阿里云 DDoS 高防 IP 搭配 Web 应用防火墙操作手册

共 1129字,需浏览 3分钟

 ·

2017-04-28 21:46

                       高防IP与WEB应用防火墙同时接入操作文档

高防和Web应用防火墙(WAF)、CDN是完全兼容的。

最佳的部署架构是:
高防IP(入口层,DDoS防护)——>CDN(静态资源加速)——>Web应用防火墙(中间,应用层防护)——>源站(ECS/SLB/VPC/IDC…)

注:上述架构去掉任何产品,架构不变,比如:
高防IP——>CDN——>ECS
高防IP——>WAF——>ECS

一、 配置WEB防火墙

1、 添加需要防护的域名例如www.i8***.cn,注意一级域名和二级域名需要分别添加,也就是带www的和不带www就是两条独立配置。

2、 勾选HTTP协议,如果有证书服务需要HTTPS访问两个都勾上。

3、 添加源站服务器的公网IP,也就是ECS的公网IP。

4、 务必勾选使用代理,因为WAF配合高防IP使用必须互相代理访问。

file

添加完成后效果如下,如有提示防护未接入多是当前域名没有流量产生,实际防护已经接入可以忽略。

file

二、 配置高防IP

以下是购买大陆地域电信、联通双链路高防IP,默认优先配置电信链路。

file

1、配置电信链路,选择网站接入

file

2、添加网站域名

file

3、添加www.i8.cn,这里选择源站域名接入,而域名地址为www.i8.cn的WAF防护地址。就是上述做完WAF防护生成域名。

4、添加i8***.cn,同理选择源站域名接入,也是之前配完WAF生成的域名。

5、配置高防防护效果,把默认勾选的WAF防护勾掉,因为已经有商业版的WAF防火墙这里不需要防护。两个域名的都要勾掉。

6、两个域名都勾选上Cname自动调度,因为高防IP是双链路,当其中一条链路出故障可以自动切换。

7、配置联通链路,过程跟上述过程一样。都是分别添加两个需要防护的域名。

因为两个域名通过高防后,不管是电信链路还是联通链路生成的防护域名都是同一个,所以具备自动调度切换,用户无感知。

8、修改域名解析,将高防生成的防护域名别名到原有原来网站域名上。将带www域名添加别名记录,别名主机填上述带www生成的高防域名。

这样i8***.cn不支持自动调度,如果电信链路出问题,需要手动修改该条A记录指到高防IP的联通线路。

www.i8***.cn则可以实现双链路自动切换。

9、等待域名解析生效,通过ping命令测试

file

通过专业的链路测试工具追踪访问www.i8*.cn可以看到电信用户就走高防IP的电信链路,联通用户就走高防IP的联通链路。

请注意,做了高防IP后原ECS服务器的公网IP需要进行保密,所有的网站不应该通过该IP直接访问,关闭其它无关的域名解析到该IP,也不可随意对外公布。

浏览 93
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报