快速入门
最近更新时间: 2024-10-17 17:10:00
入门概述
腾讯云金融专区WAF分为两种类型,SaaS 型 WAF 和负载均衡型 WAF,两种类型 WAF 域名接入方式不同,请参考以下步骤,根据实际情况完成接入。
SaaS型WAF
SaaS 型 WAF 通过为防护域名分配 CNAME,修改网站的 DNS 解析记录,将网站收到的 Web 请求转发给 WAF ,从而对网站进行安全防护。配合安全组使用,可以避免攻击者绕过 WAF 直接攻击网站源站。为了实现上述功能,您需要完成以下步骤:
步骤1:域名添加
为了使 Web 应用防火墙识别出需要防护的域名,需要先在 Web 应用防火墙中添加域名。下面以防护 waf.qcloudwaf.com 为例,说明配置步骤。
登录Web 应用防火墙,在左侧目录中,选择Web 应用防火墙>防护设置,进入域名配置页面。
单击添加域名,进入基础设置页面。
- 域名配置
在域名输入框中添加需要防护的域名 waf.qcloudwaf.com 。
协议和端口可按实际情况选择。例如:勾选 HTTP,选择80端口;勾选 HTTPS,选择443端口。
HTTPS 回源方式可选:HTTP 或 HTTPS。
证书来源可选:腾讯云金融专区托管证书,自有证书。
在源站 IP 输入框内输入需要防护网站的真实 IP 源站地址,即源站的公网 IP 地址。
- 其他配置
在 Web 应用防火墙前,是否接入了其他中间代理设备,若有,请选择是,若无,请选择否。
单击保存,完成配置后,可在域名列表看到刚刚添加的域名。
单击域名进入详情页,即可看到 Web 应用防火墙为站点分配的 CNAME。
Web 应用防火墙将会为每个添加到 Web 应用防火墙的域名(不区分一级域名和二级域名)分配一个唯一的 CNAME。
步骤2:本地测试
本地机器访问网站需要做 DNS 解析,在这之前会优先从本地 hosts 文件中获取目标域名对应的 IP 地址。所以可以用修改 hosts 文件的方式把本地的访问流量导向 Web 应用防火墙,从而测试经过 Web 应用防火墙访问 Web 站点的线路连通性,避免直接修改 DNS 解析记录,影响到公网用户对站点的访问。
- 登录Web 应用防火墙控制台,在左侧导航栏中,选择Web 应用防火墙>防护设置,在域名列表中查看
waf.qcloudwaf.com
的 VIP 地址。
- 修改 hosts 文件
- 在 Windows 下修改
C:\Windows\System32\drivers\etc\hosts
,增加条目。 格式:VIP 地址+接入Web应用防火墙的域名。
- 在 Linux 下 修改
/etc/hosts
,增加条目。
格式:VIP 地址+接入Web应用防火墙的域名。
访问测试
(1) 在本地电脑上访问 Web 站点,若站点能够正常打开,说明网站管家访问 Web 源站的线路连通性正常。
(2) 在浏览器中输入下面的网址并访问。
http://waf.qcloudwaf.com/?test=alert(123)
(3) 浏览器返回阻断页面,说明 Web 应用防火墙防护功能正常。
步骤3:修改 DNS 解析
当您想通过Web应用防火墙WAF防护公网用户访问网站的流量时,需要修改 DNS 的解析记录,相关DNS CNAME记录修改使用DNS标准修改流程即可。
步骤4:设置安全组
安全组是云平台提供的实例级别防火墙,可对任意云服务器进行入或出流量控制。在安全组中设置仅允许来自 Web 应用防火墙的流量访问网站,可避免攻击者绕过 Web 应用防火墙直接攻击网站源站。 下面以在安全组中放行 Web 应用防火墙的回源 IP 111.230.27.90 为例,说明配置过程。
登录 云服务器控制台在左侧目录中,单击安全组。
进入安全组页面,单击新建,根据要求填写信息,模板选择自定义,输入安全组的名称(例如 my-security-group),填写相关备注,填写完成后,单击确定。
在安全组列表中,找到刚才新建的安全组,单击其 ID 进入详情页。
在入站规则页面中,单击添加规则。
- 在弹出框中填写相关信息,类型选择 “HTTP(80)” ,来源中填写需要放行的回源 IP,根据需求填写端口及策略,填写完毕后,单击完成。
- 单击选项卡中的关联实例,在云服务器页面下,单击新增关联。
- 在弹出框中选择需要绑定的云服务器,单击确定即可。
或者您还可以进入 云服务器列表页,查看或修改某云服务器已绑定的安全组,在列表页选择需要调整安全组的云服务器 ID,在右侧操作栏,选择更多>安全组>配置安全组,选择安全组进行绑定。
负载均衡型WAF
负载均衡型 WAF 通过配置域名和腾讯云金融专区七层负载均衡(监听器)集群进行联动,对经过负载均衡的 HTTP 或 HTTPS 流量进行旁路威胁检测和清洗,实现业务转发和安全防护分离。为了实现联动防护,您需要完成以下步骤:
步骤1:确认负载均衡配置
负载均衡型WAF通过添加域名和负载均衡监听器进行绑定,实现对经过负载均衡监听器的 HTTP 或 HTTPS 流量进行检测和拦截。在接入负载均衡型 WAF 前,请确保网站业务已经在腾讯云金融专区上,并且使用了腾讯云金融专区负载均衡(原应用型负载均衡,网络类型为公网类型)。若您的网站业务不在腾讯云金融专区上,建议您使用 SaaS 型 WAF 接入防护。
为了使负载均衡型 WAF 能够识别出需要防护的域名,需要配置负载均衡并且在监听器配置相应域名,实现业务正常转发。详情请参见 配置 HTTP 监听器 和 配置 HTTPS 监听。
本文以防护wow.qcloudwaf.com为例,查看负载均衡监听器配置信息。
登录云控制台,单击云产品>云计算与网络>负载均衡,进入负载均衡控制台。
在“LB 实例列表”中,找到已创建的负载均衡实例,单击实例 ID,进入负载均衡详情页。
- 在负载均衡详情页面,单击监听器管理,查看监听器域名配置信息。监听器的名称为 waftest,协议HTTP,端口80。
- 创建转发规则,监听器转发规则监听的域名为
wow.qcloudwaf.com
,URL路径填“/”,选择是否进行监控检查,以及会话保持,点击提交,完成域名添加。此时域名防护状态为未启用。
步骤2:域名添加绑定负载均衡
操作步骤
登录 Web 应用防火墙控制台,在左侧导航栏中,选择Web 应用防火墙>防护设置,进入防护设置页面。
在防护设置页面,单击负载均衡型,进入负载均衡型防护设置页面,并在域名列表中,单击添加域名,进入域名添加页面。
- 在添加域名页面,填写需要防护域名,填写完成后,单击下一步,进入选择监听器页面。
注意:
填写的域名需要和负载均衡监听器中添加的域名保持一致。
- 在选择监听器页面,选择步骤1:确认负载均衡配置中确认配置的负载均衡和监听器,完成绑定。
- 绑定完成后,在页面下方,单击完成即可返回域名列表。在域名列表可以查看到防护域名wow.qcloudwaf.com和负载均衡的负载均衡 ID、名称、VIP 和监听器信息等。
步骤3:验证测试
确保本地电脑可以正常访问 Web 站点。
在浏览器中输入网址http://wow.qcloudwaf.com/?test=alert(123) 并访问。
注意:
wow.qcloudwaf.com 为本案例中域名,此处需要将域名替换为实际添加的域名。
登录 Web 应用防火墙控制台,在左侧导航栏中,选择日志服务>攻击日志,进入攻击日志查询页面,进行日志查询。
选择添加防护的域名,单击查询。若看到攻击类型为 “XSS 攻击”,说明 WAF 配置已经生效。
说明:
如果域名未配置 DNS,可参见 SaaS 型 WAF 快速入门的步骤2:本地测试进行接入有效性验证。