阿里云 DDoS 高防 IP 搭配 Web 應(yīng)用防火墻操作手冊

                       高防IP與WEB應(yīng)用防火墻同時接入操作文檔

高防和Web應(yīng)用防火墻（WAF）、CDN是完全兼容的。

最佳的部署架構(gòu)是：
高防IP（入口層，DDoS防護(hù)）——>CDN（靜態(tài)資源加速）——>Web應(yīng)用防火墻（中間，應(yīng)用層防護(hù)）——>源站（ECS/SLB/VPC/IDC…）

注：上述架構(gòu)去掉任何產(chǎn)品，架構(gòu)不變，比如：
高防IP——>CDN——>ECS
高防IP——>WAF——>ECS

一、 配置WEB防火墻

1、 添加需要防護(hù)的域名例如www.i8***.cn，注意一級域名和二級域名需要分別添加，也就是帶www的和不帶www就是兩條獨(dú)立配置。

2、 勾選HTTP協(xié)議，如果有證書服務(wù)需要HTTPS訪問兩個都勾上。

3、 添加源站服務(wù)器的公網(wǎng)IP，也就是ECS的公網(wǎng)IP。

4、 務(wù)必勾選使用代理，因為WAF配合高防IP使用必須互相代理訪問。

添加完成后效果如下，如有提示防護(hù)未接入多是當(dāng)前域名沒有流量產(chǎn)生，實際防護(hù)已經(jīng)接入可以忽略。

二、 配置高防IP

以下是購買大陸地域電信、聯(lián)通雙鏈路高防IP，默認(rèn)優(yōu)先配置電信鏈路。

1、配置電信鏈路，選擇網(wǎng)站接入

2、添加網(wǎng)站域名

3、添加www.i8.cn，這里選擇源站域名接入，而域名地址為www.i8.cn的WAF防護(hù)地址。就是上述做完WAF防護(hù)生成域名。

4、添加i8***.cn，同理選擇源站域名接入，也是之前配完WAF生成的域名。

5、配置高防防護(hù)效果，把默認(rèn)勾選的WAF防護(hù)勾掉，因為已經(jīng)有商業(yè)版的WAF防火墻這里不需要防護(hù)。兩個域名的都要勾掉。

6、兩個域名都勾選上Cname自動調(diào)度，因為高防IP是雙鏈路，當(dāng)其中一條鏈路出故障可以自動切換。

7、配置聯(lián)通鏈路，過程跟上述過程一樣。都是分別添加兩個需要防護(hù)的域名。

因為兩個域名通過高防后，不管是電信鏈路還是聯(lián)通鏈路生成的防護(hù)域名都是同一個，所以具備自動調(diào)度切換，用戶無感知。

8、修改域名解析，將高防生成的防護(hù)域名別名到原有原來網(wǎng)站域名上。將帶www域名添加別名記錄，別名主機(jī)填上述帶www生成的高防域名。

這樣i8***.cn不支持自動調(diào)度，如果電信鏈路出問題，需要手動修改該條A記錄指到高防IP的聯(lián)通線路。

www.i8***.cn則可以實現(xiàn)雙鏈路自動切換。

9、等待域名解析生效，通過ping命令測試

通過專業(yè)的鏈路測試工具追蹤訪問www.i8*.cn可以看到電信用戶就走高防IP的電信鏈路，聯(lián)通用戶就走高防IP的聯(lián)通鏈路。

請注意，做了高防IP后原ECS服務(wù)器的公網(wǎng)IP需要進(jìn)行保密，所有的網(wǎng)站不應(yīng)該通過該IP直接訪問，關(guān)閉其它無關(guān)的域名解析到該IP，也不可隨意對外公布。