阿里云 DDoS 高防 IP 搭配 Web 应用防火墙操作手册

                       高防IP与WEB应用防火墙同时接入操作文档

高防和Web应用防火墙（WAF）、CDN是完全兼容的。

最佳的部署架构是：
高防IP（入口层，DDoS防护）——>CDN（静态资源加速）——>Web应用防火墙（中间，应用层防护）——>源站（ECS/SLB/VPC/IDC…）

注：上述架构去掉任何产品，架构不变，比如：
高防IP——>CDN——>ECS
高防IP——>WAF——>ECS

一、 配置WEB防火墙

1、 添加需要防护的域名例如www.i8***.cn，注意一级域名和二级域名需要分别添加，也就是带www的和不带www就是两条独立配置。

2、 勾选HTTP协议，如果有证书服务需要HTTPS访问两个都勾上。

3、 添加源站服务器的公网IP，也就是ECS的公网IP。

4、 务必勾选使用代理，因为WAF配合高防IP使用必须互相代理访问。

添加完成后效果如下，如有提示防护未接入多是当前域名没有流量产生，实际防护已经接入可以忽略。

二、 配置高防IP

以下是购买大陆地域电信、联通双链路高防IP，默认优先配置电信链路。

1、配置电信链路，选择网站接入

2、添加网站域名

3、添加www.i8.cn，这里选择源站域名接入，而域名地址为www.i8.cn的WAF防护地址。就是上述做完WAF防护生成域名。

4、添加i8***.cn，同理选择源站域名接入，也是之前配完WAF生成的域名。

5、配置高防防护效果，把默认勾选的WAF防护勾掉，因为已经有商业版的WAF防火墙这里不需要防护。两个域名的都要勾掉。

6、两个域名都勾选上Cname自动调度，因为高防IP是双链路，当其中一条链路出故障可以自动切换。

7、配置联通链路，过程跟上述过程一样。都是分别添加两个需要防护的域名。

因为两个域名通过高防后，不管是电信链路还是联通链路生成的防护域名都是同一个，所以具备自动调度切换，用户无感知。

8、修改域名解析，将高防生成的防护域名别名到原有原来网站域名上。将带www域名添加别名记录，别名主机填上述带www生成的高防域名。

这样i8***.cn不支持自动调度，如果电信链路出问题，需要手动修改该条A记录指到高防IP的联通线路。

www.i8***.cn则可以实现双链路自动切换。

9、等待域名解析生效，通过ping命令测试

通过专业的链路测试工具追踪访问www.i8*.cn可以看到电信用户就走高防IP的电信链路，联通用户就走高防IP的联通链路。

请注意，做了高防IP后原ECS服务器的公网IP需要进行保密，所有的网站不应该通过该IP直接访问，关闭其它无关的域名解析到该IP，也不可随意对外公布。