DDoS高防IP完全兼容云盾Web应用防火墙。本文介绍了同时接入高防IP、Web应用防火墙的方法。

背景信息

在同时接入高防IP、Web应用防火墙最佳的部署架构如下:

高防IP(入口层,DDoS防护)> Web应用防火墙(中间层,应用层防护) > 源站(ECS/SLB/VPC/IDC...)

说明 经过WAF多层转发后,HTTP头部的X-Forwarded-For字段包含请求用户的真实IP,和所有经过的中间代理服务器的IP。其中,用户的真实IP处在第一个位置。例如, 
X-Forwarded-For: 用户真实IP, 代理服务器1-IP, 代理服务器2-IP, 代理服务器3-IP, …

因此,要获取用户的真实IP,需要获取HTTP头部的X-Forwarded-For字段内容。具体方法,请参考如何获取客户端真实IP

参照以下步骤,同时接入高防IP、Web应用防火墙。

操作步骤

  1. 配置Web应用防火墙。在源站IP中填写SLB公网IP、ECS公网IP或本地服务器IP,并在是否已使用了高防、CDN、云加速等代理?选项下选择
    Web应用防火墙配置完成后,会生成一个CNAME。
  2. 配置DDoS高防IP。在源站域名中填入Web应用防火墙提供的CNAME。
  3. 在DNS解析处,修改DNS配置,将域名解析指向高防IP服务生成的CNAME。这样,流量会先经过高防IP,再转发至Web应用防火墙。