CLBWAF域名配置
最近更新时间: 2024-10-17 17:10:00
负载均衡型 WAF 通过配置域名和腾讯云金融专区 七层负载均衡(监听器)集群进行联动,对经过负载均衡的 HTTP 或 HTTPS 流量进行旁路威胁检测和清洗,实现业务转发和安全防护分离。为了实现联动防护,您需要完成以下步骤:
步骤1:确认负载均衡配置
负载均衡型WAF通过添加域名和负载均衡监听器进行绑定,实现对经过负载均衡监听器的 HTTP 或 HTTPS 流量进行检测和拦截。在接入负载均衡型 WAF 前,请确保网站业务已经在腾讯云金融专区 上,并且使用了腾讯云金融专区 负载均衡(原应用型负载均衡,网络类型为公网类型)。若您的网站业务不在腾讯云金融专区 上,建议您使用 SaaS 型 WAF 接入防护。
为了使负载均衡型 WAF 能够识别出需要防护的域名,需要配置负载均衡并且在监听器配置相应域名,实现业务正常转发。详情请参见 配置 HTTP 监听器 和 配置 HTTPS 监听。
本文以防护wow.qcloudwaf.com为例,查看负载均衡监听器配置信息。
登录云控制台,单击负载均衡,进入负载均衡控制台。
在“LB 实例列表”中,找到已创建的负载均衡实例 clb-test,单击实例 ID,进入负载均衡详情页。
- 在负载均衡详情页面,单击监听器管理,查看监听器域名配置信息。监听器的名称为 waftest,协议HTTP,端口80。
- 创建转发规则,监听器转发规则监听的域名为
wow.qcloudwaf.com
,URL路径填“/”,选择是否进行监控检查,以及会话保持,点击提交,完成域名添加。此时域名防护状态为未启用。
步骤2:域名添加绑定负载均衡
登录Web 应用防火墙控制台,在左侧导航栏中,选择Web 应用防火墙>防护设置,进入防护设置页面。
在防护设置页面,单击负载均衡型,进入负载均衡型防护设置页面,并在域名列表中,单击添加域名,进入域名添加页面。
- 在添加域名页面,填写需要防护域名,填写完成后,单击下一步,进入选择监听器页面。
注意:
填写的域名需要和负载均衡监听器中添加的域名保持一致。
- 在选择监听器页面,选择步骤1:确认负载均衡配置中确认配置的负载均衡和监听器,完成绑定。
- 绑定完成后,在页面下方,单击完成即可返回域名列表。在域名列表可以查看到防护域名wow.qcloudwaf.com和负载均衡的负载均衡 ID、名称、VIP 和监听器信息等。
步骤3:验证测试
确保本地电脑可以正常访问 Web 站点。
在浏览器中输入网址
http://wow.qcloudwaf.com/?test=alert(123)
并访问。
注意:
wow.qcloudwaf.com 为本案例中域名,此处需要将域名替换为实际添加的域名。
登录Web 应用防火墙控制台,在左侧导航栏中,选择日志服务>攻击日志,进入攻击日志查询页面,进行日志查询。
选择添加防护的域名,单击查询。若看到攻击类型为 “XSS 攻击”,说明 WAF 配置已经生效。
说明:
如果域名未配置 DNS,可参见 SaaS 型 WAF 快速入门的步骤2:本地测试进行接入有效性验证。