BLB-WAF概述

更新时间：2024-07-09

BLB负责对HTTP和HTTPS协议请求的解析和转发，应用防火墙WAF负责在中间提供安全防护功能。需要将创建的WAF实例与同区域BLB实例上的HTTP／HTTPS业务绑定，WAF才能对HTTP／HTTPS业务提供Web防护。

注意：

用户在配置BLB WAF时一定要确保购买的BLB和WAF是同一地域。

创建BLB WAF实例

点击『购买WAF实例』按键，选择配置信息：

参数	说明
地域	目前，支持华北－北京、华南－广州、香港、华东－苏州，金融华东－上海、华北－保定、华中－武汉
支持根域名数	每个WAF实例保护一个主域名(每个WAF实例只可以绑定一个BLB实例)
支持子域名数	套餐默认包括对10个子域名进行保护；根据业务需要，您也可以额外购买更多子域名进行防护。
支持协议	套餐包括两种协议类型，http和https
Web安全防护	WAF服务能够自动更新攻击漏洞，包括各种常见Web攻击、0day攻击规则。
自定义访问规则	通过自定义规则实现对您自己的业务控制和过滤，当前支持对http请求的“来源IP”、“URL地址”、“Referer”字段、“User-Agent”字段等内容的匹配处理。套餐默认支持最大20条自定义规则；如果您需要定制更多自定义规则，请在控制台额外购买。

选择“产品服务>负载均衡BLB”，进入实例列表页面。
选择需要配置监听的BLB实例，然后在前端协议/端口或后端协议/端口栏中，点击配置，进入监听设置详情页面进行配置。
配置信息填写

参数| 说明 ----|---- BLB协议【端口】|根据用户实际业务对外服务的协议和端口，选择协议类型为http/https并填写端口。后端协议【端口】|根据用户实际业务对外服务的协议和端口，选择协议类型为http/https并填写端口。
其余功能默认既可以，最后点击确定，完成BLB监听的设置。

选择“产品服务>负载均衡BLB”，进入实例列表页面。
选择需要配置监听的BLB实例，然后在后端服务器栏中，点击配置，进入后端服务器页面。
点击添加后端服务器，弹出的菜单栏中，选择需要配置的服务器BCC实例，点击下一步，然后设置服务器权重值，最后点击确认。完成BLB添加后端服务器的操作。

完成WAF的实例购买后，需要对其进行配置，才能够实现WAF的防护能力，配置步骤如下：

选择“产品服务>应用防火墙服务 WAF”，进入BLB WAF 列表页，点击主域名栏下的配置，进入配置详情页面。
基本配置填写，填写需要防护的”根域名”、”子域名”，并选择绑定的负载均衡BLB实例。

只能绑定与WAF实例所在同一区域的BLB实例，仅支持HTTP/HTTPS 协议，如没有符合条件的BLB实例，请前往控制台购买或重新配置BLB实例。
开启Web防护，选择防护策略等级。
- 默认开启中级策略集，越严格安全防护效果越好。高级策略集，表示开启严格的防护策略，但可能出现误拦截情况；中级表示具备中和低两种策略集；低级表示防护策略宽松。
- 每种防护策略都具备『拦截』和『观察』功能，拦截模式发现攻击请求立即阻断；观察模式发现攻击请求立即记录但不拦截。

（可选）开启自定义访问控制，点击『添加』按键，通过自定义规则实现对您自己的业务控制和过滤。

参数	说明
名称	自定义访问控制规则名称
匹配项	http请求的“来源IP”、“URL地址”、“Referer”字段、“User-Agent”字段等内容的匹配处理。
匹配模式	选择匹配模式：前缀、包含或后缀。
匹配字符串	输入需要访问控制的字符串。
执行动作	将字符串列为黑名单或白名单
模式	拦截：发现攻击请求立即阻断；观察：发现攻击立即记录但不拦截。

为了实现BLB的WAF防护功能，需要将EIP从云服务器BCC上解绑，然后绑定到对应的BLB上。具体步骤如下所示：

注意： 此步骤中需要解绑EIP，会造成业务的中断，请合理安排此操作时间，降低对线上业务的影响。