同时部署DDoS高防和WAF的配置指导_Web应用防火墙 WAF_最佳实践_W

DDoS高防原理

DDoS高防服务通过高防IP代理源IP对外提供服务，将所有的公网流量都引流至高防IP，进而隐藏源站，避免源站（用户业务）遭受大流量DDoS攻击。DDoS高防引流和转发原理示意图如图1 DDoS原理图所示。

图1 DDoS原理图

• 客户

  访问源站（用户业务）的PC或手机端用户。

• 源站IP

  源站服务器所使用的公网IP，也是被防护的IP地址，应避免对外暴露（泄露）。

• 高防IP

  与源站IP相对应，用于代替源站IP来面向客户提供服务，使源站IP不直接暴露出去

• 回源IP

  是高防机房代替客户去和源站服务器通信的若干个IP地址（高防机房会将客户的IP随机转换成某个回源IP，并由这个回源IP代替客户IP去和源站服务器通信）。

WAF防护原理

购买Web应用防火墙后，在Web应用防火墙的控制界面添加域名（配置源站服务器信息）并完成域名解析，即可启用Web应用防火墙。启用之后，您网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。

DDoS高防+WAF的配置原理

先将域名解析到DDoS高防，再将DDoS高防回源地址修改为WAF的“CNAME”，这样流量才会被DDoS高防转发到WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。配置完成后，流量会先经过DDoS高防，再转发至WAF，实现联动防御。

同时，为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加一条WAF的子域名和TXT记录。

原理图

图2 使用代理配置原理图

前提条件

• 已有网站域名。
• 已购买WAF。
• 已将网站信息（源站服务器的IP、端口等信息）添加到WAF。
• 已购买DDoS高防实例并已完成DDoS高防网站类业务接入。
• 在域名的DNS服务商处有添加域名的权限。
• （可选）放行WAF回源段IP。源站服务器上已启用非华为云安全软件（如安全狗、云锁）时，您需要在这些软件上设置放行WAF回源段IP，防止由WAF转发到源站的正常业务流量被拦截。具体请参考通过配置源站服务器访问控制策略保护源站安全。

配置策略

以下操作以华为云DDoS高防为例介绍配置域名解析的方法。如果您使用的是华为云DDoS高防，您可以直接参照以下步骤进行操作；若您使用华为云以外的DDoS高防，请参考以下步骤在其他DDoS高防上进行类似配置。

1. 获取“CNAME”、“子域名”和“TXT记录”值。
   1. 登录管理控制台。
   2. 进入网站配置页面入口，如图3所示。
      图3 网站设置入口
      
   3. 在目标域名所在行的“网站设置”列中，单击目标域名，进入域名基本信息页面。
   4. 在域名基本信息页面，单击CNAME所在行的，复制“CNAME”。在“接入状态”所在行，单击“如何接入？”，在弹出的对话框中，复制“子域名”和“TXT记录”。
      图4 查看域名接入信息
      

2. DDoS高防回源IP地址修改。
   1. 单击页面上方的“服务列表”，选择“安全 > DDoS高防服务”，在左侧导航树中，选择“域名配置”，进入域名配置页面。
   2. 在使用的DDoS高防代理类服务的域名所在行的“操作”列，单击“编辑”，进入“域名业务配置编辑”页面，将“源站IP/域名”的内容修改为复制的WAF的CNAME值，如图5所示。
      图5 域名业务配置编辑
      
   3. 单击“确定”，DDoS高防回源地址修改完成。

3. （可选）在DNS服务商添加一条WAF的子域名和TXT记录。
   

   为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您完成此操作。

   1. 进入云解析页面的入口，如图6所示。
      图6 云解析页面入口
      
   2. 在页面的右上角，单击“添加记录集”，进入“添加记录集”页面，配置模式如图7所示。
      • “主机记录”：1.d中复制的TXT记录。
      • “类型”：选择“TXT-设置文本记录”。
      • “别名”：选择“否”。
      • “线路类型”：全网默认。
      • “TTL(秒)”：一般建议设置为5分钟，TTL值越大，则DNS记录的同步和更新越慢。
      • “值”：将1.d中复制的TXT记录加上引号后粘贴在对应的文本框，例如，"TXT记录"。
      • 其他的设置保持不变。
      图7 添加记录集
      
   3. 单击“确定”，完成子域名配置。

4. （可选）验证DNS配置。您可以Ping网站域名验证DNS解析是否生效。
   

   由于DNS解析记录生效需要一定时间，如果验证失败，您可以等待5分钟后重新检查。