WEB应用防火墙 WAF-使用CDN和WAF提升网站防护能力和访问速度:方案架构

时间:2024-07-05 10:16:17

方案架构

  • 当用户访问使用CDN服务的网站时,本地DNS服务器通过CNAME方式将最终 域名 请求重定向到CDN服务。CDN通过一组预先定义好的策略(如内容类型、地理区域、网络负载状况等),将当时能够最快响应用户的CDN节点IP地址提供给用户,使用户可以以最快的速度获得网站内容。

    CDN支持的对象:域名,华为云、非华为云或云下的Web业务

  • Web应用防火墙 通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。
    WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式,各部署模式支持防护的对象说明如下:
    • 云模式-CNAME接入:域名,华为云、非华为云或云下的Web业务
    • 云模式-ELB接入:域名或IP,华为云的Web业务
    • 独享模式:域名或IP,华为云的Web业务

CDN+WAF可以对华为云、非华为云或云下的域名进行联动防护,同时提升网站的响应速度和网站防护能力,配置原理图如图1所示。

图1 使用代理配置原理图

CDN+WAF配置后,流量被 CDN加速 后转发到WAF,WAF再将流量转到源站,在提升用户访问网站的响应速度与网站的可用性的同时,实现网站流量检测和攻击拦截。

相关配置说明如下:

  • 云模式-CNAME接入

    先将域名解析到CDN,再修改CDN源站信息,将源站域名修改为WAF的“CNAME”,同时,为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您到DNS服务商处添加一条WAF的子域名和TXT记录。

  • 云模式-ELB接入

    先将域名解析到CDN,再修改CDN源站信息,将源站IP修改为ELB模式实例所绑定ELB的弹性公网IP。

  • 独享模式

    先将域名解析到CDN,再修改CDN源站信息,将源站IP修改为WAF独享引擎实例配置弹性负载均衡绑定的弹性公网IP。

support.huaweicloud.com/bestpractice-waf/waf_06_0022.html