You need to enable JavaScript to run this app.
导航
Web应用防火墙
  • 文档首页
    • /Web应用防火墙/用户指南/网站设置/负载均衡监听器接入/通过负载均衡(CLB)7 层监听器方式接入
通过负载均衡(CLB)7 层监听器方式接入
最近更新时间:2025.02.19 19:35:13首次发布时间:2024.01.26 11:09:11
我的收藏

如果您的业务接入了火山引擎负载均衡实例,且已为端口添加 HTTP 或 HTTPS 监听,则可以通过负载均衡(CLB) 7 层方式接入云 WAF 防护。WAF 实例会对经过负载均衡的流量进行旁路检测分析,对攻击流量进行清洗,实现业务转发和安全防护分离。

前提条件

  • 您已创建云 WAF 实例。创建相关操作,请参考创建 WAF 实例

  • 所需防护域名已备案,且未添加到云 WAF 实例。备案相关操作,请参考备案流程

  • 您已将防护域名接入 CLB,并设置了 HTTP 或 HTTPS 监听器和转发规则。关于转发规则的相关配置,可参考创建转发规则

操作步骤

  1. 登录火山引擎 Web 应用防火墙控制台

  2. 在顶部菜单栏选择实例所属地域。

  3. 在左侧导航选择网站设置,然后单击新建站点

  4. 选择接入方式为负载均衡(CLB 7 层),并配置接入参数。
    Image

    参数

    说明

    配置示例

    网站配置

    防护域名

    填写需要接入防护的域名,支持泛域名或精准域名。域名须经过 ICP备案,未备案域名将无法正常添加。

    说明

    如需同时配置泛域名和域名主体本身,请分别配置。如:需要同时配置*.b.a.comb.a.com,需要分别接入域名并配置策略。

    *.volcwaf001.com

    所属项目

    将防护域名添加至当前账号被授权的项目中。项目管理是火山引擎提供的一种资源管理方式,有利于保持资源独立,维护数据安全。

    • 默认跟随其他资源所属项目,例如 CLB 实例、ALB 实例所属项目。

      注意

      如果选择跟随其他资源所属项目,当项目中资源发生变动时,可能会对业务造成影响。

    • 也可以取消跟随其他资源所属项目,关联当前账号授权的项目。主账号可以查看所有项目,切换控制台顶部的所属项目为账号全部资源后,可调整所属项目设置。
    • 关于项目和权限管理相关的配置,可参考项目概述

    default(默认项目)

    负载均衡与监听器

    在下拉列表中选择可用的监听器,WAF 会根据您配置的应用型负载均衡转发规则匹配对应域名的监听器信息。

    说明

    如无可选项,请确认输入的防护域名是否已经配置了对应的转发规则。

    testwaf-HTTP-80 lsn-****

    说明

    • testwaf为负载均衡实例名称。
    • HTTP-80为监听器名称。
    • lsn-**** 为监听器 ID。

    日志配置

    日志采集

    选择当前域名的日志服务的启用状态。

    • 开启:域名规则创建完成后开始采集该域名产生的日志数据。
    • 关闭:域名规则创建完成后不会采集该域名产生的日志数据。

    说明

    如果需要开启日志服务,需要先完成 WAF 访问日志服务的跨服务授权,让 WAF 服务获取日志采集和存储权限。

    开启

    记录全量 Header

    日志采集的字段分为必选字段和可选字段。在必选日志字段中,HostXForwardedForRefererUserAgent属于常见 header 字段。您在接入网站防护时,WAF 默认仅采集这些常见 header 日志字段。

    • 记录全量 Header:记录流量中的全部 Header 字段。
      • 如果您关闭记录全量 Header,则日志仅记录这些常见 Header 字段。
      • 如果您开启记录全量 Header,WAF 会记录常见 header 字段和自定义 header 字段。除Cookie以外,其他自定义 header 字段统一记录在Headers中。
    • 例外 Header 字段:指开启记录全量 Header后,为防止日志存储过大,而设置的不需要记录的 Header 字段。
    • 统计 Header 字段:设置需要统计、分析和告警的 Header 字段。

    关于日志字段的详细说明,可参考日志字段说明

    关闭

    接入能力

    代理配置

    需要配置的网站在接入 WAF 前是否使用了高防、CDN 等七层代理。

    • :WAF 前没有配置代理,WAF 取与 WAF 建立连接的 IP(取 X-Real-Ip)作为客户端 IP。
    • :WAF 前配置了代理,表示 WAF 收到的业务请求来自其他七层代理服务转发,而非直接来自发起请求的客户端,需要进一步配置客户端 IP 判定方式。
      • X-Forwarded-For:通过 X-Forwarded-For 字段中第一个公网 IP 地址作为客户端真实 IP 地址。

        注意

        该方式存在攻击者伪造 X-Forwarded-For 字段的风险。

      • 自定义 Header:按匹配字段添加顺序获取客户端 IP 并将其作为客户端真实 IP 。如匹配字段无法获取客户端 IP,则将通过 X-Forwarded-For 字段获取;如 X-Forwarded-For 字段由于伪造非法 IP 无法获取,则取 X-Real-Ip 字段作为客户端 IP。

        说明

        单实例每域名最多可配置 5 个自定义 Header 字段。

  5. 单击提交
    域名接入后,您可以在返回页面快捷配置 CC 防护、漏洞防护、API 防护以及 Bot 管理对应的防护策略,或是直接前往防护策略页面,配置自定义策略内容。关于防护策略设置的更多详情,请参见防护策略类型