GA聯動WAF實現Web服務安全加速 - Global Accelerator

如果您的Web服務需要提升使用者訪問速度，同時對安全性和高可用性有非常高的要求，您可以組合使用Global Accelerator (GA)、Web Application Firewall (WAF)。GA依託阿里雲優質BGP頻寬和全球傳輸網路，通過聯動Web Application Firewall，可以有效防禦Web攻擊，同時通過GA的健全狀態檢查功能可避免異常節點對服務的影響，為Web服務提供一套高安全、高可用的加速方案。

情境樣本

某Web服務部署在德國（法蘭克福）地區的阿里雲ECS上，通過自有網域名稱對外提供服務，轉送連接埠為HTTP 80連接埠。用戶端主要集中在中國香港地區。該Web服務面臨以下問題：

Web服務經常受到各類Web攻擊，嚴重影響Web應用服務的安全性和可用性。
跨國公網不穩定，經常出現延遲、抖動、丟包等網路問題。
後端伺服器不穩定，業務存在中斷的風險。

如上圖部署架構，您可以聯動部署GA和WAF。部署完成後，可以有效解決跨域Web服務面臨的問題。

Web Application Firewall WAF：將自有網域名稱添加到WAF後，Web服務所有的業務流量將被引流到WAF進行檢測。WAF過濾Web攻擊後，僅轉寄正常的業務流量，從而保障Web服務的業務安全和資料安全。
Global Acceleration GA：中國香港使用者的訪問請求經WAF檢測過濾後，通過配置的中國香港加速地區，就近進入阿里雲加速網路，然後通過智能選擇路由和自動網路調度，將網路訪問請求送達至德國（法蘭克福）的Web服務，有效提升服務訪問速度；同時，通過開啟健全狀態檢查可以提高業務的可靠性和可用性、避免異常節點對服務的影響。

前提條件

您的德國（法蘭克福）伺服器ECS01和ECS02已部署了Web服務。本文以Alibaba Cloud Linux 3作業系統為例，並使用Nginx配置HTTP 80服務。
參考樣本：ECS01部署測試服務
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World ! This is ECS01." > index.html
```
您已為自有網域名稱配置DNS解析記錄，即已配置了A記錄將網域名稱指向2個後端伺服器的公網IP。
如果您使用的DNS解析服務為非阿里雲Alibaba Cloud DNS，請參見您的DNS服務商操作指導。
如果需要通過HTTPS 443對外提供服務，需要提前建立並申請認證或者上傳第三方認證到SSL認證服務並綁定自有網域名稱。
您已開通WAF執行個體。
本文情境中，開通非中國內地地區、隨用隨付3.0的WAF執行個體。
重要
如果您配置的GA加速地區（用戶端地區）涉及中國內地地區，您還需要開通中國內地地區的WAF執行個體，並確保自有網域名稱已完成ICP備案，且接入WAF防護期間備案資訊是有效。

操作步驟

步驟一：配置Global Acceleration

本文以隨用隨付的標準型GA執行個體為例。

在Global Acceleration控制台的標準型執行個體 > 執行個體列表列表頁面，單擊建立標準型隨用隨付執行個體。
在執行個體基礎配置嚮導頁面，配置基礎資訊，單擊下一步。
在配置加速地區嚮導頁面，添加加速地區並為其分配頻寬，然後單擊下一步。
本文情境中，加速地區添加為中國香港，公網品質類型配置為BGP（多線），加速地區其他參數配置可保持預設值或根據實際情況修改。
重要
- 加速地區包含中國內地地區時，自有網域名稱必須完成ICP備案才可對外提供服務。
- 如果頻寬峰值設定過低，可能出現限速從而導致流量被丟棄，請合理規劃頻寬峰值，確保和業務需求匹配。
在配置監聽嚮導頁面，配置轉寄協議與連接埠，然後單擊下一步。
本文情境中，路由類型選擇智能路由（原標準監聽），協議配置為HTTP，連接埠配置為80，監聽其他參數配置可保持預設值或根據實際情況修改。
說明
如果需要通過HTTPS 443對外提供服務，您可以配置HTTPS 443協議連接埠監聽，關聯已建立的認證，並在終端節點群組的連接埠映射中配置監聽連接埠443到後端服務連接埠80的映射關係，以實現HTTPS安全加速訪問HTTP網站。
在配置終端節點群組設定精靈頁面，配置終端節點後端服務，然後單擊下一步。
本文情境中，地區選擇德國（法蘭克福），後端服務依次配置ECS01和ECS02，開啟健全狀態檢查開關，然後閱讀並選中資料跨境合規承諾，終端節點群組其他參數配置可保持預設值或根據實際情況修改。
在組態稽核嚮導頁面，確認GA的配置資訊，然後單擊提交。
在執行個體列表頁面，找到已建立的GA執行個體，在CNAME列擷取GA執行個體分配的CNAME。
在後端伺服器中放通GA用於連通後端服務的網段。
本文情境中，GA與後端伺服器ECS間私網串連，您需要在ECS安全性群組中放通其所屬交換器網段，且需確保該交換器網段的空閑私網IP數量≥8。

步驟二：配置Web Application Firewall

在Web Application Firewall3.0控制台的接入管理頁面，選擇CNAME接入頁簽，單擊接入。
在接入網域名稱面板的配置監聽設定精靈中，完成網域名稱、協議連接埠等配置，單擊下一步。
本文情境中，網域名稱配置為www.<YOURDOMAIN>.cloud，協議類型選中HTTP，接入網域名稱其他參數配置可保持預設值或根據實際情況修改。
在配置轉寄設定精靈中，配置要轉寄的伺服器位址，然後單擊提交。
本文情境中，伺服器位址配置為GA的CNAME，其他參數可保持預設值或根據實際情況修改。
在接入完成設定精靈中，擷取WAF的CNAME地址，然後單擊完成。

步驟三：配置CNAME解析

您需要更新DNS解析記錄，將自有網域名稱通過CNAME記錄指向WAF的CNAME。

本文情境中，如果您已有指向後端伺服器的A記錄，您可以先指定中國香港地區來添加指向WAF的CNAME記錄，以進行測試。待測試成功後，再逐步擴充至其他地區或僅保留指向WAF的CNAME記錄。

在網域名稱解析頁面，找到目標自有網域名稱，在操作列單擊解析設定。
說明
對於非阿里雲註冊網域名稱，需先添加網域名稱到雲解析控制台，才可以進行網域名稱解析設定。
在解析設定頁面，單擊添加記錄，配置CNAME記錄，然後單擊確認。
本文情境中，記錄類型配置為CNAME，主機記錄配置為www，解析請求來源配置為中國香港，記錄值配置為WAF的CNAME地址，解析記錄其他參數配置可保持預設值或根據實際情況修改。

步驟四：結果驗證

在加速地區（本方案為中國香港）的電腦中開啟瀏覽器，根據以下操作，測試GA聯動WAF後的防護和加速效果。

WAF生效驗證

類比簡單的Web攻擊命令，查看WAF的防護效果。

例如，您可以在瀏覽器的地址欄輸入<被防護網域名稱>/alert(xss)（這是一個用作測試的Web攻擊請求），查看針對Web應用攻擊的防禦效果。預期WAF會返回一個攔截頁面。

WAF驗證

在Web Application Firewall3.0的安全報表頁面，可查看防護記錄。

WAF-安全報表

GA健全狀態檢查效果驗證

在瀏覽器中輸入網站自有網域名稱，訪問德國（法蘭克福）地區部署的網站。
經測試，可以通過網站自有網域名稱訪問德國（法蘭克福）地區部署的網站，多次重新整理瀏覽器，應答伺服器在ECS01和ECS02間切換。
類比故障：停止伺服器ECS01。
一段時間後，在GA執行個體的終端節點群組頁簽，查看健全狀態檢查狀態。
多次重新整理瀏覽器，仍然可以正常訪問業務，但應答伺服器僅剩ECS02。

GA加速效果驗證

本文以中國香港探測點為例，在配置GA前後，分別對Web服務網域名稱使用網路撥測工具進行撥測，查看回應時間以瞭解資料延遲情況。

測試組態GA前的網路延遲情況。
執行該步驟前，請確保：
- WAF的伺服器位址為2個後端伺服器的公網IP，用戶端請求接入WAF後直接轉寄至後端服務中。
- 您需要設定後端伺服器的安全軟體或存取控制策略，放通WAF回源IP段入方向流量。
測試組態GA後的網路延遲情況。
執行該步驟前，請確保WAF的伺服器位址為GA的CNAME。

經驗證，使用GA後，降低了中國香港用戶端訪問德國（法蘭克福）Web服務的延遲。

說明

GA聯動WAF的防護和加速效果以您的實際業務測試為準。

Global Accelerator：GA聯動WAF實現Web服務安全加速