Web应用基础安全防护场景

 

 

 

业务风险防护场景

 

 

 

混合云防护场景

 

 

 

 

使用Web应用防火墙（WAF）防护您的Web业务前，您必须将要防护的网站接入Web应用防火墙。未完成接入操作，您的Web应用防火墙防护将无法生效。

网站接入流程

WAF支持使用CNAME接入和透明接入模式，使您的网站流量可以受到WAF的保护。

• CNAME接入

  您在WAF控制台添加需要防护的网站域名后，通过修改域名的DNS解析设置，将网站流量解析到WAF，使访问网站的流量经过WAF并受到WAF的防护。WAF将过滤和处理后的请求转发回该域名的源站服务器。

• 透明接入

透明接入模式无需修改域名的DNS解析设置，完成域名接入后，可以将源站SLB实例上的HTTP或HTTPS请求流量直接牵引到WAF，经WAF处理后再将正常的请求流量转发回源站服务器。          

完成接入流程后，网站访问流量将经过WAF保护。WAF包含多种防护检测模块，帮助网站应对不同类型的安全威胁，其中正则防护引擎和CC安全防护模块默认开启，分别用于防御常见的Web应用攻击（例如SQL注入、XSS跨站、webshell上传等）和CC攻击，其他防护模块需要您手动开启并配置具体防护规则。

最佳实践

• 设置源站保护：源站服务器部署在ECS时，通过设置ECS或SLB的安全组策略，只放行WAF的入方向请求，避免攻击者绕过WAF直接对源站服务器发起攻击。
• 获取客户端真实IP：接入WAF后，源站收到的所有请求都经过WAF代理，您必须通过X-Forwarded-For获取访问请求的真实来源IP。