本文介绍了为网站类业务同时部署DDoS原生防护和Web应用防火墙的配置方法。该方案适用于为网站业务同时防御四层DDoS攻击和七层Web攻击、CC攻击的场景。

前提条件

  • 已创建ECS实例并部署了业务相关的应用,ECS实例拥有公网IP地址且网站有域名。
    说明 如果网站用于在中国内地提供服务,则网站域名必须已经完成ICP备案,否则将不能接入中国内地的Web应用防火墙实例进行防护。
  • 已开通DDoS原生防护企业版。更多信息,请参见开通DDoS原生防护企业版
    说明 您在购买原生防护企业版实例时,需要选择资源所在地域。该地域必须与ECS实例一致。
  • 已开通Web应用防火墙。更多信息,请参见开通Web应用防火墙

背景信息

为网站类业务开启DDoS原生防护企业版时,如果业务本身除了需要防御DDoS攻击,还需要防御Web攻击、CC攻击,建议您为网站同时开启Web应用防火墙,由Web应用防火墙帮助业务防御常见的Web攻击、CC攻击。关于Web应用防火墙(WAF)的详细介绍,请参见什么是Web应用防火墙

同时使用DDoS原生防护和Web应用防火墙时,您需要先将网站业务接入Web应用防火墙进行防护,然后将WAF实例的IP地址添加为DDoS原生防护企业版实例的防护对象。完成上述部署后,所有业务流量先经过WAF进行安全清洗,攻击流量(包括DDoS攻击、Web攻击、CC攻击)被丢弃,只有正常的业务流量被转发到源站服务器。

操作步骤

  1. 将网站接入Web应用防火墙进行防护。
    1. 登录Web应用防火墙控制台
    2. 在顶部菜单栏,选择地域(中国内地海外地区)。
      Web应用防火墙将根据源站服务器的位置自动匹配最佳的服务地区。
    3. 在左侧导航栏,单击资产中心 > 网站接入
    4. 单击添加域名
      Web应用防火墙支持CNAME接入透明接入两种接入方式,其中CNAME接入分为域名一键接入(即自动操作)和手动添加网站,透明接入目前仅支持源站服务器部署在华北2(北京)地域的阿里云ECS实例。

      本教程以CNAME接入-手动添加网站为例进行介绍。

    5. 可选:域名一键接入页面,单击手动添加其他网站。如果没有跳出域名一键接入页面,请忽略该步骤。
    6. 完成添加域名配置向导中的步骤1:填写网站信息,并单击下一步
      您需要填写以下网站信息:
      • 域名:网站的域名。
      • 协议类型:网站使用的协议类型。如果支持HTTPS,必须在添加域名后上传网站域名的HTTPS证书。更多信息,请参见上传HTTPS证书
      • 服务器地址:选择IP类型并填写ECS实例的公网IP地址。
      • 服务器端口:选择协议类型后,自动匹配默认的服务端口。WAF也支持自定义非标准服务端口。更多信息,请参见支持的自定义端口范围
      • WAF前是否有七层代理(高防/CDN等):选择

        您如果已在WAF前配置了其他的七层代理服务(例如DDoS高防、CDN等),那么客户端访问流量到WAF前会先经过其他七层代理转发。由于您使用的是DDoS原生防护,原生防护不属于七层代理服务,此处您选择否即可。

      关于网站信息参数的更多说明,请参见网站信息参数说明

    7. 单击完成,返回网站列表
      已添加的网站将获得一个CName地址,您可以在网站列表中获取网站域名的CName地址。CName地址
    8. 在本地计算机上执行ping命令,ping 网站域名的CName地址,获取您已购买的WAF实例的IP地址。ping
  2. 在源站服务器上设置放行Web应用防火墙的回源IP段。
    具体操作请参见放行WAF回源IP段
  3. 修改网站域名的DNS解析,将域名解析指向步骤1获得的WAF Cname地址。
    具体操作请参见修改域名DNS
    修改域名解析后,网站的所有访问请求都会解析到Web应用防火墙进行安全清洗(过滤Web攻击、CC攻击),只有正常的业务流量被转发到源站服务器。

    由于WAF实例本身不具备抵御大流量DDoS攻击的能力,业务遭受大流量DDoS攻击时会导致WAF实例性能受损,影响业务转发,所以需要为WAF实例开启原生防护企业版,提高业务的抗DDoS攻击能力。

  4. 将WAF的IP地址添加为您已购买的DDoS原生防护企业版实例的防护对象,为WAF实例开启DDoS原生防护企业版防护。
    具体操作请参见添加防护对象
    成功添加防护对象后,WAF实例将享有DDoS原生防护企业版实例的DDoS攻击全力防护能力,在业务遭受DDoS攻击时,自动触发流量清洗,防御DDoS攻击。