DDoS高防原理
DDoS高防服务通过高防IP代理源IP对外提供服务,将所有的公网流量都引流至高防IP,进而隐藏源站,避免源站(用户业务)遭受大流量DDoS攻击。DDoS高防引流和转发原理示意图如图1 DDoS原理图所示。
WAF防护原理
购买Web应用防火墙后,在Web应用防火墙的控制界面添加域名(配置源站服务器信息)并完成域名解析,即可启用Web应用防火墙。启用之后,您网站所有的公网流量都会先经过Web应用防火墙,恶意攻击流量在Web应用防火墙上被检测过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。
DDoS高防+WAF的配置原理
先将域名解析到DDoS高防,再将DDoS高防回源地址修改为WAF的“CNAME”,这样流量才会被DDoS高防转发到WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。配置完成后,流量会先经过DDoS高防,再转发至WAF,实现联动防御。
同时,为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您到DNS服务商处添加一条WAF的子域名和TXT记录。
原理图
前提条件
- 已有网站域名。
- 已购买WAF。
- 已将网站信息(源站服务器的IP、端口等信息)添加到WAF。
- 已购买DDoS高防实例并已完成DDoS高防网站类业务接入。
- 在域名的DNS服务商处有添加域名的权限。
- (可选)放行WAF回源段IP。源站服务器上已启用非华为云安全软件(如安全狗、云锁)时,您需要在这些软件上设置放行WAF回源段IP,防止由WAF转发到源站的正常业务流量被拦截。具体请参考通过配置源站服务器访问控制策略保护源站安全。
配置策略
以下操作以华为云DDoS高防为例介绍配置域名解析的方法。如果您使用的是华为云DDoS高防,您可以直接参照以下步骤进行操作;若您使用华为云以外的DDoS高防,请参考以下步骤在其他DDoS高防上进行类似配置。
- 获取“CNAME”、“子域名”和“TXT记录”值。
- 登录管理控制台。
- 进入网站配置页面入口,如图3所示。
- 在目标域名所在行的“网站设置”列中,单击目标域名,进入域名基本信息页面。
- 在域名基本信息页面,单击CNAME所在行的,复制“CNAME”。在“接入状态”所在行,单击“如何接入?”,在弹出的对话框中,复制“子域名”和“TXT记录”。图4 查看域名接入信息
- DDoS高防回源IP地址修改。
- 单击页面上方的“服务列表”,选择 ,在左侧导航树中,选择“域名配置”,进入域名配置页面。
- 在使用的DDoS高防代理类服务的域名所在行的“操作”列,单击“编辑”,进入“域名业务配置编辑”页面,将“源站IP/域名”的内容修改为复制的WAF的CNAME值,如图5所示。
- 单击“确定”,DDoS高防回源地址修改完成。
- (可选)在DNS服务商添加一条WAF的子域名和TXT记录。
为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您完成此操作。
- (可选)验证DNS配置。您可以Ping网站域名验证DNS解析是否生效。
由于DNS解析记录生效需要一定时间,如果验证失败,您可以等待5分钟后重新检查。