无CDN场景下的传统架构接入阿里云WAF防火墙的配置实践
文章目录
- 1.配置网站接入WAF防火墙
- 1.1.配置网站接入方式
- 1.2.填写网站的信息
- 1.3.WAF防火墙生成CNAME地址
- 2.配置WAF防火墙HTTPS证书
- 3.修改域名DNS解析记录到WAF防火墙
- 4.验证网站是否接入WAF防火墙
传统架构接入WAF防火墙非常简单,配置完WAF网站接入后,将得到CNAME地址配置在域名DNS解析中即可完成传统架构接入WAF防火墙。
1.配置网站接入WAF防火墙
1.1.配置网站接入方式
点击网站接入—>域名列表—>网站接入。
接入方式为Cname手动接入。
1.2.填写网站的信息
1)填写网站域名:kodcloud.jiangxl.com.cn
2)协议类型勾选HTTP以及HTTPS
3)勾选启用回源SNI与实际请求host保持一致(如果负载均衡器中有多个项目,这一项一定要勾选,跟随源地址转发)
4)服务器地址也就是要保护的地址、数据回源地址,这里填写负载均衡器的地址:47.95.212.251
5)服务器端口号HTTP为80、HTTPS为443
6)负载均衡算法选择轮询
7)WAF前是否有七层代理选择是,WAF前面会有CDN加速器,勾选取X-Forwarded-For中的第一个IP作为客户端源IP。
8)配置完成后点击下一步。
1.3.WAF防火墙生成CNAME地址
配置完WAF网站接入后,在第二步会提供出WAF的CNAME地址,我们要将CNAME地址配置在CDN加速器中,此时先不进行配置。
WAF的CNAME地址:7wciklcupr28znnhkwrghcsgdjahwszt.yundunwaf1.com
紧接着点击下一步完成网站接入WAF防火墙的配置,第三步会提示我们将WAF的地址加入到白名单,避免误拦。
2.配置WAF防火墙HTTPS证书
网站接入WAF时选择了HTTPS协议,此时,需要在WAF防火墙中配置HTTPS证书,否则会无法访问程序。
1)在网站接入中找到kodcloud的网站,在源站信息一列点击上传证书。
2)选择已有证书—>选中网站的域名证书即可
3)证书添加完成。
3.修改域名DNS解析记录到WAF防火墙
在DNS解析中将kodcloud程序的域名解析到WAF防火墙的域名地址。
4.验证网站是否接入WAF防火墙
1)使用ping命令查看域名解析地址
使用ping命令测试网站域名的解析地址发下已经是WAF提供的地址了,成功接入。
2)模拟xss网站攻击
我们来模拟一个xss攻击,在我网站域名后面加上?alert('xss')模拟xss公攻击。
https://kodcloud.jiangxl.com.cn/index.php?alert(%27xss%27)
多访问几次就会出现如下图所示的页面,可以看到异常流量已经被WAF拦截了。
