阿里云盾網(wǎng)站安全防御(WAF)的使用方法(圖文)

將2個(gè)網(wǎng)站搬到阿里云，一個(gè)是因?yàn)榘⒗镌品€(wěn)定，另一個(gè)就是牛逼轟轟的云盾了。之前在博客聯(lián)盟群里模擬CC攻擊過(guò)搭建在阿里云ECS上的博客，結(jié)果云盾毫無(wú)反應(yīng)，而網(wǎng)站已經(jīng)掛了。

這次特意細(xì)看了一下云盾上的CC防護(hù)功能，發(fā)現(xiàn)有部分朋友估計(jì)并未正確使用WAF。所以，我在本文就簡(jiǎn)單的分享一下阿里云盾-WAF網(wǎng)站防御的正確使用方法。

一、域名解析

大部分朋友，只是開(kāi)啟了云盾就不管了，這也就是很多朋友受到CC攻擊后，云盾卻毫無(wú)反應(yīng)的原因了。實(shí)際上WAF防御必須配合域名解析來(lái)使用。

阿里云的WAF網(wǎng)站防御實(shí)際上相當(dāng)于沒(méi)有緩存機(jī)制的百度云加速或360網(wǎng)站衛(wèi)士，不過(guò)只能用cname接入方式，后續(xù)是否會(huì)結(jié)合萬(wàn)網(wǎng)解析，新增NS接入方式就不得而知了：

如上圖所示，要開(kāi)啟WAF網(wǎng)站防御，就必須在域名解析那，將主機(jī)記錄cname到云盾生成的CNAME地址。這時(shí)用戶(hù)訪問(wèn)網(wǎng)站是這樣一個(gè)情況：

用戶(hù)瀏覽器 → 域名解析 →cname到云盾服務(wù)器 → 源服務(wù)器

當(dāng)受到攻擊時(shí)，流量會(huì)經(jīng)過(guò)云盾節(jié)點(diǎn)，并觸發(fā)清洗機(jī)制，起到CC/DDoS防護(hù)作用。

當(dāng)然，也有部分朋友知道WAF使用方法，但可能是出于SEO考慮，這些朋友也只會(huì)在網(wǎng)站受到攻擊的時(shí)候才會(huì)修改為CNAME解析，因?yàn)镃NAME解析到阿里云WAF域名后，IP并不是固定的，這點(diǎn)和云加速之類(lèi)的是一致的，不過(guò)遺憾的是WAF并沒(méi)有搜索引擎自動(dòng)回源機(jī)制，所以使用cname之后，IP的頻繁變更會(huì)對(duì)SEO造成不良影響！

如下圖所示，使用WAF之后，網(wǎng)站IP也就變成了云盾節(jié)點(diǎn)IP了：

那該如何解決這個(gè)問(wèn)題呢？想必看過(guò)張戈博客上一篇文章的朋友已經(jīng)了然于心了吧？沒(méi)錯(cuò)！和備案不影響SEO的做法一樣：將默認(rèn)線路cname到阿里云WAF地址，然后再新增一條搜索引擎線路，指定到源服務(wù)器IP即可！這樣就可以長(zhǎng)期開(kāi)啟云盾WAF防御，而不影響SEO了！

本想，百度自家的云加速解析，對(duì)搜索引擎線路的判斷應(yīng)該是最靠譜的（對(duì)于做百度流量的網(wǎng)站來(lái)說(shuō)），畢竟是自家的產(chǎn)品，有哪些蜘蛛IP，都一清二楚，不會(huì)搞錯(cuò)！但實(shí)際測(cè)試發(fā)現(xiàn)，百度云加速目前并不支持cname默認(rèn)線路的同時(shí)，新增搜索引擎線路，會(huì)提示該記錄已存在！

Ps：嘗鮮版的百度云加速倒是支持，地址是 http://next.su.baidu.com，感興趣的可以自行測(cè)試下。

后來(lái)仔細(xì)一想，百度雖然對(duì)自己的蜘蛛了解透徹，但是對(duì)其他幾家呢？比如搜狗，比如360？估計(jì)是個(gè)半吊子。處于完整性考慮，我推薦使用DNSPOD解析，原因無(wú)它，看圖：

DNSPOD和百度有過(guò)合作，所以有一個(gè)百度專(zhuān)屬線路，額外的還有搜索引擎線路，想必比百度云加速收集的蜘蛛IP更加完善吧！

所以，正確的解析如下所示：

這樣解析不但可以放心使用阿里云WAF防御，還可以隱藏你的網(wǎng)站真實(shí)IP，避免發(fā)生源站被攻擊只能換IP的尷尬（通過(guò)hosts本地解析進(jìn)行攻擊，啥CDN防護(hù)都沒(méi)了作用?。?/strong>

二、防護(hù)設(shè)置

可能開(kāi)啟了云盾，也正確解析了域名，但是被CC攻擊時(shí)，云盾還是毫無(wú)反應(yīng)？！實(shí)際上還要設(shè)置下DDoS防護(hù)高級(jí)設(shè)置，因?yàn)樵贫苣J(rèn)的DDoS防護(hù)閾值還是太高，如下所示：

清洗觸發(fā)值： 每秒請(qǐng)求流量：180M 每秒報(bào)文數(shù)量：30000 每秒HTTP請(qǐng)求數(shù)：1000

我們這種搭建在阿里云的小博客，大部分帶寬都只有1~2M，別人2M請(qǐng)求流量或100+并發(fā)就已經(jīng)把你的網(wǎng)站打出了翔咯！所以很多朋友就算正確開(kāi)啟了WAF防御，被攻擊的時(shí)候還是非?？?！

因此，我們必須根據(jù)自己網(wǎng)站的流量設(shè)置下閾值。

看了下，最低的請(qǐng)求流量是10Mbps，也就是10M帶寬，所以一般ECS服務(wù)器根本不夠看，因?yàn)樗芴×?。。因此，我們需要設(shè)置另一個(gè)閾值：http并發(fā)請(qǐng)求。

對(duì)于我這種1M帶寬的ECS，相信100并發(fā)已經(jīng)卡出了翔。所以，我們考慮設(shè)置在50以下：

Ps：當(dāng)然做好了CDN動(dòng)靜分離的網(wǎng)站可以設(shè)置到100+，比如用了七牛CDN的朋友，總之得根據(jù)實(shí)際情況而定。

閾值只是觸發(fā)的前提，下面還有一個(gè)觸發(fā)之后的清洗限制，也就是發(fā)現(xiàn)并發(fā)超過(guò)閾值時(shí)，云盾對(duì)來(lái)訪的單IP做連接數(shù)限制，超過(guò)了這個(gè)限制就返回503：

原則上，觸發(fā)清洗閾值之后，單一IP連接數(shù)限制得越小越好，但是又不能將正常的訪問(wèn)阻擋在門(mén)外。所以這個(gè)限制該如何定義還得看實(shí)際情況！當(dāng)然，你可以通過(guò)模擬攻擊去測(cè)試出一個(gè)合理的限制值，但是也得考慮一些局域網(wǎng)公用一個(gè)公網(wǎng)IP上網(wǎng)的情況（得看網(wǎng)站的受眾人群）。

看到這，相信不少用阿里云服務(wù)器的朋友已經(jīng)有所收獲吧？再我看來(lái)，使用阿里云WAF的作用主要有2個(gè)，一個(gè)是基礎(chǔ)DDoS防護(hù)，另一就是隱藏網(wǎng)站真實(shí)IP。當(dāng)你的網(wǎng)站經(jīng)常被攻擊，而云盾都無(wú)法完全清洗時(shí)，我們還可以在本文的基礎(chǔ)上再套上一層百度云加速，平常不被攻擊時(shí)，百度云加速設(shè)置回源，關(guān)閉加速即可，具體做法我就不多說(shuō)了，看圖即懂：

這種方案的網(wǎng)站訪問(wèn)模式如下：

用戶(hù)瀏覽器 → 域名解析  →  百度云加速節(jié)點(diǎn)（緩存開(kāi)啟時(shí)） → 阿里云盾節(jié)點(diǎn) → 源服務(wù)器

當(dāng)然，這個(gè)方案只適用于百度云加速3.0嘗鮮版，地址：http://.su.baidu.com/ ，感興趣的自己去研究下吧！就寫(xiě)這么多，洗洗睡。

最新補(bǔ)充：提了好幾次工單，才弄清楚云盾中的DDoS和WAF是2個(gè)不同的功能，看來(lái)是我理解錯(cuò)了！最后糾正下，DDoS中的DD/CC防護(hù)和WAF設(shè)置并無(wú)關(guān)系，也就是你不設(shè)置WAF的CNAME也沒(méi)關(guān)系，只要開(kāi)啟了DDoS防護(hù)就可以了！所以本文中的部分描述是不到位的，但是必須說(shuō)明的是，參考本文開(kāi)啟WAF之后，確實(shí)可以實(shí)現(xiàn)隱藏真實(shí)IP的妙用！強(qiáng)烈建議使用！