通过联合部署DDoS高防和WAF提升网站防护能力

如果您的网站遭受的攻击既有流量型攻击,又混杂精巧的Web应用层攻击时(例如SQL注入、跨站脚本攻击、命令注入等)时,推荐您组合使用阿里云DDoS高防和Web 应用防火墙 WAF(Web Application Firewall),通过多层次的安全防护对抗多种潜在威胁。本文九河云介绍如何同时部署DDoS高防和WAF。

网络架构

DDoS高防和WAF同时部署时采用以下网络架构:DDoS高防(入口层,防御DDoS攻击)->WAF(中间层,防御Web应用攻击)->源站服务器(ECS、SLB、VPC、IDC等)。网站业务流量会先经过DDoS高防清洗,然后转发到WAF过滤Web攻击,最后只有正常的业务流量被转发到源站服务器,保障网站的业务安全和数据安全。业务流量的转发过程如下图所示。

注意事项

访问请求将经过多层中间代理才到达源站,源站不能直接获取请求的真实来源IP。

前提条件

  • 已购买DDoS高防实例。

  • 已购买WAF实例

    说明

    本文以WAF 3.0为例介绍,如果您使用的是WAF 2.0也可以参考本文操作。

步骤一:网站业务接入WAF

支持CNAME接入和云产品接入两种方式,接入前请您详细了解各接入方式的推荐场景。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏,单击接入管理

  3. 通过CNAME接入云产品接入,将业务接入WAF。

    1. CNAME接入

      配置项

      说明

      负载均衡算法

      源站有多个服务器地址时,根据业务需要设置,以实现负载均衡。

      服务器地址

      填写网站对应的源站服务器的公网IP地址或源站域名,用于接收WAF转发回源的正常业务请求(回源请求)。

      HTTPS高级设置

      根据业务需要,设置是否开启HTTP回源、是否启用回源SNI。

      其它高级设置

      根据业务需要,设置是否启用流量标记、WAF回源到源站的超时时间、回源重试、回源长连接。

      1. CNAME接入页签,单击接入

      2. 配置监听向导页,完成如下配置后,单击下一步

        配置项

        配置说明

        域名

        填写您的网站域名。

        协议类型

        选择网站使用的协议类型并填写对应端口。每输入一个端口,按回车确认。

        说明

        • 选中HTTPS后,您还需要将网站域名关联的证书上传到WAF。

        • 选中HTTPS并配置证书后,您也可以根据业务需要,设置是否开启HTTP2、是否开启HTTPS的强制跳转、选择TLS协议版本、选择HTTPS加密套件。

        WAF前是否有七层代理(高防/CDN等)

        选择,并设置客户端IP判定方式

        • (默认)取X-Forwarded-For中的第一个IP作为客户端源IP

          WAF默认读取请求Header字段X-Forwarded-For(XFF)中的第一个IP地址作为客户端IP。

        • 【推荐】取指定Header字段中的第一个IP作为客户端源IP,避免XFF伪造

          如果您的网站业务已通过其他代理服务的设置,规定将客户端源IP放置在某个自定义的Header字段(例如,X-Client-IP、X-Real-IP),则您需要选择该选项,并在指定Header字段框中输入对应的Header字段。

          说明

          推荐您在业务中使用自定义Header存放客户端IP,并在WAF中配置对应Header字段。该方式可以避免攻击者伪造XFF字段,躲避WAF的检测规则,提高业务的安全性。

        更多配置

        根据您的业务,设置是否开启IPv6、是否开启独享IP,选择要使用的防护资源类型。

        资源组

        从资源组下拉列表中选择该域名所属资源组。如果不选择,则默认加入默认资源组

      3. 配置转发向导页,完成如下配置后,单击提交

      4. 接入完成向导页,获取WAF提供的CNAME地址。

    2. 云产品接入

      如果Web业务已启用阿里云应用型负载均衡(Application Load Balancer,简称ALB)、微服务引擎(Microservices Engine,简称MSE)、函数计算(Function Compute,简称FC),建议您选择SDK插件接入。如果Web业务已启用阿里云传统型负载均衡(Classic Load Balancer,简称CLB)上、云服务器(Elastic Compute Service,简称ECS),建议您通过反向代理集群接入

步骤二:网站业务接入DDoS高防

  1. 登录DDoS高防控制台。

  2. 在顶部菜单栏左上角处,选择地域。

    • DDoS高防(中国内地):选择中国内地地域。

    • DDoS高防(非中国内地):选择非中国内地地域。

  3. 在左侧导航栏,选择接入管理 > 域名接入

  4. 域名接入页面,单击添加网站,按照页面提示完成配置。

    配置项

    说明

    功能套餐

    选择要关联的DDoS高防实例的功能套餐。

    实例

    选择要关联的DDoS高防实例。

    一个网站域名最多可以关联8个DDoS高防实例,且只能关联同一种功能套餐下的多个实例。

    网站

    填写您的网站域名。

    协议类型

    选择网站支持的协议类型。

    说明

    • 选择HTTPS协议时,完成网站配置后,请上传网站域名使用的证书。

    • 选中HTTPS协议后,可以根据需要开启HTTPS的强制跳转、是否开启HTTP回源、是否启用HTTP2。

    启用OCSP

    选择是否启用OCSP(Online Certificate Status Protocol)功能。

    重要

    该功能适用于网站HTTPS业务。如果您已选择的协议类型包含HTTPS,推荐启用该功能。

    服务器地址

    • 域名在WAF上的接入模式为CNAME接入时,选择源站域名并填写步骤一中获取的WAF的CNAME地址。

    • 域名在WAF上的接入模式为云产品接入时,选择源站IP并填写源站服务器的公网IP。

    服务器端口

    根据协议类型,设置源站提供对应服务的端口。

    • HTTP协议、Websocket协议的端口默认为80。

    • HTTPS协议、HTTP2协议、Websockets协议的端口默认为443。

    您可以单击自定义,自定义服务器端口,多个端口间使用半角逗号(,)分隔。

    Cname Reuse

    仅DDoS高防(非中国内地)支持配置该参数。选择是否开启CNAME复用。

  5. 复制DDoS高防提供的CNAME地址。

步骤三:修改域名的DNS解析

请将域名解析指向DDoS高防提供的CNAME地址。以域名DNS托管在阿里云云解析DNS为例介绍,使用其他DNS服务商的域名解析服务时请参考配置。

  1. 登录阿里云云解析DNS控制台。

  2. 域名解析页面,定位到目标域名,单击操作列的解析设置

  3. 解析设置页面,定位到目标解析记录,单击操作列的修改

    说明

    如果要操作的解析记录不在记录列表中,您可以单击添加记录

  4. 修改记录(或添加记录)页面,选择记录类型CNAME,并将记录值修改为域名对应的DDoS高防CNAME地址。

  5. 单击确认,等待修改后的解析设置生效。

  6. 使用浏览器测试网站访问是否正常。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/430462.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

demo破坏升级

如果我们刚才所解释的dom破坏形式不再是单纯的x一层结构,而是x,y这种形式,两层结构,我们该怎么办 举个例子吧 我们的想法是先取x再取y,想法很简单,现实很苦感,看看结果吧 取出来的是undefined…

stm32flash模拟eeprom

stm32f103CB的flash是128k(起始地址是 0x08000000 到 0x0801FFFF) falsh的末地址是0x801FFFF,即倒数一页是0x801FBFF(1页按照1kB1024B来算) stm32f103参考手册stm32f103cb.pdf stm32的FLASH分为主存储块和信息块&…

【C++庖丁解牛】初始化列表 | Static对象 | 友元函数

📙 作者简介 :RO-BERRY 📗 学习方向:致力于C、C、数据结构、TCP/IP、数据库等等一系列知识 📒 日后方向 : 偏向于CPP开发以及大数据方向,欢迎各位关注,谢谢各位的支持 目录 1. 再谈构造函数1.1 …

总结zy_不定长数据帧的收发

1、接收部分 身份证模块串口接收解析: #define CRC_16_CCITT 0x1021 unsigned short CRC16_CCITT(unsigned char* pchMsg, unsigned short wDataLen) // 1. MSB { unsigned char i, chChar; unsigned short wCRC 0; while (wDataLen–) { chChar *pchMsg; wCRC ^…

电脑安装原版Windows7详细教程

前言 截止2024年3月3日,仍然有不少小伙伴想给电脑安装Windows7。所以今天给小伙伴们出一篇电脑安装原版Windows7的详细教程。 首先要知道部分CPU(第六代或以上英特尔、AMD Ryzen系列)平台并不支持Windows7,原因是有部分硬件设备…

前端监控为什么采用GIF图片做埋点?

一、什么是埋点监控 前端监控是开发人员用来跟踪和维护应用程序表现层的运行状况的过程和工具。它主要包括三种类型:数据监控、性能监控和异常监控。 1、数据监控 主要是为了收集跟用户相关的数据,例如用户设备类型、浏览器版本、页面浏览量(…

【MGR】MySQL Group Replication 背景

目录 17.1 Group Replication Background 17.1.1 Replication Technologies 17.1.1.1 Primary-Secondary Replication 17.1.1.2 Group Replication 17.1.2 Group Replication Use Cases 17.1.2.1 Examples of Use Case Scenarios 17.1.3 Group Replication Details 17.1…

每日一题——LeetCode1582.二进制矩阵中的特殊位置

方法一 模拟 先把矩阵每一行和每一列中1的数量统计出来,然后遍历矩阵,元素为1的位置看他所在的行和列的1的数量是否都为1即为满足题意的点 var numSpecial function(mat) {let m mat.length, n mat[0].lengthlet rows new Array(m).fill(0)let col…

SOAPHound:一款功能强大的基于ADWS协议的活动目录环境枚举工具

关于SOAPHound SOAPHound是一款功能强大的基于ADWS协议的活动目录环境枚举工具,该工具本质上是一个.NET数据收集工具,可以帮助广大研究人员通过活动目录Web服务(ADWS)协议来收集目标活动目录的相关数据,从而实现活动目…

鸿蒙Harmony应用开发—ArkTS声明式开发(通用属性:组件内容模糊)

为当前组件添加内容模糊效果。 说明: 从API Version 10开始支持。后续版本如有新增内容,则采用上角标单独标记该内容的起始版本。 foregroundBlurStyle foregroundBlurStyle(value: BlurStyle, options?: ForegroundBlurStyleOptions) 为当前组件提供…

【前端】i18n Ally插件使用

效果展示: 当鼠标放上去 vscode扩展搜i18n Ally 由于每个项目的语言可能做的都不一样,会导致无法找到真正的路径位置,所以我推荐 在项目的根目录找到.vscode再找到settings.json编辑它 比如我的翻译文件en.ts和zh-CN.ts,都在s…

Android使用陀螺仪

Android使用陀螺仪 陀螺仪基础运用与理解 在Android应用中使用陀螺仪可以帮助实现各种功能,比如游戏控制、虚拟现实体验、运动追踪等。以下是使用Android陀螺仪的基本步骤: 获取传感器服务: 首先,需要获取设备上的陀螺仪传感器服…

Java8 使用 stream().sorted()对List集合进行排序

集合对像定义 集合对象以学生类(StudentInfo)为例,有学生的基本信息,包括:姓名,性别,年龄,身高,生日几项。 使用stream().sorted()进行排序,需要该类实现 C…

Qt 实现橡皮擦拭显示图片

1.简介 在一些游戏中看见类似解密破案的效果,使用手触摸去擦拭图片上的灰尘,然后显示最终的图片,所以也想试试Qt实现的效果。大家有自己想做的效果,都可以尝试。 以下是效果展示图。 可以控制橡皮擦的大小,进行擦拭…

Python开发工具:pycharm使用注意事项以及设置

上一篇文章写了pycharm的安装以及运行,但是在安装过程中遇到了一些问题,接下来详细解析安装过程中遇到的问题,注意事项以及设置配置依赖等信息 安装遇到的问题: 协议许可证关闭不了:PyCharm安装完成后,打…

低代码平台开发——基于React(文末送书)

目录 小程一言适用对象本书达成 书籍介绍作者简介内容介绍书籍目录阅读指导 小程送书 小程一言 《低代码平台开发——基于React》这本书主要围绕低代码平台和React技术的结合展开,为读者提供了关于低代码平台开发的理论和实践知识。 ## 书中内容简介 书中内容分为…

AI大预言模型——ChatGPT与AI绘图及论文高效写作

原文链接:AI大预言模型——ChatGPT与AI绘图及论文高效写作 2023年随着OpenAI开发者大会的召开,最重磅更新当属GPTs,多模态API,未来自定义专属的GPT。微软创始人比尔盖茨称ChatGPT的出现有着重大历史意义,不亚于互联网…

文件上传之图片马

图片马介绍 图片马&#xff1a;就是在正常图片中插入木马。 图片马的制作 1.我们先创建php木马文件1.php&#xff0c;内容有以下两种方式&#xff1a; <?php eval($_POST[a]); ?> /* 常规一句话木马 */ <?php $aPD9waHAgQGV2YWwoJF9QT1NUWydhJ10pOz8; $myfile…

Python图像处理【21】基于卷积神经网络增强微光图像

基于卷积神经网络增强微光图像 0. 前言1. MBLLEN 网络架构2. 增强微光图像小结系列链接 0. 前言 在本节中&#xff0c;我们将学习如何基于预训练的深度学习模型执行微光/夜间图像增强。由于难以同时处理包括亮度、对比度、伪影和噪声在内的所有因素&#xff0c;因此微光图像增…

Qt::TabWidget

在Tab的右上角添加控件 QPushButton *add new QPushButton; add->setText(""); add->resize(30,30); ui->tabWidget->setCornerWidget(add,Qt::TopRightCorner); 结果&#xff1a; Tab添加子页 QWidget*newp new QWidget; ui->tabWidget->add…