云上等保部署要点-WEB应用防火墙和DDOS高防IP
WEB应用防火墙和DDOS高防IP都有两种部署模式。
DDOS高防IP支持网站接入和端口接入:
-
网站接入、一般面向网站提供接入防护,使用CNAME地址重定向方式接入。
-
端口接入、一般面向游戏应用,使用端口映射的方式接入。
-
CNAME接入、同DDOS的网站接入,使用CNAME地址重定向接入。
-
透明接入、在部分地域支持透明接入,服务器在这些地域的情况下可以选择透明接入,但透明接入和CNAME接入模式不能共存,只能选择一种。
DDOS高防IP使用端口方式接入WEB应用无法使用80端口,而且一个端口只能映射一个应用,无法通过域名进行区分复用。WEB应用防火墙假如使用透明模式则只能保护本账号及本地域下的服务器,而WEB应用防火墙和DDOS高防IP通过CNAME接入时不仅支持对部署在阿里云上的应用进行保护,还支持对部署在云下的应用进行防护。
CNAME接入:就是在DNS里将原来系统的域名从A记录修改为CNAME记录,记录值从IP地址修改为一个阿里云智能DNS提供的CNAME地址串,通过这个CNAME地址串,阿里云智能DNS就可以将用户对域名的请求重新调度到提供相关安全服务的地址上去。
这个没有什么“假如”,一定要把DDOS高防IP部署在WEB应用防火墙之前,否则DDOS高防IP就白买了。
假如是对一个正在运行中的系统进行防护,建议先从DDOS高防IP开始部署。
-
完成DDOS高防IP的配置,源站地址填服务器的外网IP,配置完成后将获得DDOS高防的接入CNAME地址串。
-
修改DNS记录为DDOS高防IP的CNAME记录,实现DDOS高防IP接入。
-
完成WEB应用防火墙的配置,WEB应用防火墙的源站同样也是服务器的外网IP,获得WEB应用防火墙的接入CNAME地址串。
-
修改DDOS高防的源站服务器地址,将服务器的IP地址替换为WEB应用防火墙的CNAME地址,从而实现WEB应用防火墙接入。
-
完成WEB应用防火墙的配置,源站填服务器外网IP,获得WEB应用防火墙的接入CNAME地址串。
-
将DNS记录修改为WEB应用防火墙的CNAME记录以验证WEB应用防火墙是否正常工作。
-
完成DDOS高防IP的配置,后端服务器地址填写为WEB应用防火墙的CNAME记录,但此时的DNS记录依然指向的是WEB应用防火墙,因此还需要再修改一次DNS记录。
-
将DNS记录修改为DDOS高防IP的CNAME记录验证DDOS高防IP和WEB应用防火墙的工作是否正常。
这个也没有什么“假如”,在同时部署DDOS高防IP和WEB应用防火墙的情况下,优先使用WEB应用防火墙的CC攻击防御能力。
CC攻击是一种通过大量消耗应用服务器CPU、内存、磁盘处理能力的方式来让应用服务无法正常对外服务的一种攻击方式。
DDOS的端口映射模式不能使用80/443端口,但可以使用8080/8443,而我的建议是尽量不要在端口模式下使用这两个端口。
因为在和WEB应用防火墙配合使用时可以通过网站接入的方式来使用8080/8443 端口,但前提是8080/8443端口没有被映射使用。
当把网站在两个WEB应用防火墙实例之间迁移时,出于维护集群稳定性的考虑,不能直接将网站从一个实例删除后直接加入到另一个实例,在添加实例时会收到有关域名在若干时间的保护期后才能加入的信息,针对这种情况有如下建议:
-
选一个业务维护窗口进行迁移,在迁移期间不提供服务。
-
可以通过工单和服务群申请解除保护期,在保护期被解除后就可以在另一个WEB应用防火墙实例添加网站域名。
-
在切换期间将请求通过DNS接回源站,并祈求老天保佑这个时间不会有人来攻击。
-
在切换期间将请求通过DNS接回源站,在源站将请求重定向到另一个临时域名,并将该域名接入WEB应用防火墙进行防护。
这里必须使用显式的HTTP重定向,而不能使用CNAME。