201703深圳云栖大会Workshop-云盾WAF快速入门

  1. 云栖社区>
  2. 博客>
  3. 正文

201703深圳云栖大会Workshop-云盾WAF快速入门

君扬 2017-03-21 21:38:31 浏览3018
展开阅读全文

目标

  • 熟悉Web应用防火墙的架构
  • 配置目标站点接入WAF
  • 测试精准防护和日志检索功能

WAF的接入和防护架构

架构图

WAF采用反向代理的接入架构,通过修改防护域名的DNS解析到WAF而将流量牵引到WAF,通过各种防护模块过滤掉恶意流量后,再把正常请求转发回源站。

配置接入WAF

登录阿里云控制台,找到云盾->Web应用防火墙->域名配置,输入相关的域名及源站信息,并点击“添加域名”按钮:

添加域名

注意事项:

  • 支持配置泛域名,如*.aliyundemo.cn,可以匹配相关的二级域名。当同时配置泛域名和精确域名时,转发和防护策略匹配顺序以精确域名优先
  • 如果有HTTPS站点,务必勾选HTTPS,同时建议勾选HTTP,以应对HTTP跳转等问题,同时需要在稍后上传源站证书和密钥(实验中我们只勾选HTTP)
  • 源站IP可以支持最多20个,WAF会做负载均衡和健康检查,详情见“源站IP负载均衡
  • 如WAF前面还有CDN、高防等七层代理,务必勾选“是否已使用代理”,这样才能取到客户端真实IP,不然看到的都是上一级代理的IP

添加好域名后,会弹出选择解析方式的弹窗,为了更好的演示接入原理,这里选择手动修改:

一键解析

配置好域名后,WAF会自动分配给当前域名一个CNAME,可点击域名信息来查看:

CNAME

接下来我们登录万网控制台,找到对应域名的“域名解析”->“解析设置”,正常情况下会有已经存在的一些解析,如下图:

1

接下来需要将记录类型改成CNAME,记录值改成WAF控制台提供的CNAME,如下图:

2

开启日志检索

在刚配置好的域名->业务状态中,找到日志检索并打开:
开启

配置并体验精准防护规则

精准访问控制规则允许用户基于HTTP头部的各个字段自由组合各种访问控制规则:

demo

找到防护域名,点击“防护配置”,进入“精准访问控制规则”即可配置。您可以自由尝试各种条件,匹配的内容大小写不敏感,匹配按照从上到下的优先级。详细的配置方式请参考这里:https://help.aliyun.com/document_detail/42780.html

配置好后一般3分钟内即可生效,您可以手动构造一些请求来验证防护效果,如果匹配中拦截,预期访问会被WAF拦截并弹出405拦截页面:

405

同时,您也可以在日志检索中看一下拦截的具体请求,以及匹配中访问控制规则的情况:

log

以上是基本配置和功能演示,您可以结合自身业务特征,尝试更多的防护功能,欢迎随时与我们交流:https://help.aliyun.com/knowledge_detail/44036.html

网友评论

登录后评论
0/500
评论
君扬
+ 关注