阿里云盾网站安全防御(WAF)的正确使用方法 | 张戈博客

  • 时间:
  • 浏览:28
  • 来源:古韵博客 - 专注共享卢松博客资源

将一个多多网站搬到阿里云,一个多多是前一天阿里云稳定,一个多多多否则牛逼轰轰的云盾了。前一天在博客联盟群里模拟CC攻击过搭建在阿里云ECS上的博客,结果云盾毫无反应,而网站前一天挂了。

这次特意细看多一下云盾上的CC防护功能,发现有每项大伙儿估计并未正确使用WAF。什么都 ,我在本文就简单的分享一下阿里云盾-WAF网站防御的正确使用办法。

一、域名解析

大每项大伙儿,否则开启了云盾就不管了,这也否则什么都 大伙儿受到CC攻击后,云盾却毫无反应的愿因了。实际上WAF防御都要配合域名解析来使用。

阿里云的WAF网站防御实际上最少没法缓存机制的百度云加速或3500网站卫士,不过还可不里还上能 用cname接入办法,后续与否会结合万网解析,新增NS接入办法就不得而知了:

如上图所示,要开启WAF网站防御,就都要在域名解析那,将主机记录cname到云盾生成的CNAME地址。这时用户访问网站是一个多多多一个多多请况:

用户浏览器 → 域名解析 →cname到云盾服务器 → 源服务器

当受到攻击时,流量会经过云盾节点,并触发清洗机制,起到CC/DDoS防护作用。

当然,完全都是每项大伙儿知道WAF使用办法,但前一天是出于SEO考虑,这名大伙儿也只会在网站受到攻击的前一天才会修改为CNAME解析,前一天CNAME解析到阿里云WAF域名后,IP并完全都是固定的,这点和云加速类式的是一致的,不过遗憾的是WAF并没法搜索引擎自动回源机制,什么都 使用cname前一天,IP的频繁变更会对SEO造成不良影响!

如下图所示,使用WAF前一天,网站IP也就变成了云盾节点IP了:

那该怎么才能 才能 防止这名大问题呢?想必看多张戈博客上一篇文章的大伙儿前一天了然于心了吧?没错!和备案不影响SEO的做法一样:将默认线路cname到阿里云WAF地址,否则再新增三根搜索引擎线路,指定到源服务器IP即可!一个多多多就还可不里还上能 长期开启云盾WAF防御,而不影响SEO了!

本想,百度自家的云加速解析,对搜索引擎线路的判断应该是最靠谱的(对于做百度流量的网站来说),毕竟是自家的产品,有这名蜘蛛IP,都一清二楚,不不搞错!但实际测试发现,百度云加速目前并不支持cname默认线路的同去,新增搜索引擎线路,会提示该记录已存在!

Ps:尝鲜版的百度云加速倒是支持,地址是 http://next.su.baidu.com,感兴趣的还可不里还上能 自行测试下。

如果仔细一想,百度真是对被委托人的蜘蛛了解透彻,否则对许多几家呢?比如搜狗,比如3500?估计是个半吊子。存在完全性考虑,我推荐使用DNSPOD解析,愿因无它,看图:

DNSPOD和百度有过战略相互合作,什么都 一个多多多百度专属线路,额外的还有搜索引擎线路,想必比百度云加速整理的蜘蛛IP更加完善吧!

什么都 ,正确的解析如下所示:

一个多多多解析不但还可不里还上能 放心使用阿里云WAF防御,还还可不里还上能 隐藏你的网站真实IP,防止存在源站被攻击还可不里还上能 换IP的尴尬(通过hosts本地解析进行攻击,啥CDN防护都找不到作用!)

二、防护设置

前一天开启了云盾,也正确解析了域名,否则被CC攻击时,云盾还是毫无反应?!实际上都要设置下DDoS防护高级设置,前一天云盾默认的DDoS防护阈值还是太高,如下所示:

清洗触发值: 每秒请求流量:1500M 每秒报文数量:50000 每秒HTTP请求数:50000

亲戚大伙儿这名搭建在阿里云的小博客,大每项数率都还可不里还上能 1~2M,别人2M请求流量或5000+并发就前一天把你的网站打出了翔咯!什么都 什么都 大伙儿就算正确开启了WAF防御,被攻击的前一天还是非常卡!

否则,亲戚大伙儿都要根据被委托人网站的流量设置下阈值。

看多下,最低的请求流量是10Mbps,也否则10M数率,什么都 一般ECS服务器根本过低看,前一天水管太小了。。否则,亲戚大伙儿都要设置一个多多多阈值:http并发请求。

对于我这名1M数率的ECS,相信5000并发前一天卡出了翔。什么都 ,亲戚大伙儿考虑设置在500以下:

Ps:当然做好了CDN动静分离的网站还可不里还上能 设置到5000+,比如用了七牛CDN的大伙儿,总之得根据实际请况而定。

阈值否则触发的前提,下面还一个多多多触发前一天的清洗限制,也否则发现并发超过阈值时,云盾对来访的单IP做连接数限制,超过了这名限制就返回5003:

原则上,触发清洗阈值前一天,单一IP连接数限制得越小越好,否则又还可不还上能 将正常的访问阻挡在门外。什么都 这名限制该怎么才能 才能 定义还得看实际请况!当然,我能 通过模拟攻击去测试出一个多多合理的限制值,否则也得考虑许多局域网公用一个多多公网IP上网的请况(得看网站的受众人群)。

看多这,相信不少用阿里云服务器的大伙儿前一天有所收获吧?再我看来,使用阿里云WAF的作用主要一个多多多,一个多多是基础DDoS防护,另一否则隐藏网站真实IP。当你的网站老会 被攻击,而云盾都无法完全清洗时,亲戚大伙儿还还可不里还上能 在本文的基础上再套上一层百度云加速,平常不被攻击时,百度云加速设置回源,关闭加速即可,具体做法我能 太大说了,看图即懂:

这名方案的网站访问模式如下:

用户浏览器 → 域名解析  →  百度云加速节点(缓存开启时) → 阿里云盾节点 → 源服务器

当然,这名方案只适用于百度云加速3.0尝鲜版,地址:http://next.su.baidu.com/ ,感兴趣的被委托人去研究下吧!就写没法多,洗洗睡。

最新补充:提了好几只工单,才弄清楚云盾中的DDoS和WAF是一个多多不同的功能,看来是我理解错了!最后纠正下,DDoS中的DD/CC防护和WAF设置并无关系,也就在等你不设置WAF的CNAME也没关系,倘若开启了DDoS防护就还可不里还上能 了!什么都 本文中的每项描述是还可不还上能 位的,否则都要说明的是,参考本文开启WAF前一天,真是还可不里还上能 实现隐藏真实IP的妙用!强烈建议使用!