高防 EIP 具备 Tbps 级的 DDoS 全力防护能力,可高效抵御大规模流量攻击。Web 应用防火墙支持 SaaS 型 WAF 与高防 EIP、内网 CLB 与 WAF 及高防 EIP 联动配置方案,助力客户业务实现网络层与应用层安全防护能力的深度联动。
前提条件
已购买腾讯云 WAF 实例,详情请前往 Web 应用防火墙购买页。
已购买 DDoS 高防包、带宽包,并创建高防 EIP,详情请参考 高防 EIP 创建使用指引。如遇到无法绑定 WAF,请 联系我们 的技术支持团队。
由于 EIP 归属客户所有,为符合安全合规要求,所有中国大陆地域待接入 WAF 的域名,必须在绑定 EIP 前完成 腾讯云备案。如遇特殊情况无法及时备案,请 联系我们 的技术支持团队,确保业务正常接入。
SaaS 型 WAF 与高防 EIP 联动配置
若您当前业务已使用弹性公网 IP 且想同时启用 DDoS 防护与 SaaS 型 WAF 防护,您需参考此方案。在该模式下,客户端业务流量首先经过高防 EIP 清洗大规模 DDoS 攻击,随后流量被转发至 SaaS 型 WAF 检测与过滤 Web 攻击流量,最终仅正常业务流量被转发至源站服务器。
步骤 1:配置 Web 应用防火墙
步骤 2: 开通高防 EIP
步骤 3: 高防 EIP 绑定 WAF
1. 登录 公网 IP 控制台。
2. 在公网 IP 页面顶部,选择需要绑定云资源的高防 EIP 的地域,并在对应高防 EIP 的操作栏下,单击更多 > 绑定。
说明:
若绑定时,EIP 已绑定云资源,请先解绑,例如,需更换故障 CVM 实例的 EIP 到健康的 CVM 实例上。
3. 在弹出的绑定资源窗口中,选择 Web 应用防火墙,并在下方选择 WAF 实例,单击确定。
4. 在弹出的“确认绑定”提示框中,单击确定,即可完成与 WAF 实例的绑定。更多操作请见 EIP 绑定云资源。
5. 在 EIP 控制台完成 WAF 实例绑定后,您可在 WAF 控制台 实例管理 查看相关信息:
若实例绑定了高防 EIP,在实例类型下方会显示 DDoS 防护状态为高防 EIP 已绑定。
鼠标在此处悬停,可查看高防 EIP 地址,单击查看详情可跳转至 EIP 控制台。
绑定高防 EIP 后带宽由 EIP 承担,带宽规格限制未展示,VIP 上业务带宽后台正常统计,带宽范围正常生效。支持通过 EIP 控制台进行解绑,解除绑定后自动展示带宽。
6. 在 实例管理页面,对于绑定了高防 EIP 的实例,可进行网络配置。
7. 单击网络配置,在网络配置弹窗中,WAF 默认启用高防 EIP 和原生 VIP 的双线路容灾,您可在此处关闭原生 VIP 线路,避免暴露被 DDoS 攻击风险,单击确定保存。
内网 CLB 与 WAF 及高防 EIP 联动配置
若您的业务基于内网 CLB 部署,并需要同时接入高防 EIP 与 WAF 实现防护,您需参考此方案。在该模式中,客户端业务流量首先经过高防 EIP 清洗大规模 DDoS 攻击,清洗后的流量则通过内网 CLB 分发给后端服务器。其中,Web 应用防火墙以内网旁路方式部署,对经由 CLB 监听器的 HTTP/HTTPS 流量进行检测和清洗。
注意:
步骤 1:购买内网 CLB
步骤 2: 开通高防 EIP
步骤 3:内网 CLB 实例绑定高防 EIP
1. 登录负载均衡控制台,单击左侧导航栏的实例管理。
2. 在实例管理页面左上角选择地域,在实例列表中选择目标内网 CLB 实例,在右侧“操作”列选择更多 > 绑定弹性公网 IP。
3. 在弹出的绑定弹性公网 IP 对话框中,选择需绑定的高防 EIP,单击提交即可为内网 CLB 绑定高防 EIP。更多操作请见内网负载均衡实例绑定 EIP。
步骤 4:将已绑定高防 EIP 的内网 CLB 实例接入 WAF
