IPv6防護為網站防禦IPv6環境下發起的攻擊,協助來源站點實現IPv6協議請求的安全防護。本文介紹如何開啟IPv6防護。
背景資訊
開啟IPv6安全防護功能後,WAF自動產生的CNAME地址將實現雙路解析。解析規則如下:
IPv4用戶端發起的解析請求將解析到一個IPv4地址的防護叢集。
IPv6用戶端發起的解析請求將解析到一個IPv6地址的防護叢集。
雙路解析實現了對IPv4和IPv6流量的威脅檢測與防禦,並將安全的訪問流量轉寄至來源站點伺服器。
您可以在WAF網站配置中開啟IPv6回源,即同時設定IPv4和IPv6回原始伺服器地址,並啟用IPv4/IPv6回源協議跟隨,使來自IPv6用戶端的請求轉寄到IPv6來源站點,來自IPv4用戶端的請求轉寄到IPv4來源站點。更多資訊,請參見添加網域名稱。
前提條件
已開通訂用帳戶企業版、旗艦版或獨享版執行個體。
WAF執行個體的地區是中國內地。
說明非中國內地的WAF執行個體暫不支援IPv6防護。
已使用CNAME接入模式完成網站接入。更多資訊,請參見添加網域名稱。
說明透明接入模式的網站暫不支援IPv6防護。
操作步驟
登入Web Application Firewall控制台,並在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地)。
如果控制台已預設為中國內地地區,則無需切換地區。
在左側導覽列,選擇。
在網域名稱列表中,定位到要操作的網域名稱,在快捷操作列為網域名稱開啟IPv6開關。
在提示對話方塊,單擊確定。
成功開啟IPv6防護後,快捷操作列的IPv6開關的狀態將變更為已開啟。
後續步驟
開啟IPv6防護後,WAF在將IPv6用戶端請求轉寄到您的來源站點伺服器時,將使用新增的回源IP網段。
為了保證您的來源站點伺服器能夠正常接收WAF轉寄的回源請求,尤其是當您已經開啟了來源站點保護,即在來源站點上只允許允許存取WAF回源IP網段的請求時,您必須在來源站點伺服器上設定允許存取新增的WAF回源IP網段。否則,IPv6用戶端將出現訪問異常或無法訪問。具體操作,請參見允許存取WAF回源IP段、設定來源站點保護。