DDoS原生防护和Web应用防火墙组合使用方案

本文介绍了为网站类业务同时部署DDoS原生防护和Web应用防火墙的配置方法。该方案适用于为网站业务同时防御四层DDoS攻击和七层Web攻击、CC攻击的场景。

前提条件

背景信息

为网站类业务开启DDoS原生防护企业版时，如果业务本身除了需要防御DDoS攻击，还需要防御Web攻击、CC攻击，建议您为网站同时开启Web应用防火墙，由Web应用防火墙帮助业务防御常见的Web攻击、CC攻击。关于Web应用防火墙（WAF）的详细介绍，请参见。

同时使用DDoS原生防护和Web应用防火墙时，您需要先将网站业务接入Web应用防火墙进行防护，然后将WAF实例的IP地址添加为DDoS原生防护企业版实例的防护对象。完成上述部署后，所有业务流量先经过WAF进行安全清洗，攻击流量（包括DDoS攻击、Web攻击、CC攻击）被丢弃，只有正常的业务流量被转发到源站服务器。

操作步骤将网站接入Web应用防火墙进行防护。登录Web应用防火墙控制台。在顶部菜单栏，选择地域（中国内地、海外地区）。

Web应用防火墙将根据源站服务器的位置自动匹配最佳的服务地区。

在左侧导航栏，单击资产中心 > 网站接入。单击添加域名。

Web应用防火墙支持CNAME接入和透明接入两种接入方式，其中CNAME接入分为域名一键接入（即自动操作）和手动添加网站，透明接入目前仅支持源站服务器部署在华北2（北京）地域的阿里云ECS实例。

本教程以CNAME接入-手动添加网站为例进行介绍。关于其他的接入方法，请参见、。

可选：在域名一键接入页面，单击手动添加其他网站。如果没有跳出域名一键接入页面，请忽略该步骤。完成添加域名配置向导中的步骤1：填写网站信息，并单击下一步。

您需要填写以下网站信息：

关于网站信息参数的更多说明，请参见。

单击完成，返回网站列表。

已添加的网站将获得一个CName地址，您可以在网站列表中获取网站域名的CName地址。

在本地计算机上执行ping命令，ping 网站域名的CName地址应用防火墙，获取您已购买的WAF实例的IP地址。

在源站服务器上设置放行Web应用防火墙的回源IP段。

具体操作请参见。

修改网站域名的DNS解析，将域名解析指向步骤1获得的WAF Cname地址。

具体操作请参见。

修改域名解析后，网站的所有访问请求都会解析到Web应用防火墙进行安全清洗（过滤Web攻击、CC攻击），只有正常的业务流量被转发到源站服务器。

由于WAF实例本身不具备抵御大流量DDoS攻击的能力，业务遭受大流量DDoS攻击时会导致WAF实例性能受损，影响业务转发，所以需要为WAF实例开启原生防护企业版，提高业务的抗DDoS攻击能力。

将WAF的IP地址添加为您已购买的DDoS原生防护企业版实例的防护对象，为WAF实例开启DDoS原生防护企业版防护。

具体操作请参见。

成功添加防护对象后，WAF实例将享有DDoS原生防护企业版实例的DDoS攻击能力，在业务遭受DDoS攻击时，自动触发流量清洗，防御DDoS攻击。

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!