首页 >> 帮助中心 >> 阿里云国际 > DDoS原生防护和Web应用防火墙组合使用方案

DDoS原生防护和Web应用防火墙组合使用方案

2026-02-28   访问量:0


本文介绍了为网站类业务同时部署DDoS原生防护和Web应用防火墙的配置方法。该方案适用于为网站业务同时防御四层DDoS攻击和七层Web攻击、CC攻击的场景。

前提条件

  • 已创建ECS实例并部署了业务相关的应用,ECS实例拥有公网IP地址且网站有域名。

    说明

    如果网站用于在中国内地提供服务,则网站域名必须已经完成ICP备案,否则将不能接入中国内地的Web应用防火墙实例进行防护。更多信息,请参见ICP备案流程

  • 已购买DDoS原生防护。更多信息,请参见购买DDoS原生防护实例

    说明

    您在购买原生防护实例时,需要选择资源所在地域。该地域必须与ECS实例一致。

  • 已购买Web应用防火墙3.0。更多信息,请参见购买WAF 3.0包年包月实例

背景信息

为网站类业务开启DDoS原生防护时,如果业务本身除了需要防御DDoS攻击,还需要防御Web攻击、CC攻击,建议您为网站同时开启Web应用防火墙,由Web应用防火墙帮助业务防御常见的Web攻击、CC攻击。关于Web应用防火墙(WAF)的详细介绍,请参见什么是Web应用防火墙

同时使用DDoS原生防护和Web应用防火墙时,您需要先将网站业务接入Web应用防火墙进行防护,然后将WAF实例的IP地址添加为DDoS原生防护实例的防护对象。完成上述部署后,所有业务流量先经过WAF进行安全清洗,攻击流量(包括DDoS攻击、Web攻击、CC攻击)被丢弃,只有正常的业务流量被转发到源站服务器。

操作步骤

登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。在左侧导航栏,单击接入管理,然后在CNAME接入页签单击接入

步骤一:配置监听

  1. 填写域名,仅支持填写一个需防护的域名,包括精确域名(如www.aliyundoc.com)或通配符域名(如*.aliyundoc.com)。

    为确认域名所有权,需完成归属权验证。若填写域名后系统提示需验证,请从以下两种验证方式中任选其一进行验证。

    DNS解析验证

    文件验证

    • 显示验证成功:域名归属权验证完成。

    • 显示验证失败:请按以下步骤排查:

    • 记录类型:选择TXT

    • 主机记录:复制并填写域名的前缀,例如verification

    • 记录值:复制并填写WAF生成的记录值,例如verify_8fca29dec226****

    • DNS解析验证:在域名解析服务商处,手动添加WAF提供的TXT记录。推荐采用此方式。

    • 文件验证:将WAF提供的验证文件上传至域名源站服务器的指定根目录。需具备源站服务器操作权限,并配置安全组策略,允许所有IP访问,以确保WAF可从公网验证该文件。

    • 仅能匹配同级别子域名。例如*.aliyundoc.com能够匹配www.aliyundoc.comexample.aliyundoc.com等,但不能匹配www.example.aliyundoc.com

    • 当通配符应用于二级域名(如*.aliyundoc.com)时,能够匹配二级域名本身(即aliyundoc.com)。

    • 当通配符应用于三级域名(如*.example.aliyundoc.com)时,不能匹配三级域名本身(即example.aliyundoc.com)。

    • 通配符域名匹配规则

    • 优先级规则:当精确域名和通配符域名同时接入,且需防护的域名同时匹配这两者时,系统优先应用精确域名的防护规则。

      1. 检查TXT记录:确保添加的主机记录和记录值与WAF控制台提供的信息完全一致。如有差异,请删除错误记录并重新添加,然后重新验证。

      2. 等待DNS生效:DNS记录配置后可能不会立即生效,生效时间取决于域名服务器中设置的TTL缓存时间。建议等待10分钟后重新验证。

      3. 更换验证方式:如多次尝试仍无法通过验证,建议使用"方法2:文件验证"。

      4. 公网权威解析页面,找到目标主域名,并单击右侧的解析设置

      5. 单击添加记录,填写以下参数后,单击确定。其余未提及参数保持默认即可。

      6. 在验证提示区域,单击方法1:DNS解析验证页签。

      7. 根据WAF控制台提供的记录类型主机记录记录值,在您的域名解析服务商添加TXT记录。

        若使用阿里云云解析DNS,请参考以下步骤操作;若使用其他域名解析服务商,请在其系统中进行类似配置。

      8. 等待TXT解析生效。域名首次配置TXT解析记录后将实时生效,但修改TXT解析记录通常将在10分钟后生效(生效时间取决于域名DNS解析配置的TTL时长,默认为10分钟)。

      9. 返回WAF控制台,单击“点击验证”。

      1. 选择网站协议类型(HTTPHTTPS),并填写相应配置信息,可同时配置两种协议。

        说明

        WAF 共享虚拟主机定制版不支持 HTTPS。

        HTTP

        HTTPS

        HTTP端口

        填写用户访问网站时使用的端口,建议HTTP协议使用80端口。如需自定义端口,支持在端口范围内进行修改,每输入一个端口,按回车确认。

      步骤二:配置转发

      1. 服务器地址区域,根据服务器类型填写源站服务器IP或域名。WAF通过此配置转发正常业务请求至源站服务器。

      2. 确定源站服务器类型后,完成以下配置。

        IP

        域名(如CNAME)

        重要

        如网站对应的源站服务器地址变更,请及时修改此处的服务器地址。

        • 必须为可访问的公网IP地址。

        • 支持填写多个IP地址。每填写一个IP地址,按回车进行确认。最多支持添加20个源站服务器IP。如果填写了多个IP地址,WAF会根据您在负载均衡算法中的配置转发回源请求。

        • 支持配置 IPv4 和 IPv6 地址,可单独或同时配置。如需配置IPv6地址,必须确保在配置监听时,开启IPv6防护。

        • 默认与上一步协议类型中配置的HTTP/HTTPS端口保持一致,支持在端口范围内自定义回源端口,适用于需指定WAF以特定端口回源的场景。

        • 回源端口:即网站使用的端口。用户通过步骤一中配置的HTTP/HTTPS端口访问网站,WAF通过此处的回源端口访问源站服务器。

          image

        • 回源IP:填写源站服务器IP地址。

        • 如需自定义配置负载均衡算法备链路回源HTTP回源回源SNI请求头字段配置流量标记回源超时时间回源重试回源长连接国密HTTPSHTTP2HTTPS强制跳转TLS协议版本HTTPS加密套件WAF前存在七层代理(如CDN)IPv6独享IPWAF集群智能负载均衡等高级配置,请参见进阶配置。若无需自定义,保持其余配置项默认即可,单击提交

        步骤三:切换流量

        WAF控制台完成以上配置后,必须执行以下操作将流量切换至WAF,否则WAF防护将不会生效。

        1. 放行WAF回源IP:若源站服务器上配置了安全组规则、防火墙规则等访问控制策略,或使用了安全狗、云锁等安全软件,则必须在源站服务器设置放行WAF回源IP段,否则WAF回源流量可能被拦截,导致业务中断。

          说明

          建议配置源站服务器放行WAF回源IP段,确保仅有WAF能与源站服务器建立通信,避免攻击者访问源站服务器公网IP,绕过WAF发起攻击。

          1. 在 ECS 实例详情页面,单击安全组 > 安全组列表,选择目标安全组并进入其详情页。

          2. 在安全组详情页的安全组详情 > 入方向下,单击增加规则

          3. 由于安全组规则无法在单条规则中同时包含IPv4IPv6地址,需要分两步操作:

          4. 添加IPv4规则:新建安全组规则面板的访问来源区域,粘贴上一步复制的IP段,并手动删除其中的IPv6地址,将访问目的(本实例)设置为在步骤二中配置的回源端口,其余参数保持默认值,单击提交即可。

          5. 添加IPv6规则:再次单击增加规则,参照上一步添加IPv6地址段,在访问来源区域选择IPv6

          6. 接入完成向导页右上角,单击WAF IP 地址

          7. 回源IP对话框,单击复制,将所有WAF回源IP复制到剪贴板。

            说明

            复制的回源IP段之间以英文逗号(,)分隔。其中包含类似 2408:400a:3c:xxxx::/56 的地址,此类地址属于 IPv6 地址段。

          8. 在服务器防火墙等位置放行以上IP段。例如当源站服务器是阿里云ECS实例时,需要在ECS安全组中放行,更多安全组的操作,请参见添加安全组规则

          1. 本地验证WAF配置正确性:建议在修改域名DNS解析设置前,先通过修改本地hosts文件映射域名进行验证。可防止因配置错误导致业务中断。

            • 如果网站能够正常访问,说明WAF域名配置正确。可以进行下一步的DNS解析修改。

            • 如果网站访问异常,可能说明WAF域名配置错误。建议检查上述配置,修复问题后重新进行本地验证。

            1. 使用记事本打开C:\Windows\System32\drivers\etc\hosts文件,在末尾添加以下记录并保存。

               

              <上一步骤c复制的IP地址> <当前在WAF添加的域名>

            2. 打开cmd,执行ping <当前在WAF添加的域名>命令,若输出的IP地址与添加的IP地址一致,表示hosts修改已生效;否则请执行ipconfig /flushdns刷新DNS缓存后重新执行ping命令。

            3. 打开浏览器,在地址栏输入被防护域名进行访问。

            4. 完成本地验证后,重新修改hosts文件至原始状态。

            5. 接入完成向导页,单击复制CNAME获取WAF提供的CNAME地址。

            6. 打开网络诊断分析,选择网络诊断分析,输入复制的CNAME地址,如xxx.c.yundunwaf2.com,单击立即检测

            7. 复制DNS服务商解析结果IP地址。修改本地计算机hosts文件。

              Windows

              macOS

          2. 修改域名DNS解析:将域名DNS解析指向WAF提供的CNAME地址,以确保域名的Web请求解析到WAF进行安全防护。

            说明

            建议于业务低峰期执行此操作以降低业务影响。

            • 对于同一个主机记录,CNAME解析记录值只能填写一个,需要将其修改为WAF CNAME地址。

            • 同一主机记录下,CNAME记录与A、MX、TXT等其他记录类型存在冲突。需要先删除存在冲突的记录,再添加新的CNAME记录。

              警告

              DNS变更的空窗期内,可能出现部分用户访问中断的情况。因此删除原解析记录后必须立即新增CNAME记录。

            1. 公网权威解析页面,定位到要设置的域名,单击其操作列下的解析设置

            2. 解析设置页面,定位到要设置的主机记录,单击其操作列下的修改。例如接入WAF的域名为www.aliyundoc.com,那么此处需定位到主域名aliyundoc.com下,主机记录为www的条目进行修改。

            3. 编辑记录面板,选择记录类型CNAME,修改记录值WAF提供的CNAME地址,其余设置保持不变。

              修改DNS解析记录时:

            4. 单击确定,完成解析设置修改,等待修改后的DNS解析记录生效。

              说明

              由于DNS解析记录生效需要一定时间,如果修改后网站访问失败,请等待10分钟后刷新页面重新访问。

            5. 接入完成向导页,单击复制CNAME获取WAF提供的CNAME地址。

            6. 将域名的DNS解析地址设置为上一步复制的地址。若域名解析托管在阿里云云解析DNS,请按以下步骤操作;若使用其他服务商的DNS服务,请在其系统中进行类似配置。

          步骤四:添加防护对象

          1. 登录流量安全产品控制台

          2. 在顶部菜单栏左上角处,选择实例所在资源组,地域选择全球

          3. 在左侧导航栏,选择网络安全 > DDoS原生防护 > 防护对象

          4. 单击添加防护对象,在从资产中添加页签的待选择对象区域,选择WAF,将WAF资产移入已选择对象中,单击确定。具体操作,请参见防护对象

          添加防护对象后,WAF实例将享有DDoS原生防护实例的DDoS攻击全力防护能力,在业务遭受DDoS攻击时,自动触发流量清洗,防御DDoS攻击。


          全部类型
          更多>
          阿里云国际 腾讯云国际 亚马逊云 教程中心 安全中心
          热门文章
          更多>