负载均衡型WAF环境搭建

前言

Web 应用防火墙（Web Application Firewall，简称 WAF）可为您的网站或者 App 业务，提供完整的Web应用防护方案。
Http(S)请求在到达源站前在WAF进行检测和过滤，确保到达源站的每个请求有效且安全，对无效或有攻击行为的请求进行记录或隔离；通过部署WAF，可以有效防御恶意入侵和攻击，解决数据泄露以及合规、隐私保护等问题，从而保障数据安全性和应用程序可用性。

本实验将帮助您在火山引擎上成功搭建WAF环境。

关于实验

• 预计部署时间：20分钟
• 级别：初级
• 相关产品：WAF
• 受众： 通用

实验说明

• 点击此链接登录控制台。

• 如果您还没有账户，请点击此链接注册账户。

• 购买负载均衡型的Web应用防火墙，参考文档：开通WAF实例。

• 需要准备已经备案的域名。

• 需要准备一台后端服务器(ECS)，并搭建web应用，如Apache或Nginx。

实验步骤

第一步-创建负载均衡

进入负载均衡控制台，然后单击创建负载均衡以创建和配置负载均衡。

第二步-配置负载均衡器，保证业务流量能够正常转发

1. 在此页面，您将进行负载均衡器的配置，包括基本信息、网络配置、绑定公网IP、实例规格。
   本实验实例规格选择小型I、线路类型选择BGP(多线)，如下：
   
   然后点击确认订单-立即购买即可。

2. 为上一步创建的负载均衡器创建监听器，到负载均衡器控制台，找到上一步创建的负载均衡器——监听器——添加监听器，本实验使用HTTP协议、8080端口、加权轮训调度算法，然后点击下一步，如下：
   

3. 在此页面，点击创建后端服务器组，填写名称，然后点击添加服务器，选择已经准备好的后端服务器，然后填写后端服务器的服务端口，点击确定，如下：
   

4. 回到添加监听器页面，把选择上一步创建的后端服务器组，然后点击下一步，如下：
   

5. 在此页面，配置负载均衡器的健康检查，本实验使用GET方法、根路径进行配置，然后点击下一步进行审核，如下：
   

6. 配置监听器的转发规则，域名填写已经准备好的备案域名（一定要填写域名，否则后面设置中WAF找不到负载均衡器），如下：

   

7. 配置完成后，测试通过负载均衡器公网IP+端口，是否可以正常访问，返回内容跟后端服务器搭建web应用相关，状态码正常为200，如下：
   

第三步-配置WAF

1. 到WAF控制台，点击网站设置——负载均衡器接入，输入准备好的已经备案的域名，如下：
   

2. 选择第二步中负载均衡器监听器，如下：
   

3. 配置完成后，接入状态会变为正常，如下：
   

4. 配置防护策略，以漏洞策略为例，其余防护策略如访问控制、CC防护、API防护、Bot管理、防敏感信息泄露可自行配置，本实验使用防护等级为严格、模式为拦截，常规检测、逻辑漏洞、Web后门都开启规则，如下：
   

第四步-进行测试

1. 本实验未做DNS解析的配置，所以测试时，需要在本地host文件中添加域名跟IP的对应,然后使用域名进行测试，如下：
   

2. 然后可以查看请求的访问日志，如下：