DDoS高防支持与阿里云Web应用防火墙一起使用,实现为网站业务同时防御DDoS攻击和Web应用攻击。本文介绍了网站业务同时接入DDoS高防和Web应用防火墙的配置方法。

前提条件

背景信息

网站业务同时接入DDoS高防和Web应用防火墙时,需要采用以下网络架构:DDoS高防(入口层,防御DDoS攻击)->Web应用防火墙(中间层,防御Web应用攻击)->源站服务器(ECS、SLB、VPC、IDC等)。
说明 应用上述架构后,访问请求将经过多层中间代理才到达源站,源站不能直接获取请求的真实来源IP。如果您需要获取访问请求的真实来源IP,请参见配置DDoS高防后获取真实的请求来源IP

操作步骤

  1. 网站业务接入Web应用防火墙(具体操作请参见添加域名)。
    填写网站信息时,您需要选择IP类型的服务器地址,填写源站服务器对应的SLB公网IP、ECS公网IP或本地服务器IP,并将WAF前是否有七层代理(高防/CDN等)设置为waf配置
    成功添加域名后,您可以在Web应用防火墙控制台网站接入页面获取域名对应的WAF CName地址。waf CName
  2. 网站业务接入DDoS高防(具体操作请参见添加网站配置)。
    填写网站信息时,您需要选择源站域名类型的服务器地址,并填写上一步获取的WAF CName地址。高防配置
    成功添加网站后,您可以在DDoS高防控制台域名接入页面获取域名对应的DDoS高防CNAME地址。高防CNAME
  3. 在域名的DNS解析服务商处修改域名的DNS解析,将域名解析指向上一步获取的DDoS高防CNAME地址(具体操作请参见修改DNS解析接入网站业务)。
    完成上述配置后,网站业务流量会先经过DDoS高防清洗,然后转发到Web应用防火墙过滤Web攻击,最后只有正常的业务流量被转发到源站服务器。