SaaS型WAF如何接入腾讯云的web应用防火墙
步骤 1:域名添加
使用 Web 应用防火墙(WAF)防护您的 Web 业务前,需要先将防护的网站接入到 Web 应用防火墙。未完成接入前,您的 Web 应用防火墙防护将无法生效。本文档将指导您如何在 SaaS 型 WAF 中接入域名。
- 登录 Web 应用防火墙控制台,在左侧导航栏中,选择资产中心 > 域名列表,进入域名列表页面。
- 在域名列表页面,单击添加域名,进入添加域名页面。
- 在添加域名页面,配置相关基础参数。
字段说明
- 所属实例:选择 SaaS 型,在右侧选择所需实例。
- 域名:在域名输入框中添加需要防护的域名
saas.technicalsupport.cn
。 - 服务器配置:协议和端口可按实际情况选择。更多端口添加请参见 接入相关端口。
- 选择 HTTP 协议,输入端口。
- 选择 HTTPS 协议,输入端口后需要配置关联证书、HTTPS 强制跳转和 HTTPS 回源方式。
- 关联证书:单击关联证书,根据需求选择腾讯云托管证书或自有证书。
- HTTPS 强制跳转:如需开启 HTTPS 强跳,需同时勾选 HTTP 和 HTTPS 访问协议。
- HTTPS 回源方式:HTTP 或 HTTPS。
说明:
选择 HTTP 时可以指定回源端口。选择 HTTPS 暂不支持指定回源端口,端口和对外开放端口一致。
- 代理情况:根据实际情况选择是否已使用了高防、CDN、云加速等代理。
说明:
选择“是” ,WAF 将通过 XFF 字段获取客户真实 IP 地址作为源地址,勾选可能存在源 IP 被伪造的风险。
- 源站地址:根据实际需求选择 IP 或域名。
- IP:请输入源站IPv4或v6地址,用回车分隔多个IP,最多支持输入20个。
- 域名:请输入源站域名,注意:源站域名不能和防护域名相同。
- 加权回源:当源站地址设置多 IP 回源时。可以选择加权回源方式。
- 负载均衡策略: 默认为轮询方式,可根据实际需求选择轮询或 IP Hash。
- 配置完基础参数后,可根据需求配置高级参数,单击确定保存。
字段说明
- 回源连接方式:默认使用长连接回源,请确认源站是否支持长连接,若不支持,即使设置长连接,也会使用短连接。
- 开启 HTTP2.0:请确保您的源站支持并开启了 HTTP2.0,否则,即使配置开启2.0也将降级1.1。
- 开启 Websocket:如果您的网站使用了 Websocket,建议您选择是。
- 开启 AnyCastIP:当前账户下同一地域的所有实例使用同一个 AnyCastIP。
- 完成配置后,可在域名列表看到刚刚添加的域名。当前界面显示未配置 CNAME 记录,需要 本地验证测试 后,再 修改 DNS 解析。
说明:
Web 应用防火墙将会为每个添加到 Web 应用防火墙的域名(不区分一级域名和二级域名)分配一个唯一的 CNAME。
步骤 2:本地测试
本地机器访问网站需要做 DNS 解析,在这之前会优先从本地 hosts 文件中获取目标域名对应的 IP 地址。所以可以用修改 hosts 文件的方式把本地的访问流量导向 Web 应用防火墙,从而测试经过 Web 应用防火墙访问 Web 站点的线路连通性,避免直接修改 DNS 解析记录,影响到公网用户对站点的访问。
- 登录 Web 应用防火墙控制台,在左侧导航栏中,选择资产中心 > 域名列表,在域名列表中查看
saas.technicalsupport.cn
的 CNAME 地址。如需要获取对应域名的 VIP 地址,可通过 ping 该 CNAME 地址获取。
i. 在 Windows 操作系统中,打开 cmd 命令行工具。
ii. 执行以下命令:ping <已复制的 WAF CNAME 地址>
。iii. 在 ping 命令的返回结果中,记录域名对应的 WAF IP 地址,即为后续操作需要的 VIP 地址。
- 修改 hosts 文件。
- 在 Windows 下修改
C:\Windows\System32\drivers\etc\hosts
,增加条目。
格式:VIP 地址+接入 Web 应用防火墙的域名。说明:
本文中的1.1.1.1为测试地址,实际使用中此处应为 VIP 地址。
- 在 Windows 下修改
- 在 Linux 下 修改/etc/hosts,增加条目。
格式:VIP 地址+接入 Web 应用防火墙的域名。 - 访问测试
在本地电脑上访问 Web 站点,若站点能够正常打开,说明 Web 应用防火墙访问 Web 源站的线路连通性正常。
i. 在浏览器中输入下面的网址并访问。http:// saas.technicalsupport.cn/?test=alert(123)
ii. 浏览器返回阻断页面,说明 Web 应用防火墙防护功能正常。
说明:
该拦截页面,可以通过访问: Web应用防火墙(WAF)默认提示页面 获取。
步骤 3:修改 DNS 解析
为了使公网用户访问网站的流量经过 Web 应用防火墙的防护,需要修改 DNS 的解析记录。下面以在腾讯云 DNS 解析 DNSPod 上修改测试站点 waf.qcloudwaf.com
的 DNS 解析为例,说明配置步骤。
- 登录 DNS 解析 DNSPod 控制台,在左侧导航栏中,单击我的域名,找到需要接入 Web 应用防火墙的域名
.technicalsupport.cn
,单击解析进入解析配置界面。 - 单击添加记录。
- 在当前配置页面中填写相应信息。
- 主机记录填写对应网站的主机记录,本例中需要防护的是
saas.technicalsupport.cn
,即填写 saas 。 - 记录类型选择 CNAME。
- 记录值填写 Web 应用防火墙分配的 CNAME 域名,分配的 CNAME 域名样式为:
xxxx.qcloudcjgj.com
。 - 填写完毕后, 单击保存。
- 主机记录填写对应网站的主机记录,本例中需要防护的是
- 修改完成之后,待 DNS 记录生效,Web 应用防火墙即可对访问网站的流量进行防护了。同时,Web 应用防火墙检测到被防护域名解析正常之后,Web 应用防火墙控制台 上将提示 “正常防护”。
说明:
DNS 记录生效需要10分钟左右时间。
步骤 4:设置安全组
安全组是腾讯云提供的实例级别防火墙,可对任意云服务器进行入或出流量控制。在安全组中设置仅允许来自 Web 应用防火墙的流量访问网站,可避免攻击者绕过 Web 应用防火墙直接攻击网站源站。
下面以在安全组中放行 Web 应用防火墙的回源 IP 111.230.27.90 为例,说明配置过程。
注意:
回源 IP 可在 Web 应用防火墙控制台的 域名列表 中查看 。
- 登录 云服务器控制台,在左侧目录中,单击安全组。
- 进入安全组页面,单击新建,根据要求填写信息,模板选择自定义,输入安全组的名称(例如 my-security-group),填写相关备注,填写完成后,单击确定。
- 在安全组列表中,找到刚才新建的安全组,单击其 ID 进入详情页。
- 在入站规则页面中,单击添加规则。
- 在弹出框中填写相关信息,类型选择 “HTTP(80)” ,来源中填写需要放行的回源 IP,根据需求填写端口及策略,填写完毕后,单击完成。
- 单击选项卡中的关联实例,在云服务器页面下,单击新增关联。
- 在弹出框中选择需要绑定的云服务器,单击确定即可。
或者您还可以进入 云服务器列表页,查看或修改某云服务器已绑定的安全组,在列表页选择需要调整安全组的云服务器 ID,在右侧操作栏,选择更多 > 安全组 > 配置安全组,选择安全组进行绑定。
SaaS型WAF如何接入腾讯云的web应用防火墙相关推荐
- 微信公众号HTML5接入腾讯云人脸核身
微信公众号HTML5接入腾讯云人脸核身 概述 接入流程 原生H5对行业的要求 概述 针对微信公众号接入腾讯云,腾讯云提供了两种方案,一种是通用H5接入,另外一种是通过微信的原生H5来接入,但是一般都是 ...
- 骐俊CAT1模组 - MQTT接入腾讯云平台篇
本次实验使用骐俊ML110S系列模组及开发底板,通过MQTT协议采用密钥的方式接入腾讯云平台,实现消息的发布及订阅,可分为接入注册及动态注册两种方式. 设备注册(接入注册) A.进入腾讯云平台注册 ...
- LR1110接入腾讯云
LR1110接入腾讯云 前言 第一章 网关介绍 第二章 定位原理 第三章 平台搭建 固件烧录 腾讯云平台搭建 创建LoRa网关 LR1110设备创建 位置服务 前言 随着物联网的进步,位置信息作为一个 ...
- ESP32接入腾讯云物联网开发平台
文章目录 前言 1 资料参考 2 对接总体思路 3 代码移植 3.1 component qcloud_iot 3.2 项目顶层处理 3.3 component main 4 移植问题备忘 CMake ...
- Android 快速接入腾讯云人脸核身(识别)
Android 通过 SDK 快速接入腾讯云人脸核身 我的接入代码:https://blog.csdn.net/qq_39836064/article/details/108702725,很久之前写的 ...
- RAK7258 LoRaWAN 网关接入腾讯云物联网开发平台
文章目录 前言 1 控制台操作 LoRa 网关 2 RAK 7258 LoRa网关实物操作 连接配置 网络配置 LoRa参数配置 网关上线确认 END 前言 这篇笔记记录采用 RAK7258 LoRa ...
- 接入腾讯云短信(免费+个人开发者)
接入腾讯云短信 前言 以下全是自己个人自己实验 肯定一点肯定免费试用100条短信 肯定两点不需要什么营业执照啥的,只需要自己免费申请公众号即可 1.注册微信公众号 https://mp.weixin. ...
- Esp32快速接入腾讯云之智能冷空调扇实例
目录 1. 前言 2. 硬件准备及改装 2.1 硬件准备 2.2 硬件改装 2.3 外挂电源 3. 在腾讯云平台上创建产品 3.1 登录腾讯云 3.2 新建项目 3.3 新建产品 3.4 新建设备 ...
- FLY攻略之第二回: 接入腾讯云短信服务 实现手机验证注册
接入腾讯云短信服务 实现手机验证注册 上回说到 ,完成了security的接入和登录功能,但是在准备登录尝试security的强大时发现,还没有完成注册功能,根本没有账号提供登录,那么这回,就实现手机 ...
最新文章
- 微软亚洲研究院副院长刘铁岩:以计算之矛攻新冠之盾
- tensorrt 低精度推理
- Android移动开发之【Android实战项目】剑走偏锋-得会导入别人的Android Studio项目!
- C# Excel 导入
- OpenCV在Python上的调用( import cv2的解决办法)
- lda主题词评论python_Python之酒店评论主题提取LDA主题模型
- ZooKeeper(二) idea中使用Java操作zookeeper
- idea创建gredle项目jar包无法导入
- selenium上传附件(借助AutoIt识别Windows上传窗口)
- 电脑常用快捷键的使用
- 通信upf是什么意思_upf50+是什么意思 upf50+的防护级别(防紫外线)
- Java使用当前日期加四位数实现每日自增单号工具类
- Win10 使用黑屏重置键 解决 黑屏问题
- Nat. Rev. Genet. | 通过可解释人工智能从深度学习中获得遗传学见解
- Cypress系列(50)- wrap() 命令详解
- php mysql ssl 连接_Mysql 中的SSL 连接
- VMware安装win10反复出现 BootManager,vmware无法安装win10,无法引导
- 【R语言】必学包之plyr包
- Gurobi求解运输问题
- 学校计算机教室 计划总结怎么写,学年度第一学期信息技术教学工作小结