201703深圳云栖大会Workshop-云盾WAF快速入门-阿里云开发者社区

开发者社区> 云计算> 正文
登录阅读全文

201703深圳云栖大会Workshop-云盾WAF快速入门

简介: 本文带您快速上手阿里云云盾Web应用防火墙的接入配置,并体验简单的防护功能。

目标

  • 熟悉Web应用防火墙的架构
  • 配置目标站点接入WAF
  • 测试精准防护和日志检索功能

WAF的接入和防护架构

架构图

WAF采用反向代理的接入架构,通过修改防护域名的DNS解析到WAF而将流量牵引到WAF,通过各种防护模块过滤掉恶意流量后,再把正常请求转发回源站。

配置接入WAF

登录阿里云控制台,找到云盾->Web应用防火墙->域名配置,输入相关的域名及源站信息,并点击“添加域名”按钮:

添加域名

注意事项:

  • 支持配置泛域名,如*.aliyundemo.cn,可以匹配相关的二级域名。当同时配置泛域名和精确域名时,转发和防护策略匹配顺序以精确域名优先
  • 如果有HTTPS站点,务必勾选HTTPS,同时建议勾选HTTP,以应对HTTP跳转等问题,同时需要在稍后上传源站证书和密钥(实验中我们只勾选HTTP)
  • 源站IP可以支持最多20个,WAF会做负载均衡和健康检查,详情见“源站IP负载均衡
  • 如WAF前面还有CDN、高防等七层代理,务必勾选“是否已使用代理”,这样才能取到客户端真实IP,不然看到的都是上一级代理的IP

添加好域名后,会弹出选择解析方式的弹窗,为了更好的演示接入原理,这里选择手动修改:

一键解析

配置好域名后,WAF会自动分配给当前域名一个CNAME,可点击域名信息来查看:

CNAME

接下来我们登录万网控制台,找到对应域名的“域名解析”->“解析设置”,正常情况下会有已经存在的一些解析,如下图:

1

接下来需要将记录类型改成CNAME,记录值改成WAF控制台提供的CNAME,如下图:

2

开启日志检索

在刚配置好的域名->业务状态中,找到日志检索并打开:
开启

配置并体验精准防护规则

精准访问控制规则允许用户基于HTTP头部的各个字段自由组合各种访问控制规则:

demo

找到防护域名,点击“防护配置”,进入“精准访问控制规则”即可配置。您可以自由尝试各种条件,匹配的内容大小写不敏感,匹配按照从上到下的优先级。详细的配置方式请参考这里:https://help.aliyun.com/document_detail/42780.html

配置好后一般3分钟内即可生效,您可以手动构造一些请求来验证防护效果,如果匹配中拦截,预期访问会被WAF拦截并弹出405拦截页面:

405

同时,您也可以在日志检索中看一下拦截的具体请求,以及匹配中访问控制规则的情况:

log

以上是基本配置和功能演示,您可以结合自身业务特征,尝试更多的防护功能,欢迎随时与我们交流:https://help.aliyun.com/knowledge_detail/44036.html

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
云计算
使用钉钉扫一扫加入圈子
+ 订阅

时时分享云计算技术内容,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。

其他文章