步骤1:确认负载均衡配置
负载均衡型 WAF 通过添加域名的方式与负载均衡监听器进行绑定,实现对经过负载均衡监听器的 HTTP 或 HTTPS 流量进行检测和拦截。在接入负载均衡型 WAF 前,请确保网站业务已在腾讯云上,并且使用了腾讯云负载均衡(原应用型负载均衡,网络类型为公网类型)。
说明:
若您的网站业务不在腾讯云上,建议您使用 SaaS 型 WAF 接入防护。
为了使负载均衡型 WAF 能够识别出需要防护的域名,需要配置负载均衡并且在监听器配置相应域名,实现业务正常转发。详情请参见 配置 HTTP 监听器 和 配置 HTTPS 监听。
本文以防护clb.technicalsupport.cn
为例,查看已配置完成的负载均衡监听器的配置信息。
- 登录腾讯云负载均衡控制台,在左侧导航栏中,单击实例管理,进入实例管理页面。
- 选择地区>负载均衡,查看已经创建好的负载均衡,在右侧操作栏,单击配置监听器,进行配置查看。
- 在监听器配置页面,单击监听器管理,查看监听器域名配置信息。监听器的名称为 waftest,监听器转发规则监听的域名为
clb.technicalsupport.cn
,域名防护状态为未启用。
步骤2:域名添加绑定负载均衡
- 登录Web 应用防火墙控制台,在左侧导航栏中,选择资产中心>域名列表,进入域名列表页面。
- 在域名列表页面,单击添加域名,配置相关参数,单击确定即可。
- 字段说明
- 所属实例:选择负载均衡型和实例名称。
- 域名:在域名输入框中添加需要防护的域名
clb.technicalsupport.cn
。 - 代理情况:根据情时间情况选择是否已使用了高防、CDN、云加速等代理。
说明:
选择“是” ,WAF 将通过 XFF 字段获取客户真实 IP 地址作为源地址,勾选可能存在源 IP 被伪造的风险。
- 国内地域:根据实际需求选择。
- 国外地域:根据实际需求选择。
- 选择域名对应的负载均衡监听器:根据实际需求选择。
- 单击确定,即可返回域名列表。在域名列表可以查看到防护域名
clb.technicalsupport.cn
和负载均衡的负载均衡 ID、名称、VIP 和监听器信息等。
步骤3:验证测试
- WAF 通过域名和 CLB 对应监听器进行绑定,对经过 CLB 监听器的域名流量进行防护。验证负载均衡型 WAF 是否生效,请先确保本地电脑可以正常访问在负载均衡不同实例下添加的域名。
说明:
验证添加在负载均衡中域名型访问是否正常,IPv4 域名请求,请参见负载均衡快速入门的 验证负载均衡服务,IPv6 域名请求,请参见 IPv6 负载均衡快速入门的 步骤4:测试 IPv6 负载均衡。
- 在浏览器中输入网址
http://wow.qcloudwaf.com/?test=alert(123)
并访问,浏览器返回阻断页面,说明 Web 应用防火墙防护功能正常。
注意:
wow.qcloudwaf.com
为本案例中域名,此处需要将域名替换为实际添加的域名。