You need to enable JavaScript to run this app.
导航

接入负载均衡型 WAF 实例

最近更新时间2023.10.08 16:12:30

首次发布时间2023.06.08 21:42:51

负载均衡接入 WAF 通过选择负载均衡实例,对经过负载均衡的流量进行旁路检测分析,对攻击流量进行清洗,实现业务转发和安全防护的分离。本文介绍接入负载均衡型 WAF 实例的流程。

前提条件

  • 您需要防护的业务部署在火山引擎云内。
  • 您已购买火山引擎 7 层负载均衡实例和负载均衡型 WAF 实例。详情请参见购买 WAF 实例
  • 所需防护域名已备案,且未添加到 WAF。

流程说明

步骤一:购买负载均衡型 WAF 实例

  1. 登录Web 应用防火墙控制台

  2. 在安全概览页面,单击购买 WAF

  3. 在购买页面配置负载均衡型实例参数,配置说明如下。

    配置

    说明

    实例名称

    最多 60 个字符,只允许字母、数字、中文字符,'-'、'_'、'.'。

    实例类型

    选择负载均衡型。

    区域

    WAF 实例所属区域。
    负载均衡型支持地域为华北 2(北京)、华东 2(上海)和华南 1(广州),需和云上待防护资源所属地域保持一致。

    说明

    同一帐号在同一个区域只能购买生成一条实例,实例到期回收后可以重新选购实例。

    计费模式

    支持选择包年包月。

    说明

    试用相关操作和注意事项请参见开通免费试用

    套餐规格

    支持基础版、高级版、企业版、旗舰版四个版本,了解详细参数请参见查看规格对比详情

    日志服务

    开启日志服务后,默认授权创建 IAM 服务关联角色。

    日志容量

    默认起购日志容量 3 TiB,最多可购买 500 TiB。

    域名扩展包

    支持扩展防护域名数量,一个域名扩展包包含:10 个域名防护(限制仅支持 1 个一级域名),最多可购买 1000 个扩展包。

    QPS 扩展包

    支持扩展 QPS 量,一个 QPS 扩展包包含:1000 QPS,最多可购买 20 个扩展包。

    购买时长

    实例有效时长。

    注意

    • 实例到期 15 × 24 小时后将进行实例回收处理,届时请提前修改域名解析配置,以免影响您的正常业务。
    • 实例购买时默认到期自动续费,即当前实例创建完成后,账户可用余额充足的前提下,该实例会在到期前自动续费,默认单次续费时长为一个月。您可以手动取消勾选,或者在开通后前往费用中心随时修改。
  4. 确认所选配置后,阅读并同意勾选相关服务协议。

  5. 单击立即购买进入订单管理页面,确认订单信息。

  6. 确认订单信息无误后,完成支付。

步骤二:添加域名

  1. 登录Web 应用防火墙控制台

  2. 在顶部菜单栏选择实例所属地域。

  3. 在左侧导航选择网站设置,然后单击负载均衡接入

  4. 填写需要添加域名的相关参数。
    图片

    参数

    说明

    防护域名

    填写的域名需要和火山引擎负载均衡监听器中的域名保持一致。支持泛域名或精准域名。域名必须经过ICP备案,未备案域名将无法正常添加。

    说明

    如需同时配置泛域名和域名主体本身,请分别配置。如:需要同时配置*.b.a.comb.a.com,需要分别接入域名并配置策略。

    代理配置

    需要配置的网站在接入 WAF 前是否使用了高防、CDN 等七层代理。

    • :WAF前没有配置代理,WAF取与 WAF建立连接的IP(取X-Real-Ip)作为客户端IP。
    • :接入 WAF 前配置了代理,表示 WAF 收到的业务请求来自其他七层代理服务转发,而非直接来自发起请求的客户端,需要进一步配置客户端 IP 判定方式。
      • X-Forwarded-For字段获取客户端真实 IP:通过X-Forwarded-For字段中第一个公网IP地址作为客户端真实 IP 地址。

        注意

        该方式存在攻击者伪造 XFF 字段的风险。

      • 自定义Header字段:按匹配字段添加顺序获取客户端 IP并将其作为客户端真实 IP 。如匹配字段无法获取客户端 IP,则将通过X-Forwarded-For字段获取;如X-Forwarded-For字段由于伪造非法 IP 无法获取,则取X-Real-Ip字段作为客户端 IP。

        说明

        单实例每域名最多可配置 5 个自定义 Header 字段。

    日志服务

    选择当前域名的日志服务的启用状态,选择开启则域名规则创建完成后开始采集该域名产生的日志数据,选择关闭则域名规则创建完成后不会采集该域名产生的日志数据。
    如果需要开启日志服务,需要先完成 WAF 访问日志服务的跨服务授权,让 WAF 服务获取日志采集和存储权限。

  5. 配置完成后,单击下一步

步骤三:选择负载均衡监听器

勾选需要接入 WAF 的负载均衡实例及要转发的协议及端口号并确认。

说明

如希望转发多个端口的流量请勾选多个所需端口。

图片
接入完成后,网站设置列表自动生成防护网站记录,并默认启用防护。

后续操作:配置防护策略

网站接入 WAF 后,您可以根据防护需求场景对访问管控、CC 防护、漏洞防护、API 防护、Bot 管理等防护能力进行配置,提高网站抵抗攻击的防护能力。