应用场景
当您的网站类业务部署在华为云ECS上时,您可以为网站业务配置“DDoS原生高级防护+WAF”联动防护,即网站业务接入独享模式WAF后将WAF独享引擎的ELB绑定的公网IP添加到DDoS原生高级防护实例进行防护,实现DDoS原生高级防护和WAF双重防护,同时防御四层DDoS攻击和七层Web攻击、CC攻击等,大幅提升网站业务的安全性和稳定性。
网站业务部署“DDoS原生高级防护+WAF”联动防护后,所有业务流量经过WAF独享引擎进行安全清洗后,攻击流量(包括DDoS攻击、Web攻击、CC攻击等)被丢弃,正常的业务流量被WAF转发到源站服务器。
图1 华为云“DDoS原生高级防护+WAF”联动防护
约束条件
DDoS原生高级防护只能防护购买区域的公网IP资源,不能跨区域防护。
DDoS原生高级防护仅支持与WAF独享模式联动防护。
前提条件
已创建ECS实例(在支持购买DDoS原生高级防护实例的区域。例如,华北-北京四)部署网站类业务,且ECS实例有公网IP地址(DDoS原生高级防护仅防护EIP资源)和域名(WAF支持防护网站:域名或IP)。
须知:
如果网站用于在中国内地提供服务,请确保网站域名已通过ICP备案,否则网站将不能正常使用WAF。有关网站备案的详细操作,请参见快速完成网站备案。
操作步骤
1. 购买WAF独享模式。
2. 配置WAF独享引擎实例安全策略。
进入ECS管理控制台,更改1中创建的WAF独享引擎实例安全组,入方向放开TCP、HTTP等端口。
详细操作,请参见更改安全组。
3. 添加防护网站。
添加防护网站时选择“独享模式”,请注意:
防护对象:填写ECS实例的域名。
是否已使用代理:选择“是”。
4. WAF独享引擎实例配置负载均衡。
5. 为弹性负载均衡绑定弹性公网IP。
6. 购买DDoS原生高级防护实例。
区域:选择与ECS实例相同的区域(例如,华北-北京四)
7. 在左侧导航栏选择“DDoS原生高级防护 -> 实例列表”,进入DDoS原生高级防护“实例列表”页面。
8. 在目标实例所在框的右上方,单击“设置防护对象”。
9. 在弹出的“设置防护对象”对话框中,勾选5中ELB的EIP后,单击“确定”。
成功添加防护对象后,您可以为防护对象配置防护策略。DDoS原生高级防护将为ECS源站服务器提供DDoS攻击全力防护能力,在业务遭受DDoS攻击时,自动触发流量清洗。
