所有文档

          应用防火墙 WAF

          BLB-WAF概述

          BLB负责对HTTP和HTTPS协议请求的解析和转发,应用防火墙WAF负责在中间提供安全防护功能。需要将创建的WAF实例与同区域BLB实例上的HTTP/HTTPS业务绑定,WAF才能对HTTP/HTTPS业务提供Web防护。

          注意:

          用户在配置BLB WAF时一定要确保购买的BLB和WAF是同一地域。

          创建BLB WAF实例

          1. 登录百度智能云控制台
          2. 登录成功后,选择“产品服务>应用防火墙服务 WAF”,进入BLB WAF 列表页。
          3. 点击『购买WAF实例』按键,选择配置信息:

            参数 说明
            地域 目前,支持华北-北京、华南-广州、华东-苏州,金融华东-上海、香港2区
            支持根域名数 每个WAF实例保护一个主域名
            支持子域名数 套餐默认包括对10个子域名进行保护;根据业务需要,您也可以额外购买更多子域名进行防护。
            支持协议 套餐包括两种协议类型,http和https
            Web安全防护 WAF服务能够自动更新攻击漏洞,包括各种常见Web攻击、0day攻击规则。
            自定义访问规则 通过自定义规则实现对您自己的业务控制和过滤,当前支持对http请求的“来源IP”、“URL地址”、“Referer”字段、“User-Agent”字段等内容的匹配处理。套餐默认支持最大20条自定义规则;如果您需要定制更多自定义规则,请在控制台额外购买。
          4. 选择购买时长和WAF实例个数,点击『下一步』,确认购买信息并支付。
          5. 支付完成后,成功创建WAF实例,返回列表页查看。

          配置BLB

          配置BLB监听

          1. 选择“产品服务>负载均衡BLB”,进入实例列表页面。
          2. 选择需要配置监听的BLB实例,然后在前端协议/端口后端协议/端口栏中,点击配置,进入监听设置详情页面进行配置。
          3. 配置信息填写

            参数| 说明 ----|---- BLB协议【端口】|根据用户实际业务对外服务的协议和端口,选择协议类型为http/https并填写端口。 后端协议【端口】|根据用户实际业务对外服务的协议和端口,选择协议类型为http/https并填写端口。

          4. 其余功能默认既可以,最后点击确定,完成BLB监听的设置。

          BLB添加后端服务器

          1. 选择“产品服务>负载均衡BLB”,进入实例列表页面。
          2. 选择需要配置监听的BLB实例,然后在后端服务器栏中,点击配置,进入后端服务器页面。
          3. 点击添加后端服务器,弹出的菜单栏中,选择需要配置的服务器BCC实例,点击下一步,然后设置服务器权重值,最后点击确认。完成BLB添加后端服务器的操作。

          配置 WAF

          完成WAF的实例购买后,需要对其进行配置,才能够实现WAF的防护能力,配置步骤如下:

          1. 选择“产品服务>应用防火墙服务 WAF”,进入BLB WAF 列表页,点击主域名栏下的配置,进入配置详情页面。
          2. 基本配置填写,填写需要防护的”根域名”、”子域名”,并选择绑定的负载均衡BLB实例。

            只能绑定与WAF实例所在同一区域的BLB实例,仅支持HTTP/HTTPS 协议,如没有符合条件的BLB实例,请前往控制台购买或重新配置BLB实例。

          3. 开启Web防护,选择防护策略等级。

            • 默认开启中级策略集,越严格安全防护效果越好。高级策略集,表示开启严格的防护策略,但可能出现误拦截情况;中级表示具备中和低两种策略集;低级表示防护策略宽松。
            • 每种防护策略都具备『拦截』和『观察』功能,拦截模式发现攻击请求立即阻断;观察模式发现攻击请求立即记录但不拦截。
          4. (可选)开启自定义访问控制,点击『添加』按键,通过自定义规则实现对您自己的业务控制和过滤。

            参数 说明
            名称 自定义访问控制规则名称
            匹配项 http请求的“来源IP”、“URL地址”、“Referer”字段、“User-Agent”字段等内容的匹配处理。
            匹配模式 选择匹配模式:前缀、包含或后缀。
            匹配字符串 输入需要访问控制的字符串。
            执行动作 将字符串列为黑名单或白名单
            模式 拦截:发现攻击请求立即阻断;观察:发现攻击立即记录但不拦截。
          5. 点击『确认生效』,完成绑定BLB操作。

          重新绑定EIP

          为了实现BLB的WAF防护功能,需要将EIP从云服务器BCC上解绑,然后绑定到对应的BLB上。具体步骤如下所示:

          注意: 此步骤中需要解绑EIP,会造成业务的中断,请合理安排此操作时间,降低对线上业务的影响。

          从BCC上解绑EIP

          1. 选择“产品服务>云服务器BCC”,进入BCC实例列表页。
          2. 点击需要解绑EIP的实例名称,进入该实例的实例详情页面。
          3. 配置信息内容中,点击解绑EIP,在弹出的菜单栏中,选择确认,完成EIP从BCC上的解绑操作。

          将EIP绑定到BLB

          1. 选择“产品服务>负载均衡BLB”,进入BLB实例列表页。
          2. 选择需要绑定EIP的BLB实例,点击公网IP/带宽栏中对应的网络符号,进入EIP绑定页面。

          3. 从EIP列表中,选择刚从BCC解绑的EIP,然后点击确定,完成将EIP绑定到BLB上的绑定操作。
          上一篇
          产品定价
          下一篇
          CDN-WAF-概述