如果您的业务接入了火山引擎负载均衡实例,且已为端口添加 TCP 监听,则可以通过负载均衡(CLB )4 层 TCP 方式接入云 WAF 防护。WAF 实例会对经过负载均衡的流量进行旁路检测分析,对攻击流量进行清洗,实现业务转发和安全防护分离。
前提条件
您已创建云 WAF 实例。创建相关操作,请参考创建 WAF 实例。
所需防护域名已备案,且未添加到云 WAF 实例。备案相关操作,请参考备案流程。
您已将防护域名接入 CLB,并设置了 TCP 监听器。关于 TCP 协议监听器的相关配置,可参考创建 TCP 协议监听器。
操作步骤
在顶部菜单栏选择实例所属地域。
在左侧导航选择网站设置,然后单击新建站点。
选择接入方式为负载均衡(CLB 4 层),并配置接入参数。
参数
说明
配置示例
网站配置
防护域名
填写需要接入防护的域名,支持泛域名或精准域名。域名须经过 ICP备案,未备案域名将无法正常添加。
说明
如需同时配置泛域名和域名主体本身,请分别配置。如:需要同时配置
*.b.a.com和b.a.com,需要分别接入域名并配置策略。*.volcwaf001.com所属项目
将防护域名添加至当前账号被授权的项目中。项目管理是火山引擎提供的一种资源管理方式,有利于保持资源独立,维护数据安全。
- 默认跟随其他资源所属项目,例如 CLB 实例、ALB 实例所属项目。
注意
如果选择跟随其他资源所属项目,当项目中资源发生变动时,可能会对业务造成影响。
- 也可以取消跟随其他资源所属项目,关联当前账号授权的项目。主账号可以查看所有项目,切换控制台顶部的所属项目为账号全部资源后,可调整所属项目设置。
- 关于项目和权限管理相关的配置,可参考项目概述。
default(默认项目)
负载均衡与监听器
- 负载均衡实例:在下拉列表中选择可用的负载均衡实例,WAF 会自动匹配配置了 TCP 协议监听器的负载均衡实例。
- 监听器:选择负载均衡实例下的某个 TCP 协议监听器。
- 协议类型:需要接入 WAF 的防护域名所使用的通信协议,可选 HTTP、HTTPS 协议。
说明
最多可以添加 10 个监听器。
- 负载均衡实例:
testwaf clb-**** - 监听器:
TCP-HTTP-80 lsn-**** - 协议类型:
HTTP
证书选择
当协议类型设置为 HTTPS 时,需要选择相关证书。若无适用证书,可单击新建证书上传。
因未启用 HTTPS 协议,故不需要关联证书
协议配置
当协议类型设置为 HTTPS 时,可选择是否开启 HTTP 2.0 和 IPv6 防护。
- HTTP 2.0:开启后支持 HTTP 2.0 协议接入防护,以 HTTP 1.0/1.1 协议转发回源。
- IPv6 防护:开启后支持对 IPv6 客户端请求的防护。
关闭
日志配置
日志采集
选择当前域名的日志服务的启用状态。
- 开启:域名规则创建完成后开始采集该域名产生的日志数据。
- 关闭:域名规则创建完成后不会采集该域名产生的日志数据。
说明
如果需要开启日志服务,需要先完成 WAF 访问日志服务的跨服务授权,让 WAF 服务获取日志采集和存储权限。
开启
记录全量 Header
日志采集的字段分为必选字段和可选字段。在必选日志字段中,
Host、XForwardedFor、Referer和UserAgent属于常见 header 字段。您在接入网站防护时,WAF 默认仅采集这些常见 header 日志字段。- 记录全量 Header:记录流量中的全部 Header 字段。
- 如果您关闭记录全量 Header,则日志仅记录这些常见 Header 字段。
- 如果您开启记录全量 Header,WAF 会记录常见 header 字段和自定义 header 字段。除
Cookie以外,其他自定义 header 字段统一记录在Headers中。
- 例外 Header 字段:指开启记录全量 Header后,为防止日志存储过大,而设置的不需要记录的 Header 字段。
- 统计 Header 字段:设置需要统计、分析和告警的 Header 字段。
关于日志字段的详细说明,可参考日志字段说明。
关闭
记录请求 Body
开启后,WAF 将按照配置的长度上限记录请求的 Body 信息,超出长度的 Body 会被截断。可配置范围:0-128 KB。
注意
记录大量的请求 Body 会占用大量存储空间,需要合理设计日志存储和清理策略。
关闭
记录响应 Body
开启后,WAF 将按照配置的长度上限记录响应的 Body 信息,超出长度的 Body 会被截断。可配置范围:0-128 KB。
注意
记录大量的响应 Body 会占用大量存储空间,需要合理设计日志存储和清理策略。
关闭
接入能力
代理配置
需要配置的网站在接入 WAF 前是否使用了高防、CDN 等七层代理。
- 否:WAF 前没有配置代理,WAF 取与 WAF 建立连接的 IP(取 X-Real-Ip)作为客户端 IP。
- 是:WAF 前配置了代理,表示 WAF 收到的业务请求来自其他七层代理服务转发,而非直接来自发起请求的客户端,需要进一步配置客户端 IP 判定方式。
- X-Forwarded-For 字段获取客户端真实 IP:通过 X-Forwarded-For 字段中第一个公网 IP 地址作为客户端真实 IP 地址。
注意
该方式存在攻击者伪造 X-Forwarded-For 字段的风险。
- 自定义 Header 字段:按匹配字段添加顺序获取客户端 IP 并将其作为客户端真实 IP 。如匹配字段无法获取客户端 IP,则将通过 X-Forwarded-For 字段获取;如 X-Forwarded-For 字段由于伪造非法 IP 无法获取,则取 X-Real-Ip 字段作为客户端 IP。
说明
单实例每域名最多可配置 5 个自定义 Header 字段。
- X-Forwarded-For 字段获取客户端真实 IP:通过 X-Forwarded-For 字段中第一个公网 IP 地址作为客户端真实 IP 地址。
否
长连接
配置客户端与 WAF 之间的长连接限制。
- 长连接保持时间:客户端与 WAF 之间的长连接保持时间。默认为 75 秒,支持配置 0~900 秒。
- 复用长连接请求数:单个已建立的 TCP 连接上可以重复发送多个请求的个数。默认为 100 个,支持配置 60~1000 个。
保持默认:
- 长连接保持时间:75 秒
- 复用长连接请求数:100 个
请求 Body 最大值
可接收客户端请求正文的最大值。默认为 60 MB,支持配置 1~10240 MB。
保持默认:60 MB
回源能力
建立超时时间
WAF 和后端服务器的建连超时时间,建议大于健康检查超时时间。默认为 4 秒,支持配置 4~120 秒。
保持默认:4 秒
写连接超时时间
WAF 将请求传输给后端服务器的超时时间。默认为 60 秒,支持配置 30~3600 秒。
保持默认:60 秒
读连接超时时间
WAF 从后端服务器读取响应的超时时间。默认为 60 秒,支持配置 30~3600 秒。
保持默认:60 秒
回源长连接
WAF 回源时,长连接可复用的个数。默认为 100 个,支持配置 60~1000 个。
保持默认:100 个
回源重试
WAF 回源失败后,可重试的次数。默认为 3 次,支持配置 1~10 次。
保持默认:3 次
空闲长连接超时时间
WAF 与后端服务器建立请求的长连接空闲时间。默认为 15 秒,支持配置 1~60 秒。
保持默认:15 秒
- 默认跟随其他资源所属项目,例如 CLB 实例、ALB 实例所属项目。
单击提交。
域名接入后,您可以在返回页面快捷配置 CC 防护、漏洞防护、API 防护以及 Bot 管理对应的防护策略,或是直接前往防护策略页面,配置自定义策略内容。关于防护策略设置的更多详情,请参见防护策略类型。