独享LB与WAF的安全防护实践教程

本文档介绍如何通过云原生 WAF 为已经添加到负载均衡的域名进行 Web 安全防护。

背景信息

云原生 WAF 通过域名和负载均衡监听器进行绑定，实现对经过独享负载均衡监听器的 HTTP 或 HTTPS 流量进行检测和拦截。

准备工作

• 已成功创建 HTTP或 HTTPS 监听器。

• 已成功购买负载均衡型 WAF。

操作步骤

步骤一：配置独享负载均衡转发策略域名

本文以防护 testaaa.com 域名为例。

1. 登录独享负载均衡控制台，点击目标负载均衡名称，进入其详情页面。

2. 选择监听器页签，点击目标监听器名称，进入其详情页面。

3. 选择转发策略页签，单击添加/编辑转发策略，监听器转发规则所监听的域名设置：testaaa.com。

   

步骤二：在 WAF 中添加域名绑定负载均衡

为了使负载均衡型 WAF 能够识别出需要防护的域名，需要在 WAF 中添加负载均衡监听的域名并绑定负载均衡监听器。

1. 登录Web 应用防火墙控制台。

2. 在左侧导航栏，点击网站接入>云原生-WAF >绑定独享型LB实例。

3. 在独享型LB实例列表页，勾选已绑定独享LB实例，点击确认。

4. 点击配置防护域名按钮，按照以下配置，绑定域名 testaaa.com。

   • 所属实例：选择负载均衡型和实例名称。

   • 域名：在域名输入框中添加需要防护的域名 testaaa.com。

   • 前置代理：网站业务在接入 WAF 前是否开启了其他七层代理服务。

5. 可查看 Web 应用防火墙网站防护，网站接入 WAF 后默认已开启安全防护。

   

步骤三：结果验证

WAF 通过域名和独享型LB对应监听器进行绑定，对经过独享型LB监听器的域名流量进行防护。验证负载均衡型 WAF 是否生效，请先确保本地电脑可以正常访问在负载均衡不同实例下添加的域名。

1. 修改本机 /etc/hosts，添加testaaa.com域名及其对应的IP。

2. 使用模拟攻击命令测试，提示 403 代表禁止成功。

   curl -v "http://testaaa.com/shop/?order_sn=DBXmR4Mr'));select%20pg_sleep(9);%20--%20"

   

3. 在安全总览中筛选防护域名，查看 WEB 入侵防护次数不为 0 即为防护配置生效，也可以查看有安全攻击日志，代表 WAF 防护已生效。