201703深圳雲棲大會Workshop-雲盾WAF快速入門

目標

• 熟悉Web應用防火牆的架構
• 配置目標站點接入WAF
• 測試精準防護和日誌檢索功能

WAF的接入和防護架構

WAF採用反向代理的接入架構，通過修改防護域名的DNS解析到WAF而將流量牽引到WAF，通過各種防護模組過濾掉惡意流量後，再把正常請求轉發回源站。

配置接入WAF

登入阿里雲控制檯，找到雲盾->Web應用防火牆->域名配置，輸入相關的域名及源站資訊，並點選“新增域名”按鈕：

注意事項：

• 支援配置泛域名，如*.aliyundemo.cn，可以匹配相關的二級域名。當同時配置泛域名和精確域名時，轉發和防護策略匹配順序以精確域名優先
• 如果有HTTPS站點，務必勾選HTTPS，同時建議勾選HTTP，以應對HTTP跳轉等問題，同時需要在稍後上傳源站證書和金鑰（實驗中我們只勾選HTTP）
• 源站IP可以支援最多20個，WAF會做負載均衡和健康檢查，詳情見“源站IP負載均衡”
• 如WAF前面還有CDN、高防等七層代理，務必勾選“是否已使用代理”，這樣才能取到客戶端真實IP，不然看到的都是上一級代理的IP

新增好域名後，會彈出選擇解析方式的彈窗，為了更好的演示接入原理，這裡選擇手動修改：

配置好域名後，WAF會自動分配給當前域名一個CNAME，可點選域名資訊來檢視：

接下來我們登入萬網控制檯，找到對應域名的“域名解析”->“解析設定”，正常情況下會有已經存在的一些解析，如下圖：

接下來需要將記錄型別改成CNAME，記錄值改成WAF控制檯提供的CNAME，如下圖：

開啟日誌檢索

在剛配置好的域名->業務狀態中，找到日誌檢索並開啟：

配置並體驗精準防護規則

精準訪問控制規則允許使用者基於HTTP頭部的各個欄位自由組合各種訪問控制規則：

找到防護域名，點選“防護配置”，進入“精準訪問控制規則”即可配置。您可以自由嘗試各種條件，匹配的內容大小寫不敏感，匹配按照從上到下的優先順序。詳細的配置方式請參考這裡：https://help.aliyun.com/document_detail/42780.html

配置好後一般3分鐘內即可生效，您可以手動構造一些請求來驗證防護效果，如果匹配中攔截，預期訪問會被WAF攔截並彈出405攔截頁面：

同時，您也可以在日誌檢索中看一下攔截的具體請求，以及匹配中訪問控制規則的情況：

以上是基本配置和功能演示，您可以結合自身業務特徵，嘗試更多的防護功能，歡迎隨時與我們交流：https://help.aliyun.com/knowledge_detail/44036.html