Ketika sebuah website menghadapi serangan DDoS berbasis volume sekaligus serangan aplikasi web canggih, satu layanan keamanan saja tidak cukup. Anti-DDoS Pro atau Anti-DDoS Premium melindungi dari serangan DDoS berbasis volume, sedangkan Web Application Firewall (WAF) menyaring serangan aplikasi web. Dengan menerapkan keduanya secara bersamaan, trafik akan terlebih dahulu melewati proses pembersihan, lalu penyaringan aplikasi web, sebelum mencapai server origin Anda.
Topik ini menjelaskan cara mengintegrasikan Anti-DDoS Pro atau Anti-DDoS Premium dengan WAF untuk melindungi layanan website.
Prasyarat
Sebelum memulai, pastikan Anda telah memiliki:
Instans Anti-DDoS Pro atau Anti-DDoS Premium. Untuk informasi selengkapnya, lihat Beli instans Anti-DDoS Pro atau Anti-DDoS Premium.
Instans WAF (WAF 3.0). Untuk informasi selengkapnya, lihat Beli instans WAF 3.0 berlangganan atau Beli instans WAF 3.0 pay-as-you-go.
Cara kerja
Trafik melewati tiga lapisan sebelum mencapai server origin Anda:
| Lapisan | Layanan | Peran |
|---|---|---|
| Ingress | Anti-DDoS Pro atau Anti-DDoS Premium | Membersihkan serangan DDoS berbasis volume |
| Intermediate | WAF | Menyaring serangan aplikasi web |
| Backend | ECS, SLB, VPC, atau server on-premises | Server origin — hanya menerima trafik yang bersih |
Dengan arsitektur ini, permintaan melewati beberapa server proxy sebelum mencapai server origin. Server origin tidak dapat langsung memperoleh alamat IP asal. Untuk detailnya, lihat Dapatkan alamat IP asal permintaan.
Untuk menyelesaikan konfigurasi, lakukan langkah-langkah berikut secara berurutan:
Tambahkan layanan website Anda ke WAF dan dapatkan CNAME yang diberikan oleh WAF.
Tambahkan layanan website Anda ke Anti-DDoS Pro atau Anti-DDoS Premium, menggunakan CNAME WAF sebagai alamat server origin.
Perbarui rekaman DNS nama domain Anda agar mengarah ke CNAME yang diberikan oleh Anti-DDoS Pro atau Anti-DDoS Premium.
Langkah 1: Tambahkan layanan website Anda ke WAF
Login ke Konsol WAF 3.0. Di bilah navigasi atas, pilih kelompok sumber daya dan wilayah tempat instans WAF Anda dideploy (Tiongkok daratan atau Di luar Tiongkok daratan).
Di panel navigasi kiri, pilih Asset Center > Website Access.
Di tab Domain Names, klik Website Access.
Tambahkan nama domain menggunakan salah satu mode akses berikut.
Opsi A: Mode rekaman CNAME (default)
Halaman Add Domain Name secara default menggunakan mode CNAME Record. Biarkan pengaturan Access Mode tetap seperti itu.
Pada langkah Enter Your Website Information, konfigurasikan parameter berikut:
Parameter Deskripsi Domain Name Nama domain website yang akan dilindungi. Protection Resource Jenis sumber daya perlindungan yang akan digunakan. Protocol Type Protokol yang didukung oleh website Anda. Destination Server (IP Address) Pilih IP dan masukkan alamat IP publik instance SLB atau instance ECS yang menjadi host server origin Anda, atau alamat IP server origin yang tidak dideploy di Alibaba Cloud. Destination Server Port Port yang digunakan oleh server origin, berdasarkan Protocol Type. Load Balancing Algorithm Algoritma untuk mendistribusikan trafik ketika beberapa alamat IP ditentukan untuk server origin. Does a layer 7 proxy (DDoS Protection/CDN, etc.) exist in front of WAF Pilih Yes. Enable Traffic Mark Tentukan apakah akan mengaktifkan fitur WAF Traffic Mark. Resource Group Kelompok sumber daya tempat nama domain tersebut berada. Klik Next.
Di tab Domain Names, temukan nama domain yang telah Anda tambahkan dan salin CNAME yang diberikan oleh WAF dari kolom Domain Name/CNAME. Anda akan memerlukan CNAME ini pada Langkah 2.
Opsi B: Mode proxy transparan
Di halaman Add Domain Name, atur Access Mode ke Transparent Proxy Mode.
Konfigurasikan parameter berikut:
Parameter Deskripsi Domain Name Nama domain website yang akan dilindungi. SLB-based Domains, Layer 7 SLB-based Domains, Layer 4 SLB-based Domains, atau ECS-based Domains Temukan instans yang akan dilindungi di tab yang sesuai dan pilih port-port tersebut. Does a layer 7 proxy (DDoS Protection/CDN, etc.) exist in front of WAF Pilih Yes. Enable Traffic Mark Tentukan apakah akan mengaktifkan fitur WAF Traffic Mark. Resource Group Kelompok sumber daya tempat nama domain tersebut berada. Klik Next.
Tinjau informasi pada langkah Check and Confirm Added Information, lalu klik Next.
Klik Completed. Return to the website list.
Dalam mode proxy transparan, WAF tidak memberikan CNAME. Pada Langkah 2, gunakan alamat IP publik server origin Anda sebagai gantinya.
Langkah 2: Tambahkan layanan website Anda ke Anti-DDoS Pro atau Anti-DDoS Premium
Login ke Konsol Anti-DDoS Pro.
Di bilah navigasi atas, pilih wilayah yang sesuai dengan tipe instans Anda:
Anti-DDoS Pro: pilih Chinese Mainland
Anti-DDoS Premium: pilih Outside Chinese Mainland
Di panel navigasi kiri, pilih Provisioning > Website Config.
Di halaman Website Config, klik Add Domain.
Pada langkah Enter Your Website Information, konfigurasikan parameter berikut:
Parameter Deskripsi Function Plan Paket fungsi instans yang akan digunakan. Instance Instans Anti-DDoS Pro atau Anti-DDoS Premium yang akan digunakan. Domain Nama domain website yang akan dilindungi. Protocol Protokol yang didukung oleh website Anda. Enable OCSP Apakah akan mengaktifkan fitur Online Certificate Status Protocol (OCSP). Server IP Jika Anda menambahkan nama domain dalam mode rekaman CNAME, pilih Origin Server Domain dan masukkan CNAME WAF dari Langkah 1. Jika Anda menambahkannya dalam mode proxy transparan, pilih Origin Server IP dan masukkan alamat IP publik server origin Anda. Server Port Port yang digunakan oleh server origin, berdasarkan Protocol. Cname Reuse Jika beberapa layanan website berbagi server origin yang sama, aktifkan penggunaan kembali CNAME untuk memetakan semua nama domain mereka ke satu CNAME yang diberikan oleh Anti-DDoS Pro atau Anti-DDoS Premium. Klik Add.
Di halaman Website Config, temukan nama domain yang telah Anda tambahkan dan salin CNAME yang diberikan oleh Anti-DDoS Pro atau Anti-DDoS Premium dari kolom Domain. Anda akan memerlukan CNAME ini pada Langkah 3.
Langkah 3: Perbarui rekaman DNS
Arahkan nama domain Anda ke CNAME Anti-DDoS dari Langkah 2. Langkah-langkah berikut berlaku untuk DNS Alibaba Cloud. Jika Anda menggunakan penyedia DNS pihak ketiga, login ke konsol penyedia tersebut dan lakukan perubahan yang setara.
Login ke Konsol DNS Alibaba Cloud.
Di halaman Manage DNS, temukan nama domain Anda dan klik Configure di kolom Actions.
Di halaman DNS Settings, temukan rekaman DNS yang akan diperbarui dan klik Edit di kolom Actions.
Jika rekaman tersebut belum ada, klik Add Record untuk membuatnya.
Di panel Edit Record (atau Add Record), atur Type ke CNAME- Canonical name dan atur Value ke CNAME dari Langkah 2.
Klik OK dan tunggu hingga perubahan berlaku.
Buka browser dan verifikasi bahwa website Anda dapat diakses.
Jika Anda mengalami respons lambat, latensi tinggi, atau kegagalan akses, lihat Bagaimana cara menangani masalah respons lambat, latensi tinggi, dan kegagalan akses pada layanan saya yang dilindungi oleh instans Anti-DDoS Pro atau Anti-DDoS Premium?.
Langkah selanjutnya
Setelah trafik melewati Anti-DDoS Pro atau Anti-DDoS Premium dan WAF, pertimbangkan hal berikut:
Dapatkan alamat IP client yang sebenarnya. Jika server origin Anda memerlukan alamat IP client yang sebenarnya, lihat Dapatkan alamat IP asal permintaan.
Referensi
Tambahkan nama domain ke WAF — Tambahkan nama domain dalam mode rekaman CNAME.
Mode proxy transparan — Tambahkan nama domain dalam mode proxy transparan.
Tambahkan satu atau beberapa website — Tambahkan nama domain ke Anti-DDoS Pro atau Anti-DDoS Premium, termasuk impor massal.
Ubah rekaman DNS untuk melindungi layanan website — Perbarui rekaman DNS secara manual untuk layanan website yang dilindungi Anti-DDoS.
Gunakan Anti-DDoS Pro/Anti-DDoS Premium dengan CDN atau DCDN