前提條件

• 已經(jīng)按照域名準入要求準備好需要接入的域名和華為云賬號。
• 已購買WAF。
• 已開通CDN服務。

背景信息

CDN是構建在現(xiàn)有互聯(lián)網(wǎng)基礎之上的一層智能虛擬網(wǎng)絡，通過在網(wǎng)絡各處部署節(jié)點服務器，實現(xiàn)將源站內(nèi)容分發(fā)至所有CDN節(jié)點，使用戶可以就近獲得所需的內(nèi)容，所以接入CDN的網(wǎng)站都能有比較快的響應速度。

Web應用防火墻（WAF：Web Application Firewall），通過對HTTP(S)請求進行檢測，識別并阻斷SQL注入、跨站腳本攻擊、網(wǎng)頁木馬上傳、命令/代碼注入、文件包含、敏感文件訪問、第三方應用漏洞攻擊、CC攻擊、惡意爬蟲掃描、跨站請求偽造等攻擊，保護Web服務安全穩(wěn)定。

如果您的網(wǎng)站對安全性能要求比較高，同時又有加速的需求，可以使用華為云CDN聯(lián)動WAF配置，實現(xiàn)加速的同時防護Web攻擊。

CDN+WAF的配置原理

CDN+WAF聯(lián)動的業(yè)務流向為：CDN>WAF>源站，流量由CDN轉發(fā)到WAF，WAF再將流量轉到源站，實現(xiàn)網(wǎng)站加速、流量檢測和攻擊攔截。

配置場景

本文配置以您的WAF在華為云為例，為您介紹開通CDN+WAF聯(lián)動部署。如果您的WAF在其它云服務，請參考本文完成配置。

場景1：已購買WAF并添加防護域名，配置CDN+WAF聯(lián)動

如果您已經(jīng)將域名接入WAF防御，要配置CDN+WAF聯(lián)動，您需要先將WAF域名基本信息中的“是否已使用代理”修改為“是”，WAF才能夠針對真實源IP進行安全策略防御；然后在CDN側添加加速域名，將WAF的CNAME作為CDN的源站，CDN才能將流量轉發(fā)給WAF，實現(xiàn)加速和Web攻擊防御聯(lián)動。

使用限制：

• CDN的加速域名僅支持默認端口，以非標端口的方式接入WAF的防護域名將無法接入CDN。
• 如果您在WAF側為防護域名配置了HTTPS證書，請同步在CDN側完成證書配置，否則會導致域名無法訪問。

操作步驟

1. 根據(jù)修改WAF防護域名基本信息指導修改防護域名的代理設置。
   *是否已使用代理：是
   

2. 復制WAF的CNAME。

3. 在CDN側添加加速域名（即WAF的防護域名）
   a. 登錄華為云控制臺，在控制臺首頁左上角選擇“服務列表>CDN與智能邊緣 > CDN”，進入CDN控制臺。
   b. 在左側導航欄選擇“域名管理”，進入域名管理頁面。
   c. 在域名管理界面，單擊“添加域名”，在彈出的對話框中配置域名參數(shù)。
   * 源站類型：源站域名，在下方輸入WAF的CNAME域名。
   

   d. 單擊“確定”完成域名的添加，CDN會為加速域名生成專屬CNAME。
   說明：

   *如果您的WAF是獨享模式，需要使用“源站IP”接入CDN，“源站”文本框中請輸入為彈性負載均衡綁定彈性公網(wǎng)IP。
   *如果您的WAF是ELB模式，需要使用“源站IP”接入CDN，“源站”文本框中請輸入WAF實例綁定ELB的彈性公網(wǎng)IP。

4. （可選）添加加速域名后，為保證順利切換不影響業(yè)務，建議先做測試再切換DNS解析，請參考本地測試加速域名。

5. 在DNS域名服務商處修改解析記錄，配置CDN提供的CNAME，詳情請參見配置CNAME。

6. 驗證CNAME是否生效。

   打開Windows操作系統(tǒng)中的cmd程序，輸入如下指令：
   nslookup -qt=cname 加速域名

   如果回顯CNAME，則表示CNAME配置已經(jīng)生效，如下圖：
   
   說明：

   如果您暫未使用CDN和WAF，也建議您按照場景1的方式先接入WAF，再配置聯(lián)動。

**場景2：**加速域名已經(jīng)接入CDN加速，配置CDN+WAF聯(lián)動

如果您的域名已經(jīng)接入CDN加速，現(xiàn)在需要配置CDN+WAF聯(lián)動，您需要先在WAF添加防護域名，“是否已使用代理”選項選擇“是”，WAF才能夠針對真實源IP進行安全防御；然后將CDN側加速域名的源站修改WAF的CNAME，CDN才能將流量轉發(fā)給WAF，實現(xiàn)加速和Web攻擊防御聯(lián)動。

使用限制：

如果您在CDN側為加速域名配置了HTTPS證書，請同步在WAF側完成證書配置，否則會導致域名無法訪問。

操作步驟

1. 將網(wǎng)站信息（源站服務器的IP、端口等信息）添加到WAF。配置要點如下。
   *非標準端口：去勾選。
   *是否已使用代理：是。
   

2. 配置完成后，WAF會為該域名生成一個專屬的CNAME。
   
   說明：

   建議您在配置好WAF后先驗證業(yè)務是否正常，再修改CDN源站。

3. 將CDN加速域名的源站地址修改為WAF的CNAME域名。
   a. 登錄華為云控制臺，在控制臺首頁中選擇“CDN與智能邊緣 > CDN”，進入CDN控制臺。
   b. 在左側菜單欄中，選擇“域名管理”。
   c. 在域名列表中，單擊需要修改的域名或域名所在行的“設置”，進入域名配置頁面。
   d. 選擇“基本配置”頁簽。
   e. 在源站配置模塊，單擊“編輯”，系統(tǒng)彈出“修改源站信息”對話框。
   * 類型：源站域名。
   * 源站：填寫WAF生成的CNAME域名。
   * 回源端口：默認端口。
   
   說明：

   *   如果您的WAF是獨享模式，需要使用“源站IP”接入CDN，“源站”文本框中請輸入[為彈性負載均衡綁定彈性公網(wǎng)IP](https://support.huaweicloud.com/usermanual-waf/waf_01_0252.html)。
   *   如果您的WAF是ELB模式，需要使用“源站IP”接入CDN，“源站”文本框中請輸入WAF實例[綁定ELB](https://support.huaweicloud.com/usermanual-waf/waf_01_0288.html)的彈性公網(wǎng)IP。
   

   完成以上配置后，流量經(jīng)過CDN轉發(fā)到WAF，達到加速和Web攻擊防護的目的。

本文由華為云發(fā)布。文章來源地址http://www.zghlxwxcb.cn/news/detail-488606.html

到了這里，關于華為云CDN加速WAF防護資源實踐的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！