如果您的业务部署在第三方公共云、私有云、线下 IDC 机房等,您可以通过混合云 WAF 解决方案接入方式,通过 Web 应用防火墙(Web Application Firewall,简称 WAF)统一管控和运维您的云上云下 Web 业务。混合云 WAF 接入是将云上防护节点能力下沉到其他云平台或本地 IDC 区域,以提供本地与云端相结合的一体化 Web 应用安全管理方案。
应用场景
混合云业务,业务同时部署在腾讯云、其他公共云、私有云、线下 IDC、VPC 内网,需要统一的 Web 业务防护方案。
特殊业务,特殊业务流量无法上公共云 WAF 防护的本地特殊的 Web 业务,又希望使用腾讯公有云 WAF 防护能力。
功能优势
支持云上、云下资产和防护策略的统一安全运维管理,降低安全运维复杂度和工作量。
本地化部署方案可就近防护客户业务,同时支持多种复杂环境下的Web 防护业务,降低业务改造风险。
实时同步云上防护规则和威胁情报能力,减少运维成本。
支持自定义应用网关 SDK 接入,旁路检测,且支持手动降低(bypass)能力,提升业务运营稳定性。
支持集群对象接入防护,集群级别默认防护策略生效,减少漏拦风险,全面收敛风险暴露面。
开通条件
开通 包年包月企业版、旗舰版 的 WAF 实例,且至少保有2个混合云节点。
确认已准备好所需要节点部署资源,相关资源建议,请参考混合云集群资源准备。
混合云 WAF 集群管理和流量接入配置
步骤 1:创建混合云集群
1. 登录 Web 应用防火墙控制台,在左侧导航栏顶部,将控制台切换至实例所在区域(中国大陆/非中国大陆)。
2. 在左侧导航栏中,选择服务设置 > 混合云管理。
3. 在混合云集群管理页面,单击立即配置,自动创建混合云集群。
步骤 2:本地防护节点部署
自动化安装要适合研发环境较宽松的场景,主要包括:导入 db 数据,安装 helm 应用,要求具备 kubectl 访问权限。修改文件后,运行
./install.sh。
步骤 3:接入域名和集群对象
1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择接入管理 > 域名接入。
2. 在域名接入页面,单击添加域名,填写相关配置参数,单击确定即可。
字段说明
所属实例:选择负载均衡型和集群对象名称。
域名:在域名输入框中添加需要防护的域名如
test.com。流量来源:选择其他应用网关。
代理情况:根据实际情况选择是否已使用了高防、CDN、云加速等代理。
说明:
选择“是” ,WAF 将通过 XFF 字段获取客户真实 IP 地址作为源地址,可能存在源 IP 被伪造的风险。
集群名称:自定义集群名称。
备注:按需输入备注。
3. 单击确定后返回域名接入页面,可查看防护域名、网关实例 ID 和名称等信息。
步骤 4:安装 SDK 引流发布
SDK 集成需要在统一接入网关上部署 SDK 插件,SDK 插件将网关的业务流量复制一份到 WAF 防护集群。该模式下,混合云 WAF 防护集群不参与流量转发,实现业务转发与检测分离。
步骤 5:验证测试
在浏览器中输入网址
http://test.com/?test=alert(123) (模拟 Web 攻击的请求)并访问,浏览器返回阻断页面,说明 Web 应用防火墙防护功能正常。注意:
test.com为本案例中示例域名,此处需要将域名替换为实际添加的域名。
