通过联合部署DDoS高防和WAF提升网站防护能力

news2024/12/20 6:44:35

如果您的网站遭受的攻击既有流量型攻击,又混杂精巧的Web应用层攻击时(例如SQL注入、跨站脚本攻击、命令注入等)时,推荐您组合使用阿里云DDoS高防和Web 应用防火墙 WAF(Web Application Firewall),通过多层次的安全防护对抗多种潜在威胁。本文九河云介绍如何同时部署DDoS高防和WAF。

网络架构

DDoS高防和WAF同时部署时采用以下网络架构:DDoS高防(入口层,防御DDoS攻击)->WAF(中间层,防御Web应用攻击)->源站服务器(ECS、SLB、VPC、IDC等)。网站业务流量会先经过DDoS高防清洗,然后转发到WAF过滤Web攻击,最后只有正常的业务流量被转发到源站服务器,保障网站的业务安全和数据安全。业务流量的转发过程如下图所示。

注意事项

访问请求将经过多层中间代理才到达源站,源站不能直接获取请求的真实来源IP。

前提条件

  • 已购买DDoS高防实例。

  • 已购买WAF实例

    说明

    本文以WAF 3.0为例介绍,如果您使用的是WAF 2.0也可以参考本文操作。

步骤一:网站业务接入WAF

支持CNAME接入和云产品接入两种方式,接入前请您详细了解各接入方式的推荐场景。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏,单击接入管理

  3. 通过CNAME接入云产品接入,将业务接入WAF。

    1. CNAME接入

      配置项

      说明

      负载均衡算法

      源站有多个服务器地址时,根据业务需要设置,以实现负载均衡。

      服务器地址

      填写网站对应的源站服务器的公网IP地址或源站域名,用于接收WAF转发回源的正常业务请求(回源请求)。

      HTTPS高级设置

      根据业务需要,设置是否开启HTTP回源、是否启用回源SNI。

      其它高级设置

      根据业务需要,设置是否启用流量标记、WAF回源到源站的超时时间、回源重试、回源长连接。

      1. CNAME接入页签,单击接入

      2. 配置监听向导页,完成如下配置后,单击下一步

        配置项

        配置说明

        域名

        填写您的网站域名。

        协议类型

        选择网站使用的协议类型并填写对应端口。每输入一个端口,按回车确认。

        说明

        • 选中HTTPS后,您还需要将网站域名关联的证书上传到WAF。

        • 选中HTTPS并配置证书后,您也可以根据业务需要,设置是否开启HTTP2、是否开启HTTPS的强制跳转、选择TLS协议版本、选择HTTPS加密套件。

        WAF前是否有七层代理(高防/CDN等)

        选择,并设置客户端IP判定方式

        • (默认)取X-Forwarded-For中的第一个IP作为客户端源IP

          WAF默认读取请求Header字段X-Forwarded-For(XFF)中的第一个IP地址作为客户端IP。

        • 【推荐】取指定Header字段中的第一个IP作为客户端源IP,避免XFF伪造

          如果您的网站业务已通过其他代理服务的设置,规定将客户端源IP放置在某个自定义的Header字段(例如,X-Client-IP、X-Real-IP),则您需要选择该选项,并在指定Header字段框中输入对应的Header字段。

          说明

          推荐您在业务中使用自定义Header存放客户端IP,并在WAF中配置对应Header字段。该方式可以避免攻击者伪造XFF字段,躲避WAF的检测规则,提高业务的安全性。

        更多配置

        根据您的业务,设置是否开启IPv6、是否开启独享IP,选择要使用的防护资源类型。

        资源组

        从资源组下拉列表中选择该域名所属资源组。如果不选择,则默认加入默认资源组

      3. 配置转发向导页,完成如下配置后,单击提交

      4. 接入完成向导页,获取WAF提供的CNAME地址。

    2. 云产品接入

      如果Web业务已启用阿里云应用型负载均衡(Application Load Balancer,简称ALB)、微服务引擎(Microservices Engine,简称MSE)、函数计算(Function Compute,简称FC),建议您选择SDK插件接入。如果Web业务已启用阿里云传统型负载均衡(Classic Load Balancer,简称CLB)上、云服务器(Elastic Compute Service,简称ECS),建议您通过反向代理集群接入

步骤二:网站业务接入DDoS高防

  1. 登录DDoS高防控制台。

  2. 在顶部菜单栏左上角处,选择地域。

    • DDoS高防(中国内地):选择中国内地地域。

    • DDoS高防(非中国内地):选择非中国内地地域。

  3. 在左侧导航栏,选择接入管理 > 域名接入

  4. 域名接入页面,单击添加网站,按照页面提示完成配置。

    配置项

    说明

    功能套餐

    选择要关联的DDoS高防实例的功能套餐。

    实例

    选择要关联的DDoS高防实例。

    一个网站域名最多可以关联8个DDoS高防实例,且只能关联同一种功能套餐下的多个实例。

    网站

    填写您的网站域名。

    协议类型

    选择网站支持的协议类型。

    说明

    • 选择HTTPS协议时,完成网站配置后,请上传网站域名使用的证书。

    • 选中HTTPS协议后,可以根据需要开启HTTPS的强制跳转、是否开启HTTP回源、是否启用HTTP2。

    启用OCSP

    选择是否启用OCSP(Online Certificate Status Protocol)功能。

    重要

    该功能适用于网站HTTPS业务。如果您已选择的协议类型包含HTTPS,推荐启用该功能。

    服务器地址

    • 域名在WAF上的接入模式为CNAME接入时,选择源站域名并填写步骤一中获取的WAF的CNAME地址。

    • 域名在WAF上的接入模式为云产品接入时,选择源站IP并填写源站服务器的公网IP。

    服务器端口

    根据协议类型,设置源站提供对应服务的端口。

    • HTTP协议、Websocket协议的端口默认为80。

    • HTTPS协议、HTTP2协议、Websockets协议的端口默认为443。

    您可以单击自定义,自定义服务器端口,多个端口间使用半角逗号(,)分隔。

    Cname Reuse

    仅DDoS高防(非中国内地)支持配置该参数。选择是否开启CNAME复用。

  5. 复制DDoS高防提供的CNAME地址。

步骤三:修改域名的DNS解析

请将域名解析指向DDoS高防提供的CNAME地址。以域名DNS托管在阿里云云解析DNS为例介绍,使用其他DNS服务商的域名解析服务时请参考配置。

  1. 登录阿里云云解析DNS控制台。

  2. 域名解析页面,定位到目标域名,单击操作列的解析设置

  3. 解析设置页面,定位到目标解析记录,单击操作列的修改

    说明

    如果要操作的解析记录不在记录列表中,您可以单击添加记录

  4. 修改记录(或添加记录)页面,选择记录类型CNAME,并将记录值修改为域名对应的DDoS高防CNAME地址。

  5. 单击确认,等待修改后的解析设置生效。

  6. 使用浏览器测试网站访问是否正常。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1487836.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【MySQL】事务管理 -- 详解

一、前言 CURD 不加控制,会有什么问题? CURD 满足什么属性,能解决上述问题? 买票的过程得是原子的。买票应该不能受互相的影响。买完票应该要永久有效。买前和买后都要是确定的状态。 什么是事务? 事务就是一组 DML…

2024-03-03 c++

🌸 MFC进度条控件 | Progress Control 1。新建MFC项目(基于对话框、静态库) 2。添加控件,删除初始的3个多余控件 加1个progress control,修改其marquee为true,添加变量:变量名为test_progress。…

乡村教师的待遇会比城里的好吗

每次提到乡村教师,我们总会联想到那些坚守在偏远山区的教育工作者,他们默默无闻,为了乡村的孩子们奉献着自己的青春和热血。那么,乡村教师的待遇究竟如何呢?是否真的如外界所传闻的那般,比城里的教师还要好…

ip https证书360元买一年送一月

随着互联网的发展,不论是用户还是开发者,都越来越重视互联网环境的安全性。IP https证书是一种网络安全协议,用于保护网络通信的安全性和机密性。IP https数字证书是CA认证机构为只有公网IP地址,没有域名的站点颁发的数字证书&…

华为HarmnyOS TypeScript基础语法快速入门

华为HarmnyOS TypeScript基础语法快速入门 一、JavaScript、TypeScript、ArkTS二、TypeScript基础语法1. 基础类型2. 条件语句3. 函数4. 类5. 模块6. 迭代器 一、JavaScript、TypeScript、ArkTS ArkTS是HarmonyOS优选的主力应用开发语言。它在TypeScript(简称TS&am…

信钰证券:四川黄金超50亿元解禁,紫金矿业等解禁股东浮盈超200%

本周A股限售股解禁规划不到400亿元,环比下降。 除掉新上市公司,本周共有43家公司限售股解禁,解禁数量28.91亿股,以最新收盘价计算(下同),解禁市值387.66亿元。 其间,解禁市值超越1…

MASS/MM17批量复制物料描述

需求: 批量将日文环境中的物料描述复制到英文环境。 实现: 1.将日文环境下的物料描述下载至本地excel。 2.新建EXCEL,添加如下标题列,并将第一步下载下来的内容粘贴至对应的列,MANDT改为实际要更新的客户端&#xf…

基于Python的单词抽取测试工具

一、引言 在语言学习的过程中,单词量的多少是衡量一个人英语水平的重要指标。而如何快速扩充词汇量,掌握单词的汉语意思是重多师生的痛点和难点。为了帮助学习者有效地扩展词汇,巩固学习成果,我们在ChatGPT-4.0的帮助下&#xff…

Cookie和session 及Web相关工具

一 Cookie (一)介绍 Cookie 又称为"小甜饼”。类型为"小型文本文件”,指某些网站为了辨别用户身份而储存在用户本地终端(Client Side)上的数据(通常经过加密)。由网景公司的前雇员…

深入了解 Android 中的 FrameLayout 布局

FrameLayout 是 Android 中常用的布局之一&#xff0c;它允许子视图堆叠在一起&#xff0c;可以在不同位置放置子视图。在这篇博客中&#xff0c;我们将详细介绍 FrameLayout 的属性及其作用。 <FrameLayout xmlns:android"http://schemas.android.com/apk/res/androi…

机器学习-面经(part4、决策树)

7. 决策树 7.1 ID算法 核心是在决策树各个节点上应用信息增益准则选择特征,递归的构建决策树。 具体方法是:从根结点开始,对结点计算所有可能的特征的信息增益,选择信息增益最大的特征作为结点的特征,由该特征的不同取值建立子结点;再对子结点递归的调用以上方法,构建…

2023第十届GIAC全球互联网架构大会:洞察未来互联网架构的革新与突破(附大会核心PPT下载)

随着互联网的迅猛发展&#xff0c;其底层架构的演进与革新成为了推动全球数字化进程的关键力量。2023年第十届GIAC全球互联网架构大会如期而至&#xff0c;汇聚了全球互联网架构领域的顶尖专家、学者、企业领袖和创新者&#xff0c;共同探讨和展望互联网架构的未来发展趋势。本…

成都直播基地:势必打造开放、自由、灵活、个性化的数字直播空间

为了进一步推动直播经济的发展&#xff0c;成都天府新区迎来了一个好消息——天府锋巢直播产业基地正式落地科学城。这一成都规模最大的直播基地一经成立便为成都直播行业打造出一个开放、自由、灵活、个性化的数字直播空间&#xff0c;引领天府新区直播经济腾飞。 天府锋巢直播…

C++_红黑树

目录 1、红黑树的规则 2、红黑树节点的定义 3、红黑树插入节点的调整操作 3.1 情况一 3.2 情况二 3.3 情况三 4、红黑树的实现 结语 前言&#xff1a; 在C中&#xff0c;红黑树是二叉搜索树的另一种优化版本&#xff0c;他与AVL树的区别在于保持树的平衡方式不同&…

STM32CubeMX实战教程: TIM6、TIM7 - 基本定时器

基本定时器的作用 基本定时器&#xff0c;主要用于实现定时和计数功能。作用包括&#xff1a; 定时功能&#xff1a;可以产生周期性的中断&#xff0c;用于实现定时任务。例如&#xff0c;可以设置一个定时器每隔一定时间&#xff08;如1秒&#xff09;产生一次中断&#xff0…

状态码转文字!!!(表格数字转文字)

1、应用场景&#xff1a;在我们的数据库表中经常会有status这个字段&#xff0c;这个字段经常表示此类商品的状态&#xff0c;例如&#xff1a;0->删除&#xff0c;1->上架&#xff0c;0->下架&#xff0c;等等。 2、我们返回给前端数据时&#xff0c;如果在页面显示0…

【JavaWeb】

Javaweb 数据库相关概念MySQL数据库MySQL数据模型SQLDDL--操作数据库图形化客户端工具DML--操作数据DQL数据库约束 数据库设计多表查询事务 数据库相关概念 数据库 存储数据的仓库&#xff0c;数据是有组织的进行存储 英文&#xff1a;DataBase&#xff0c;简称DB 数据库管理系…

高维中介数据:基于交替方向乘子法(ADMM)的高维度单模态中介模型的参数估计(入门+实操)

全文摘要 用于高维度单模态中介模型的参数估计&#xff0c;采用交替方向乘子法&#xff08;ADMM&#xff09;进行计算。该包提供了确切独立筛选&#xff08;SIS&#xff09;功能来提高中介效应的敏感性和特异性&#xff0c;并支持Lasso、弹性网络、路径Lasso和网络约束惩罚等不…

详解:npm升级到pnpm对比优化点!!

npm3之前 依赖树层级过深&#xff0c;导致依赖路径过长并且相同依赖模块会被重复安装,占用电脑磁盘空间 npm3之后 修改为扁平化处理 算法复杂存在多项目间依赖相同副本的情况导致没有明确被依赖的包也可以直接引用&#xff0c;管理复杂 pnpm node_modules改成非扁平化结构&a…