阿里云 DDoS 高防 IP 搭配 Web 应用防火墙操作手册
高防IP与WEB应用防火墙同时接入操作文档
高防和Web应用防火墙(WAF)、CDN是完全兼容的。
最佳的部署架构是:
高防IP(入口层,DDoS防护)——>CDN(静态资源加速)——>Web应用防火墙(中间,应用层防护)——>源站(ECS/SLB/VPC/IDC…)
注:上述架构去掉任何产品,架构不变,比如:
高防IP——>CDN——>ECS
高防IP——>WAF——>ECS
一、 配置WEB防火墙
1、 添加需要防护的域名例如www.i8***.cn,注意一级域名和二级域名需要分别添加,也就是带www的和不带www就是两条独立配置。
2、 勾选HTTP协议,如果有证书服务需要HTTPS访问两个都勾上。
3、 添加源站服务器的公网IP,也就是ECS的公网IP。
4、 务必勾选使用代理,因为WAF配合高防IP使用必须互相代理访问。
添加完成后效果如下,如有提示防护未接入多是当前域名没有流量产生,实际防护已经接入可以忽略。
二、 配置高防IP
以下是购买大陆地域电信、联通双链路高防IP,默认优先配置电信链路。
1、配置电信链路,选择网站接入
2、添加网站域名
3、添加www.i8.cn,这里选择源站域名接入,而域名地址为www.i8.cn的WAF防护地址。就是上述做完WAF防护生成域名。
4、添加i8***.cn,同理选择源站域名接入,也是之前配完WAF生成的域名。
5、配置高防防护效果,把默认勾选的WAF防护勾掉,因为已经有商业版的WAF防火墙这里不需要防护。两个域名的都要勾掉。
6、两个域名都勾选上Cname自动调度,因为高防IP是双链路,当其中一条链路出故障可以自动切换。
7、配置联通链路,过程跟上述过程一样。都是分别添加两个需要防护的域名。
因为两个域名通过高防后,不管是电信链路还是联通链路生成的防护域名都是同一个,所以具备自动调度切换,用户无感知。
8、修改域名解析,将高防生成的防护域名别名到原有原来网站域名上。将带www域名添加别名记录,别名主机填上述带www生成的高防域名。
这样i8***.cn不支持自动调度,如果电信链路出问题,需要手动修改该条A记录指到高防IP的联通线路。
www.i8***.cn则可以实现双链路自动切换。
9、等待域名解析生效,通过ping命令测试
通过专业的链路测试工具追踪访问www.i8*.cn可以看到电信用户就走高防IP的电信链路,联通用户就走高防IP的联通链路。
请注意,做了高防IP后原ECS服务器的公网IP需要进行保密,所有的网站不应该通过该IP直接访问,关闭其它无关的域名解析到该IP,也不可随意对外公布。