云上等保部署要點-WEB應用防火墻和DDOS高防IP
WEB應用防火墻和DDOS高防IP都有兩種部署模式。
DDOS高防IP支持網站接入和端口接入:
-
網站接入、一般面向網站提供接入防護,使用CNAME地址重定向方式接入。
-
端口接入、一般面向游戲應用,使用端口映射的方式接入。
-
CNAME接入、同DDOS的網站接入,使用CNAME地址重定向接入。
-
透明接入、在部分地域支持透明接入,服務器在這些地域的情況下可以選擇透明接入,但透明接入和CNAME接入模式不能共存,只能選擇一種。
DDOS高防IP使用端口方式接入WEB應用無法使用80端口,而且一個端口只能映射一個應用,無法通過域名進行區分復用。WEB應用防火墻假如使用透明模式則只能保護本賬號及本地域下的服務器,而WEB應用防火墻和DDOS高防IP通過CNAME接入時不僅支持對部署在阿里云上的應用進行保護,還支持對部署在云下的應用進行防護。
CNAME接入:就是在DNS里將原來系統的域名從A記錄修改為CNAME記錄,記錄值從IP地址修改為一個阿里云智能DNS提供的CNAME地址串,通過這個CNAME地址串,阿里云智能DNS就可以將用戶對域名的請求重新調度到提供相關安全服務的地址上去。
這個沒有什么“假如”,一定要把DDOS高防IP部署在WEB應用防火墻之前,否則DDOS高防IP就白買了。
假如是對一個正在運行中的系統進行防護,建議先從DDOS高防IP開始部署。
-
完成DDOS高防IP的配置,源站地址填服務器的外網IP,配置完成后將獲得DDOS高防的接入CNAME地址串。
-
修改DNS記錄為DDOS高防IP的CNAME記錄,實現DDOS高防IP接入。
-
完成WEB應用防火墻的配置,WEB應用防火墻的源站同樣也是服務器的外網IP,獲得WEB應用防火墻的接入CNAME地址串。
-
修改DDOS高防的源站服務器地址,將服務器的IP地址替換為WEB應用防火墻的CNAME地址,從而實現WEB應用防火墻接入。
-
完成WEB應用防火墻的配置,源站填服務器外網IP,獲得WEB應用防火墻的接入CNAME地址串。
-
將DNS記錄修改為WEB應用防火墻的CNAME記錄以驗證WEB應用防火墻是否正常工作。
-
完成DDOS高防IP的配置,后端服務器地址填寫為WEB應用防火墻的CNAME記錄,但此時的DNS記錄依然指向的是WEB應用防火墻,因此還需要再修改一次DNS記錄。
-
將DNS記錄修改為DDOS高防IP的CNAME記錄驗證DDOS高防IP和WEB應用防火墻的工作是否正常。
這個也沒有什么“假如”,在同時部署DDOS高防IP和WEB應用防火墻的情況下,優先使用WEB應用防火墻的CC攻擊防御能力。
CC攻擊是一種通過大量消耗應用服務器CPU、內存、磁盤處理能力的方式來讓應用服務無法正常對外服務的一種攻擊方式。
DDOS的端口映射模式不能使用80/443端口,但可以使用8080/8443,而我的建議是盡量不要在端口模式下使用這兩個端口。
因為在和WEB應用防火墻配合使用時可以通過網站接入的方式來使用8080/8443 端口,但前提是8080/8443端口沒有被映射使用。
當把網站在兩個WEB應用防火墻實例之間遷移時,出于維護集群穩定性的考慮,不能直接將網站從一個實例刪除后直接加入到另一個實例,在添加實例時會收到有關域名在若干時間的保護期后才能加入的信息,針對這種情況有如下建議:
-
選一個業務維護窗口進行遷移,在遷移期間不提供服務。
-
可以通過工單和服務群申請解除保護期,在保護期被解除后就可以在另一個WEB應用防火墻實例添加網站域名。
-
在切換期間將請求通過DNS接回源站,并祈求老天保佑這個時間不會有人來攻擊。
-
在切換期間將請求通過DNS接回源站,在源站將請求重定向到另一個臨時域名,并將該域名接入WEB應用防火墻進行防護。
這里必須使用顯式的HTTP重定向,而不能使用CNAME。
