云上等保部署要點(diǎn)-WEB應(yīng)用防火墻和DDOS高防IP
WEB應(yīng)用防火墻和DDOS高防IP都有兩種部署模式。
DDOS高防IP支持網(wǎng)站接入和端口接入:
-
網(wǎng)站接入、一般面向網(wǎng)站提供接入防護(hù),使用CNAME地址重定向方式接入。
-
端口接入、一般面向游戲應(yīng)用,使用端口映射的方式接入。
-
CNAME接入、同DDOS的網(wǎng)站接入,使用CNAME地址重定向接入。
-
透明接入、在部分地域支持透明接入,服務(wù)器在這些地域的情況下可以選擇透明接入,但透明接入和CNAME接入模式不能共存,只能選擇一種。
DDOS高防IP使用端口方式接入WEB應(yīng)用無(wú)法使用80端口,而且一個(gè)端口只能映射一個(gè)應(yīng)用,無(wú)法通過(guò)域名進(jìn)行區(qū)分復(fù)用。WEB應(yīng)用防火墻假如使用透明模式則只能保護(hù)本賬號(hào)及本地域下的服務(wù)器,而WEB應(yīng)用防火墻和DDOS高防IP通過(guò)CNAME接入時(shí)不僅支持對(duì)部署在阿里云上的應(yīng)用進(jìn)行保護(hù),還支持對(duì)部署在云下的應(yīng)用進(jìn)行防護(hù)。
CNAME接入:就是在DNS里將原來(lái)系統(tǒng)的域名從A記錄修改為CNAME記錄,記錄值從IP地址修改為一個(gè)阿里云智能DNS提供的CNAME地址串,通過(guò)這個(gè)CNAME地址串,阿里云智能DNS就可以將用戶對(duì)域名的請(qǐng)求重新調(diào)度到提供相關(guān)安全服務(wù)的地址上去。
這個(gè)沒(méi)有什么“假如”,一定要把DDOS高防IP部署在WEB應(yīng)用防火墻之前,否則DDOS高防IP就白買了。
假如是對(duì)一個(gè)正在運(yùn)行中的系統(tǒng)進(jìn)行防護(hù),建議先從DDOS高防IP開始部署。
-
完成DDOS高防IP的配置,源站地址填服務(wù)器的外網(wǎng)IP,配置完成后將獲得DDOS高防的接入CNAME地址串。
-
修改DNS記錄為DDOS高防IP的CNAME記錄,實(shí)現(xiàn)DDOS高防IP接入。
-
完成WEB應(yīng)用防火墻的配置,WEB應(yīng)用防火墻的源站同樣也是服務(wù)器的外網(wǎng)IP,獲得WEB應(yīng)用防火墻的接入CNAME地址串。
-
修改DDOS高防的源站服務(wù)器地址,將服務(wù)器的IP地址替換為WEB應(yīng)用防火墻的CNAME地址,從而實(shí)現(xiàn)WEB應(yīng)用防火墻接入。
-
完成WEB應(yīng)用防火墻的配置,源站填服務(wù)器外網(wǎng)IP,獲得WEB應(yīng)用防火墻的接入CNAME地址串。
-
將DNS記錄修改為WEB應(yīng)用防火墻的CNAME記錄以驗(yàn)證WEB應(yīng)用防火墻是否正常工作。
-
完成DDOS高防IP的配置,后端服務(wù)器地址填寫為WEB應(yīng)用防火墻的CNAME記錄,但此時(shí)的DNS記錄依然指向的是WEB應(yīng)用防火墻,因此還需要再修改一次DNS記錄。
-
將DNS記錄修改為DDOS高防IP的CNAME記錄驗(yàn)證DDOS高防IP和WEB應(yīng)用防火墻的工作是否正常。
這個(gè)也沒(méi)有什么“假如”,在同時(shí)部署DDOS高防IP和WEB應(yīng)用防火墻的情況下,優(yōu)先使用WEB應(yīng)用防火墻的CC攻擊防御能力。
CC攻擊是一種通過(guò)大量消耗應(yīng)用服務(wù)器CPU、內(nèi)存、磁盤處理能力的方式來(lái)讓應(yīng)用服務(wù)無(wú)法正常對(duì)外服務(wù)的一種攻擊方式。
DDOS的端口映射模式不能使用80/443端口,但可以使用8080/8443,而我的建議是盡量不要在端口模式下使用這兩個(gè)端口。
因?yàn)樵诤蚖EB應(yīng)用防火墻配合使用時(shí)可以通過(guò)網(wǎng)站接入的方式來(lái)使用8080/8443 端口,但前提是8080/8443端口沒(méi)有被映射使用。
當(dāng)把網(wǎng)站在兩個(gè)WEB應(yīng)用防火墻實(shí)例之間遷移時(shí),出于維護(hù)集群穩(wěn)定性的考慮,不能直接將網(wǎng)站從一個(gè)實(shí)例刪除后直接加入到另一個(gè)實(shí)例,在添加實(shí)例時(shí)會(huì)收到有關(guān)域名在若干時(shí)間的保護(hù)期后才能加入的信息,針對(duì)這種情況有如下建議:
-
選一個(gè)業(yè)務(wù)維護(hù)窗口進(jìn)行遷移,在遷移期間不提供服務(wù)。
-
可以通過(guò)工單和服務(wù)群申請(qǐng)解除保護(hù)期,在保護(hù)期被解除后就可以在另一個(gè)WEB應(yīng)用防火墻實(shí)例添加網(wǎng)站域名。
-
在切換期間將請(qǐng)求通過(guò)DNS接回源站,并祈求老天保佑這個(gè)時(shí)間不會(huì)有人來(lái)攻擊。
-
在切換期間將請(qǐng)求通過(guò)DNS接回源站,在源站將請(qǐng)求重定向到另一個(gè)臨時(shí)域名,并將該域名接入WEB應(yīng)用防火墻進(jìn)行防護(hù)。
這里必須使用顯式的HTTP重定向,而不能使用CNAME。