如果您的业务接入了火山引擎负载均衡实例,且已为端口添加 TCP 监听,则可以通过负载均衡(CLB 4 层 TCP)方式接入防护。大模型应用防火墙会对经过负载均衡的流量进行旁路检测分析,对攻击流量进行清洗,实现业务转发和安全防护分离。
CLB 4 层 TCP 方式接入后的网站请求过程
通过 CLB 4 层 TCP 方式将网站接入大模型应用防火墙,是将负载均衡的流量牵引到大模型应用防火墙进行检测。检测完成后,大模型应用防火墙会将检测结果返回给 CLB。在此过程中,大模型应用防火墙不直接参与流量转发,而是由 CLB 根据检测结果决定是否将请求转发至源站。参考示意图如下:
用户请求过程如下:
- 客户端识别用户输入的域名,向 DNS 发送请求查询域名解析地址。
- 由于流量被牵引到 CLB,此时 DNS 返回的域名解析地址为 CLB 分配的 IP 地址,即客户端通过返回的域名解析地址直接访问 CLB。
- CLB 将流量送检至大模型应用防火墙。
- 大模型应用防火墙检测请求流量,并将检测结果返回给 CLB。
- CLB 通过回源 IP 地址将流量转发至您的源站服务器。
前提条件
- 您已创建防护实例,相关操作可参考创建大模型安全防火墙实例。
- 待防护域名已备案,且未添加到防护平台,备案操作可参考备案流程概览。
- 您已将防护域名接入 CLB,并设置了 TCP 监听器。关于 TCP 协议监听器的相关配置,可参考创建 TCP 协议监听器。
操作步骤
登录大模型应用防火墙控制台。
在顶部菜单栏选择实例所属地域。
在左侧导航选择资产管理,然后单击添加域名。
选择接入方式为负载均衡(CLB 4 层 TCP),并配置接入参数。
参数
说明
网站配置
防护域名
填写需要接入防护的域名,支持泛域名或精准域名。域名须经过 ICP备案,未备案域名将无法正常添加。
说明
如需同时配置泛域名和域名主体本身,请分别配置。如:需要同时配置
*.b.a.com和b.a.com,需要分别接入域名并配置策略。防护路径
设置防护路径及需要检测的大模型提示词所处位置。
- 路径:指受 WAF 防护的网站的文件路径或目录结构,用于组织和存储网站的各种资源,例如 HTML 文件、图像、脚本文件等。配置的路径信息用于监控和过滤对网站的请求,以防止恶意攻击和安全漏洞的利用。例如
/about-us.html。 - 提示词位置:指需要检测的大模型提示词内容在页面请求内容中所处位置。目前仅支持 JSON 格式,且参数层级之间用
.连接,例如User.Address.Country。
说明
最多支持设置 10 个路径。
负载均衡与监听器
- 负载均衡实例:在下拉列表中选择可用的负载均衡实例,WAF 会自动匹配配置了 TCP 协议监听器的负载均衡实例。
- 监听器:选择负载均衡实例下的某个 TCP 协议监听器。
- 协议类型:需要接入 WAF 的防护域名所使用的通信协议,可选 HTTP、HTTPS 协议。非 HTTP/HTTPS 的请求会直接放行。
说明
最多可以添加 10 个监听器。
注意
删除负载均衡和监听器时,请及时删除站点配置,否则该负载均衡对应 IP 将不可用。
证书选择
当协议类型设置为 HTTPS 时,需要选择相关证书。若无适用证书,可单击新增证书上传。
协议配置
- HTTP 2.0:当协议类型设置为 HTTPS 时,可选择是否开启 HTTP 2.0。开启后支持 HTTP 2.0 协议接入防护,以 HTTP 1.0/1.1 协议转发回源。
- IPv6 防护:开启后可防护 IPv6 客户端请求。
日志采集
选择当前域名的日志服务的启用状态。
- 开启:域名规则创建完成后开始采集该域名产生的日志数据。
- 关闭:域名规则创建完成后不会采集该域名产生的日志数据。
说明
如果需要开启日志服务,需要先完成 WAF 访问日志服务的跨服务授权,让 WAF 服务获取日志采集和存储权限。
接入能力
代理配置
需要配置的网站在接入 WAF 前是否使用了高防、CDN 等七层代理。
- 否:WAF 前没有配置代理,WAF 取与 WAF 建立连接的 IP(取 X-Real-Ip)作为客户端 IP。
- 是:WAF 前配置了代理,表示 WAF 收到的业务请求来自其他七层代理服务转发,而非直接来自发起请求的客户端,需要进一步配置客户端 IP 判定方式。
- X-Forwarded-For 字段获取客户端真实 IP:通过 X-Forwarded-For 字段中第一个公网 IP 地址作为客户端真实 IP 地址。
注意
该方式存在攻击者伪造 X-Forwarded-For 字段的风险。
- 自定义 Header 字段:按匹配字段添加顺序获取客户端 IP 并将其作为客户端真实 IP 。如匹配字段无法获取客户端 IP,则将通过 X-Forwarded-For 字段获取;如 X-Forwarded-For 字段由于伪造非法 IP 无法获取,则取 X-Real-Ip 字段作为客户端 IP。
说明
单实例每域名最多可配置 5 个自定义 Header 字段。
- X-Forwarded-For 字段获取客户端真实 IP:通过 X-Forwarded-For 字段中第一个公网 IP 地址作为客户端真实 IP 地址。
TLS 配置
TLS 是一种加密通信协议,用于确保在网络上进行的数据传输的安全性和完整性;而加密套件加密算法和密钥交换算法的组合。当请求协议类型包含 HTTPS 时,需要设置 TLS 协议及对应的加密套件。平台默认开启 TLSv1、TLSv1.1、TLSv1.2 和 TLSv1.3 的全部加密套件,您也可以自定义协议版本和套件。
注意
无法匹配设定 TLS 版本和加密套件的请求将默认被丢弃。
长连接
配置客户端与 WAF 之间的长连接限制。
- 长连接保持时间:客户端与 WAF 之间的长连接保持时间。默认为 75 秒,支持配置 0~900 秒。
- 复用长连接请求数:单个已建立的 TCP 连接上可以重复发送多个请求的个数。默认为 100 个,支持配置 60~1000 个。
请求 Body 最大值
可接收客户端请求正文的最大值。默认为 60 MB,支持配置 1~10240 MB。
回源能力
建立超时时间
WAF 和后端服务器的建连超时时间,建议大于健康检查超时时间。默认为 4 秒,支持配置 4~120 秒。
写连接超时时间
WAF 将请求传输给后端服务器的超时时间。默认为 60 秒,支持配置 30~3600 秒。
读连接超时时间
WAF 从后端服务器读取响应的超时时间。默认为 60 秒,支持配置 30~3600 秒。
回源长连接
WAF 回源时,长连接可复用的个数。默认为 100 个,支持配置 60~1000 个。
回源重试
WAF 回源失败后,可重试的次数。默认为 3 次,支持配置 1~10 次。
空闲长连接超时时间
WAF 与后端服务器建立请求的长连接空闲时间。默认为 15 秒,支持配置 1~60 秒。
- 路径:指受 WAF 防护的网站的文件路径或目录结构,用于组织和存储网站的各种资源,例如 HTML 文件、图像、脚本文件等。配置的路径信息用于监控和过滤对网站的请求,以防止恶意攻击和安全漏洞的利用。例如
单击提交。
接入完成后,网站设置列表自动生成防护网站记录,并默认启用防护。