雷池 WAF(Web Application Firewall)是一款强大的网络安全防护产品,通过实时流量分析和精准规则拦截,有效抵御各种网络攻击。在部署雷池 WAF 的同时,结合阿里云 CDN(内容分发网络)可以显著提升网站的性能和可用性。本文将详细介绍如何将雷池 WAF 和阿里云 CDN 配合使用,实现性能与安全的完美结合。
准备工作
- 域名:1waf.cn
- 服务器: 8.210.149.251
- 阿里云账号: 确保已开通 CDN 服务。
- 雷池 WAF : 雷池 WAF 已经部署在本地环境或云服务器中。
WAF 配置站点
为了方便,我们使用 WAF 自带的静态站点创建一个 demo 站点,此站点监听了 80 端口,后续 CDN 源站配置时使用此端口接入。
CDN 配置域名
填写加速域名(如果是第一次使用需要验证域名,参考阿里云文档即可)
添加源站
选择 IP 方式接入, IP 填写为 WAF 服务器 IP,端口填写为上面 WAF 创建站点时填写的监听端口
配置 CNAME 记录
添加加速域名后,CDN 会为您分配一个CNAME域名。需要在 DNS 服务商处将加速域名的 DNS 解析记录指向分配的 CNAME 域名,成功添加CNAME记录后,CDN加速方可生效。此处以阿里云为例
获取 CNAME 地址返回阿里云 CDN 域名管理界面,查询加速域名的 CNAME 解析地址
添加一个 cname 类型的 dns 解析,值为上面的 cname 地址。注意如果和之前的 A 记录有冲突需要先把冲突的删除才能保存。
添加完成后回到 CDN 域名管理查询解析是否正常
测试 CDN 效果
可以看到响应里面有一些 CDN 添加的头就说明成功走了 CDN 加速
测试 WAF 防护
测试一个 SQL 注入攻击试试,可以看到被拦截了
修改 IP 获取方式
查询 WAF 攻击日志可以看到阿里云把真实用户 IP 通过 XFF 和 Ali-Cdn-Real-IP 传递过来了
因此我们可以设置为从 XFF 上一级获取即可(或者设置为从 Header 的 Ali-Cdn-Real-IP 拿也行 )
再次攻击查询攻击事件发现 IP 已经是正确的了
总结
通过本文的配置步骤,您可以成功将雷池 WAF 和阿里云 CDN 结合使用,在提高网站性能的同时有效保障安全性。通过 CDN 的全球节点分布,用户可以显著减少访问延迟并提升内容加载速度;而雷池 WAF 的精准防护则能有效拦截各种网络威胁,保障系统稳定运行。这种搭配方案尤其适合对性能和安全性要求高的场景。