“DDoS原生防护+独享WAF”联动,提升华为云内网站全面防护能力
一.DDoS原生高级防护、WAF防护原理介绍
● DDoS原生高级防护(Cloud Native Anti-DDoS,CNAD)是华为云推出的针对华为云ECS、ELB、WAF、EIP等云服务直接提升其DDoS防御能力的安全服务。DDoS原生高级防护对华为云上的IP生效,无需更换IP地址,通过简单的配置,DDoS原生高级防护提供的安全能力就可以直接加载到云服务上,提升云服务的安全防护能力,确保云服务上的业务安全、可靠。
● Web应用防火墙通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。WAF支持云模式、独享模式两种部署模式,各部署模式支持防护的对象说明如下:
• 云模式:域名接入,华为云、非华为云或云下的Web业务
• 独享模式:域名或IP接入,华为云上的Web业务
DDoS原生高级防护的防护对象仅限华为云上IP,故只能联动独享模式WAF,两者搭配使用可以对华为云上的Web业务进行联动防护,可以同时防御DDoS攻击(NTP Flood攻击、SYN Flood攻击、ACK Flood攻击、ICMP Flood攻击、HTTP Get Flood攻击等),以及Web应用攻击(SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等),确保业务持续可靠运行,其联动架构如下图所示。
二. DDoS原生防护+独享WAF联动配置全景图
三.“DDoS原生防护+独享WAF联动”配置策略
独享WAF购买及配置策略
Step1.购买独享WAF引擎实例
a.购买独享WAF实例
b.根据您的实际业务带宽情况选择独享WAF实例规格,如何选择业务带宽请参考“购买WAF时如何选择业务带宽?”,
须知:
① WAF实例创建类别选择“普通租户类”;
② WAF实例所在VPC必须与源站所在VPC互通。
Step2.购买独享型/共享型弹性负载均衡ELB
a.购买弹性负载均衡ELB实例(独享型/共享型);
b.登录弹性负载均衡ELB控制台,点击“负载均衡器”,将购买后的ELB实例绑定公网IP;须知:购买完弹性负载均衡ELB后直接绑定公网IP,此处公网IP是业务公网IP。
Step3:放行独享WAF实例的回源IP
进入到源站服务器关联的安全组中,选中购买的WAF引擎实例,点击“入方向规则”-“添加规则”,对WAF独享引擎内网IP进行放行。
Step4:手动添加网站
a.登录Web应用防火墙管理控制台;
b.点击左侧菜单栏中“网站设置”,选择“独享模式”;
c.防护对象添加“业务公网IP或域名”
d.服务器配置中的“对外协议”“源站协议”根据业务实际协议进行选择,“”源站地址”填写源站私网IP地址。
须知:若已使用公网ELB七层负载均衡(或接入了CDN、云加速等使用七层代理的产品),为了保障WAF的安全策略能针对真实源IP生效,“是否已使用代理”请务必选择“是”
Step5:配置弹性负载均衡ELB
a. 登录弹性负载均衡ELB控制台;
b. 选中弹性负载均衡ELB左侧菜单栏中的“负载均衡器”,点击“监听器”下“添加监听器”,配置监听器相关信息;
c.完成后进入下一步,“配置后端分配策略”;
d.完成后进入下一步,“添加后端服务器”,选择刚购买的独享WAF实例引擎,健康检查协议选择“TCP协议”
须知:下图步骤②和③中,“前端协议”和“后端协议”根据实际业务情况进行选项;步骤⑥配置完后,【健康检查】会显示异常,大概需要2分钟左右,才会检查成功,期间请耐心等待。
Step6:Web应用防火墙中检查网站接入状态
当配置完毕后,必须要访问防护域名或IP;只有WAF检测到有流量访问后【接入状态】才会成为“已接入”,否则状态则会是“未接入”。
DDoS原生防护购买及配置策略
Step3:设置防护对象
a.登录DDoS防护控制台;
b.点击左侧菜单栏“DDoS原生高级防护” “实例列表”,点击“设置防护对象”;
c.“可选防护对象”中勾选“公网EIP的EIP”;
d.“新增IP选择防护策略”选择之前创建好的策略即可。
