置:
        • 协议跟随:开启后,访问请求的“回源协议”与“访问协议”保持一致。为保证正常回源,请同时选中 HTTP 和 HTTPS 并确认源站支持已选中的协议类型。
        • HTTP 2.0:开启前需要勾选 HTTPS 协议类型,开启后支持 HTTP 2.0 协议接入防护,以 HTTP 1.0/1.1 协议转发回源。
        • IPv6 防护:开启后支持对 IPv6 客户端请求的防护,可在回源配置中配置 IPv4 和 IPv6 源站地址。开启协议跟随后,IPv4 请求将转发 IPv4 源站,IPv6 请求转发 IPv6 源站。

          说明

          高防型实例企业版和旗舰版支持配置 IPv6 防护。

      证书选择

      当网站协议类型选择 HTTPS 时,需要在 WAF 上配置防护域名对应的证书。 可选择配置已在 WAF 平台上传的证书或新建证书,新建证书将自动上传至火山引擎证书中心管理控制台。证书操作相关请参见新建和查看证书

      日志服务

      选择当前域名的日志服务的启用状态,选择开启则域名规则创建完成后开始采集该域名产生的日志数据,选择关闭则域名规则创建完成后不会采集该域名产生的日志数据。

      说明

      如果需要开启日志服务,需要先完成 WAF 访问日志服务的跨服务授权,让 WAF 服务获取日志采集和存储权限。

    • 回源配置
      图片

      参数

      说明

      负载均衡

      • 加权轮询(WRR):权重值越高的后端服务器,被轮询到的次数(概率)越高。
      • 加权最小连接数(WLC):将请求分发给“当前连接/权重”比值最小的后端服务器。
      • 源地址哈希(SH):基于源 IP 地址的一致性哈希,相同源地址的请求会调度到相同的后端服务器。

      源站配置

      • 分组:
        • 默认分组:默认包含全部未自定义配置回源规则的接入端口。
        • 自定义分组:
          • 单击添加可生成一个自定义分组,需要配置生效的端口范围。
          • 支持编辑自定义分组名称,不超过 15 个字符,支持中文、英文、数字和下划线。
          • 支持删除自定义分组,删除分组后将清空组内回源配置,并对组内接入端口按照默认分组配置执行回源操作。
      • 接入端口配置:
        • 默认分组的接入端口范围为全部未自定义配置回源规则的接入端口。
        • 自定义分组支持在添加的端口范围内选择多个目标接口。不同自定义分组间不得重复选择。

        说明

        例如,您在网站配置中选择了 HTTP 协议下的808182、83端口,和 HTTPS 协议下的443、4443端口,且在源站配置的自定义分组 1 中选择了 HTTP 协议下的8081端口,则余下的82834434443端口都将适用默认分组的回源规则配置。

      • 源站地址配置:
        • 源站协议:即从 WAF 回源至源站的回源协议,支持 HTTP/HTTPS 回源。

          注意

          未开启协议跟随时,同一地域下不同分组间的源站协议将全局保持一致。例如:您将自定义分组中的某源站配置的协议设置为 HTTP 协议,则所有分组(包括默认分组)下的源站协议都将设置为 HTTP 协议。

        • 源站地址:需要接入 WAF 的网站所提供服务的源站 IP 地址。
        • 源站端口:源站地址对应的端口。
        • 权重:表示后端服务器收到请求的概率(概率为该服务器权重/组中所有服务器的总权重)。
          • 权重越大转发的请求越多。
          • 权重设置为 0,表示该服务器不会再接受新请求。
          • 当监听器调度算法为源地址哈希(SH)时,无需配置权重。

        说明

        每个最源站地址组最多支持添加 20 个源站。

    • 高级配置
      图片

      参数

      说明

      代理配置

      需要配置的网站在接入 WAF 前是否使用了高防、CDN 等七层代理。

      • :接入 WAF 前没有配置代理,WAF 取与 WAF 建立连接的 IP(取 X-Real-Ip)作为客户端 IP。
      • :接入 WAF 前配置了代理,表示 WAF 收到的业务请求来自其他七层代理服务转发,而非直接来自发起请求的客户端,需要进一步配置客户端 IP 判定方式。
        • X-Forwarded-For字段获取客户端真实 IP:通过X-Forwarded-For字段中第一个公网IP地址作为客户端真实 IP 地址。

          注意

          该方式存在攻击者伪造 XFF 字段的风险。

        • 自定义Header字段:按匹配字段添加顺序获取客户端 IP并将其作为客户端真实 IP 。如匹配字段无法获取客户端 IP,则将通过X-Forwarded-For字段获取;如X-Forwarded-For字段由于伪造非法 IP 无法获取,则取X-Real-Ip字段作为客户端 IP。

          说明

          单实例每域名最多可配置 5 个自定义 Header 字段。

步骤三:修改 DNS 解析

  1. 填写域名信息后,单击下一步获取 WAF CNAME 地址。
  2. 访问 Web 应用的 DNS 解析服务商,将 DNS 服务记录类型设置为 CNAME,将记录值修改为刚获取到的 WAF CNAME 地址。
    待 DNS 解析生效后,相关域名的请求流量就会转发到 WAF。
    图片

步骤四:放行 WAF 回源 IP 段

该步骤仅对源站类型为公网IP的域名生效。业务接入 WAF 后,所有的请求都会经 WAF 回源 IP 段返回源站,每个回源 IP 上分摊的请求量会增大,容易被安全策略误拦或限速,因此需要对 WAF 回源 IP 段进行放行。 如果源站已配置防火墙或安装安全软件,请复制回源 IP 地址,将其添加到源站的防火墙、ACL 或者其他任何安全软件白名单中,以确保回源 IP 不受源站安全策略影响。
图片
接入完成后,网站设置列表自动生成防护网站记录,并默认启用防护。

后续操作:配置防护策略

网站接入 WAF 后,您可以根据防护需求场景对访问管控、CC 防护、漏洞防护、API 防护、Bot 管理等防护能力进行配置,提高网站抵抗攻击的防护能力。关于策略配置的详细操作,可参考WAF 防护策略概述