备案 登录控制台 免费注册
文档中心 > 快速入门
快速入门

最近更新时间:2021-10-28

步骤1:购买Web应用防火墙

步骤2:添加防护域名

步骤3:开启云防御

步骤4:添加回源IP至白名单


本指南引导您快速开启Web应用防火墙防护,开启防护后,可防护常见的Web安全问题。


步骤1:购买Web应用防火墙

  1. 登录紫光云控制台,在控制台中选择“产品与服务 > 安全 > Web应用防火墙”。

  2. 单击“立即购买”,进入购买页面,选择服务版本、防护主域名以及购买时长。

    Web应用防火墙提供了迷你版、基础版、标准版、企业版和旗舰版五种服务版本,版本级别越高,防护级别越高,支持添加的防护域名越多。详细说明请参考“1.2产品列表”。

  3. 单击“立即购买”。

  4. 再确认订单页面,勾选服务协议,单击“去支付”。

  5. 选择一种支付方式,单击“支付”。

  6. 购买完成后,返回实例列表页面,可以查看到已购买的实例。


步骤2:添加防护域名

Web应用防火墙是基于网站域名来进行防御的,因此需要首先添加域名,将待保护的域名记录到紫光云防护平台中,才可获得防御服务。

操作步骤

  1. 在Web应用防火墙实例列表页面,单击页面右上方的“前往Web应用防火墙控制台”,进入Web应用防火墙控制台页面。

  2. 选择页面上方的“云防御”页签。

  3. 在左侧导航栏中,依次选择“域名管理 > 添加云防御”。

  4. 选择其中一种方式,单击“下一步”。此处以选择“HTTP(S)网站防御”为例。

    • HTTP(S)网站防御:基于域名接入进行防御,适用于一般的HTTP或HTTPS网站。

    • TCP端口转发防御:基于端口转发进行防御,适用于基于TCP连接的服务,例如游戏等。

    步骤2-4.png

  5. 输入域名,单击“添加域名”,进入域名记录配置页面。

    步骤2-5.png


  6. 将需要防御的域名记录,添加到紫光云记录中。

    添加时,为确保域名记录添加正确,应参考原DNS服务商管理配置记录。

    当前支持cname和ns方式切入,推荐cname域名接入方式。 

  7. 添加所填域名的A记录值。若未扫描出域名下的A记录值,需要您进行手动添加。

    参数说明如下。

    • 主机记录:填写需要保护的记录,如www,news,blog等主机记录。

    • 线路类型:选择默认,紫光云系统会自动匹配。

    • 记录值:即主机记录的源IP地址。

    步骤2-7.png

     

  8. 主机记录配置完成后,单击“确认记录,下一步”。

  9. 前往DNS域名服务商,更改所防护域名的cname值。修改方法请参考“修改DNS域名服务商的接入域名(以CNAME方式为例)”。

  10. 更改完成后,单击“已修改cname值,下一步”。

    步骤2-10.png

     

  11. 确认域名信息后,单击“完成切入向导”完成域名的添加。

    步骤2-11.png 

    12. 说明:

    • 对于使用SSL证书安全访问的https域名记录,可通过上传证书,关联域名记录进配置,证书下发到防御节点,即可满足终端用户-紫光云节点-源站认证访问。

    • 关于域名审核,域名添加后,具有备案符合紫光云审核要求的网站即可通过审核。无备案(未取得ICP备案号的网站)及违反国家相关法规的网站,即色情、私服、反动及包含违法内容和未备案的网站,均无法通过审核。 


  12. 进入“域名管理 > 管理域名记录”界面,等待审核。审核通过后即可接入。


步骤3:开启云防御

  1. 域名审核通过后,选择“云防御”页签。

  2. 在左侧导航栏中,依次选择“攻击防御 > 开关域名服务”。

  3. 如果页面提示“DDoS服务已关闭”,请单击提示后的开关,打开DDoS服务。

    4. 步骤3-3.png 

    说明

    WAF服务的牵引需要依赖DDoS防御的高防IP,所以DDoS防御开关需要打开,但是不提供DDoS防御服务。

    关闭云防御服务后,域名记录解析将回源到源站,访问流量将不再经过紫光云云端节点。

     

  4. (可选)开启CC防御。

    5. (1)  在开关域名服务页面,选择“CC防御选项”页签,单击开启按钮开启CC防御。

    (2)  单击“高级配置”,配置CC防御的访问验证图片和防御触发选项。

    设置触发CC防御的阈值,包括回源并发连接数及QPS数,当访问连接达到设置的阈值,即开始CC防御进行验证码验证,可定制验证图片及弹出提示信息内容。

    步骤3-4.png

     

  5. (可选)配置内容缓存。

    6. 紫光云端节点缓存网站静态内容,以提高访问响应速度。

    (1)  在开关域名服务页面,选择“内容缓存”页签,单击开启按钮开启内容缓存功能。

    (2)  单击“高级配置”,配置内容缓存选项,包括设置不缓存的URL、静态资源缓存时间及类型设置等。

    步骤3-5.png

     

  6. (可选)配置访问控制策略。

    7. (1)  在开关域名服务页面,选择“访问控制策略”页签,单击开启按钮开启访问控制策略。

    (2)  单击“高级配置”,进入配置过滤规则和URL保护规则配置页面。

    步骤3-6-2.png

     

    (3)  添加访问过滤规则:选择“基础过滤规则”页签,单击“添加基本过滤规则”。

    支持针对IP、URL、Referer及User-agent进行访问规则设置。

    步骤3-6-3.png

     

    (4)  添加URL保护规则:选择“URL保护规则”页签,单击“”。


步骤4:添加回源IP至白名单

在配置完转发规则后,需将以下回源IP加入各安全产品(例如安全组、主机安全、防火墙等)的IP白名单,以免对由于配置问题导致业务阻断:

  • 117.34.109.63 ~ 117.34.109.64

  • 123.138.155.6 ~ 123.138.155.7

  • 183.131.157.230 ~ 183.131.157.233

  • 115.238.186.121 ~ 115.238.186.124

  • 27.148.205.247 ~ 27.148.205.249

  • 183.136.132.28 ~ 183.136.132.29

  • 183.136.132.43 ~ 183.136.132.46

  • 123.138.66.16 ~ 123.138.66.17

  • 117.25.139.52 ~ 17.25.139.60