目标
- 熟悉Web应用防火墙的架构
- 配置目标站点接入WAF
- 测试精准防护和日志检索功能
WAF的接入和防护架构
WAF采用反向代理的接入架构,通过修改防护域名的DNS解析到WAF而将流量牵引到WAF,通过各种防护模块过滤掉恶意流量后,再把正常请求转发回源站。
配置接入WAF
登录阿里云控制台,找到云盾->Web应用防火墙->域名配置,输入相关的域名及源站信息,并点击“添加域名”按钮:
注意事项:
- 支持配置泛域名,如*.aliyundemo.cn,可以匹配相关的二级域名。当同时配置泛域名和精确域名时,转发和防护策略匹配顺序以精确域名优先
- 如果有HTTPS站点,务必勾选HTTPS,同时建议勾选HTTP,以应对HTTP跳转等问题,同时需要在稍后上传源站证书和密钥(实验中我们只勾选HTTP)
- 源站IP可以支持最多20个,WAF会做负载均衡和健康检查,详情见“源站IP负载均衡”
- 如WAF前面还有CDN、高防等七层代理,务必勾选“是否已使用代理”,这样才能取到客户端真实IP,不然看到的都是上一级代理的IP
添加好域名后,会弹出选择解析方式的弹窗,为了更好的演示接入原理,这里选择手动修改:
配置好域名后,WAF会自动分配给当前域名一个CNAME,可点击域名信息来查看:
接下来我们登录万网控制台,找到对应域名的“域名解析”->“解析设置”,正常情况下会有已经存在的一些解析,如下图:
接下来需要将记录类型改成CNAME,记录值改成WAF控制台提供的CNAME,如下图:
开启日志检索
在刚配置好的域名->业务状态中,找到日志检索并打开:
配置并体验精准防护规则
精准访问控制规则允许用户基于HTTP头部的各个字段自由组合各种访问控制规则:
找到防护域名,点击“防护配置”,进入“精准访问控制规则”即可配置。您可以自由尝试各种条件,匹配的内容大小写不敏感,匹配按照从上到下的优先级。详细的配置方式请参考这里:https://help.aliyun.com/document_detail/42780.html
配置好后一般3分钟内即可生效,您可以手动构造一些请求来验证防护效果,如果匹配中拦截,预期访问会被WAF拦截并弹出405拦截页面:
同时,您也可以在日志检索中看一下拦截的具体请求,以及匹配中访问控制规则的情况:
以上是基本配置和功能演示,您可以结合自身业务特征,尝试更多的防护功能,欢迎随时与我们交流:https://help.aliyun.com/knowledge_detail/44036.html
