TOP云提供高性价比云服务器租用,有中国内地/港澳台、海外等全球各地节点,TOP云国内云服务器只要有域名备案号就能直接用,无须重复备案;港澳台及海外云服务器不用备案,购买之后直接使用,省时省力省心。价格实惠,续费同价,2核2G5M仅需27元每月,8核8G50M仅需66元每月,更多配置套餐请进入下面网址了解:
TOP云总站云服务器:https://topyun.vip/server/buy.html
TOP云C站云服务器:https://c.topyun.vip/cart
一、选择并购买 WAF 服务
登录云服务商控制台:进入阿里云、腾讯云、华为云等平台的 WAF 产品页面。
根据需求选择套餐:通常有基础版、专业版等,可根据网站流量、防护需求(如是否需要抗 DDoS、RASP 防护等)选择合适的版本,完成购买。
二、添加防护域名
进入 WAF 控制台:在 “域名管理” 或 “防护配置” 中,点击 “添加域名”。
填写域名信息:输入需要防护的域名、选择协议(HTTP/HTTPS)、端口(如 80、443),并设置源站 IP 地址(即云服务器的公网 IP)。
保存配置:部分服务商需要验证域名所有权(如修改 DNS 记录或上传验证文件),按提示完成即可。
三、配置 DNS 解析(将流量引入 WAF)
获取 WAF 分配的 CNAME:添加域名后,WAF 会生成一个专属的 CNAME 地址(如
yourdomain.waf.aliyuncs.com)。修改域名 DNS 解析:进入域名注册商的管理后台,将域名的 A 记录或 CNAME 记录指向 WAF 提供的 CNAME 地址。
示例:若原域名解析为
A记录指向云服务器IP,需改为CNAME指向WAF的CNAME地址,确保用户访问域名时流量先经过 WAF 再转发至源站。
四、配置 WAF 防护规则
开启基础防护:在 WAF 控制台中,启用默认的防护规则,包括 SQL 注入、XSS 攻击、跨站请求伪造(CSRF)、恶意文件上传等常见威胁的拦截。
自定义规则设置:
黑白名单:添加允许或禁止访问的 IP 地址 / 网段(如允许内部 IP 白名单访问,禁止恶意 IP 黑名单)。
URI 过滤:针对特定 URL 路径设置防护规则(如禁止访问
/admin路径的非法请求)。请求频率限制:限制单个 IP 的访问频率,防止暴力破解或爬虫攻击。
HTTPS 证书配置:若使用 HTTPS 协议,需在 WAF 中上传 SSL 证书(可通过云服务商免费申请或上传自有证书),确保加密流量正常转发。
五、配置源站安全组(避免流量绕过 WAF)
登录云服务器控制台:找到对应的云服务器实例,进入 “安全组” 设置。
添加入站规则:只允许 WAF 的回源 IP 地址访问云服务器的业务端口(如 80、443),拒绝其他所有 IP 的直接访问。
不同云服务商的 WAF 回源 IP 可在其官方文档中查询(如阿里云 WAF 回源 IP 范围可在控制台 “帮助中心” 获取)。
六、测试与监控
本地测试连通性:修改本地 hosts 文件,将域名指向 WAF 的 CNAME 对应的 IP(可通过 ping 命令获取),访问网站确认是否正常打开。
模拟攻击测试:使用安全工具(如 Nessus)模拟 SQL 注入、XSS 等攻击,查看 WAF 是否能成功拦截并在日志中记录。
查看防护日志:在 WAF 控制台中监控流量、攻击记录和拦截情况,根据实际业务需求调整规则(如误判的请求可添加到白名单)。
不同云服务商的注意事项
阿里云:可结合 “云盾 WAF” 与 “ECS 安全组”,若需应用层深度防护,可集成 RASP(运行时应用自保护)功能。
腾讯云:WAF 分为 “域名接入” 和 “负载均衡接入”,需根据业务架构选择合适的接入方式,确保源站安全组仅放行腾讯云 WAF 的回源 IP 段。
华为云:在 “Web 应用防火墙” 控制台中,需先将域名接入 elb(弹性负载均衡),再关联 WAF 防护,注意证书需与 elb 同步配置。
