阿里云盾網(wǎng)站安全防御(WAF)的使用方法(圖文)

將2個網(wǎng)站搬到阿里云，一個是因為阿里云穩(wěn)定，另一個就是牛逼轟轟的云盾了。之前在博客聯(lián)盟群里模擬CC攻擊過搭建在阿里云ECS上的博客，結(jié)果云盾毫無反應，而網(wǎng)站已經(jīng)掛了。

這次特意細看了一下云盾上的CC防護功能，發(fā)現(xiàn)有部分朋友估計并未正確使用WAF。所以，我在本文就簡單的分享一下阿里云盾-WAF網(wǎng)站防御的正確使用方法。

一、域名解析

大部分朋友，只是開啟了云盾就不管了，這也就是很多朋友受到CC攻擊后，云盾卻毫無反應的原因了。實際上WAF防御必須配合域名解析來使用。

阿里云的WAF網(wǎng)站防御實際上相當于沒有緩存機制的百度云加速或360網(wǎng)站衛(wèi)士，不過只能用cname接入方式，后續(xù)是否會結(jié)合萬網(wǎng)解析，新增NS接入方式就不得而知了：

如上圖所示，要開啟WAF網(wǎng)站防御，就必須在域名解析那，將主機記錄cname到云盾生成的CNAME地址。這時用戶訪問網(wǎng)站是這樣一個情況：

用戶瀏覽器 → 域名解析 →cname到云盾服務器 → 源服務器

當受到攻擊時，流量會經(jīng)過云盾節(jié)點，并觸發(fā)清洗機制，起到CC/DDoS防護作用。

當然，也有部分朋友知道WAF使用方法，但可能是出于SEO考慮，這些朋友也只會在網(wǎng)站受到攻擊的時候才會修改為CNAME解析，因為CNAME解析到阿里云WAF域名后，IP并不是固定的，這點和云加速之類的是一致的，不過遺憾的是WAF并沒有搜索引擎自動回源機制，所以使用cname之后，IP的頻繁變更會對SEO造成不良影響！

如下圖所示，使用WAF之后，網(wǎng)站IP也就變成了云盾節(jié)點IP了：

那該如何解決這個問題呢？想必看過張戈博客上一篇文章的朋友已經(jīng)了然于心了吧？沒錯！和備案不影響SEO的做法一樣：將默認線路cname到阿里云WAF地址，然后再新增一條搜索引擎線路，指定到源服務器IP即可！這樣就可以長期開啟云盾WAF防御，而不影響SEO了！

本想，百度自家的云加速解析，對搜索引擎線路的判斷應該是最靠譜的（對于做百度流量的網(wǎng)站來說），畢竟是自家的產(chǎn)品，有哪些蜘蛛IP，都一清二楚，不會搞錯！但實際測試發(fā)現(xiàn)，百度云加速目前并不支持cname默認線路的同時，新增搜索引擎線路，會提示該記錄已存在！

Ps：嘗鮮版的百度云加速倒是支持，地址是 http://next.su.baidu.com，感興趣的可以自行測試下。

后來仔細一想，百度雖然對自己的蜘蛛了解透徹，但是對其他幾家呢？比如搜狗，比如360？估計是個半吊子。處于完整性考慮，我推薦使用DNSPOD解析，原因無它，看圖：

DNSPOD和百度有過合作，所以有一個百度專屬線路，額外的還有搜索引擎線路，想必比百度云加速收集的蜘蛛IP更加完善吧！

所以，正確的解析如下所示：

這樣解析不但可以放心使用阿里云WAF防御，還可以隱藏你的網(wǎng)站真實IP，避免發(fā)生源站被攻擊只能換IP的尷尬（通過hosts本地解析進行攻擊，啥CDN防護都沒了作用?。?/strong>

二、防護設置

可能開啟了云盾，也正確解析了域名，但是被CC攻擊時，云盾還是毫無反應？！實際上還要設置下DDoS防護高級設置，因為云盾默認的DDoS防護閾值還是太高，如下所示：

清洗觸發(fā)值： 每秒請求流量：180M 每秒報文數(shù)量：30000 每秒HTTP請求數(shù)：1000

我們這種搭建在阿里云的小博客，大部分帶寬都只有1~2M，別人2M請求流量或100+并發(fā)就已經(jīng)把你的網(wǎng)站打出了翔咯！所以很多朋友就算正確開啟了WAF防御，被攻擊的時候還是非?？?！

因此，我們必須根據(jù)自己網(wǎng)站的流量設置下閾值。

看了下，最低的請求流量是10Mbps，也就是10M帶寬，所以一般ECS服務器根本不夠看，因為水管太小了。。因此，我們需要設置另一個閾值：http并發(fā)請求。

對于我這種1M帶寬的ECS，相信100并發(fā)已經(jīng)卡出了翔。所以，我們考慮設置在50以下：

Ps：當然做好了CDN動靜分離的網(wǎng)站可以設置到100+，比如用了七牛CDN的朋友，總之得根據(jù)實際情況而定。

閾值只是觸發(fā)的前提，下面還有一個觸發(fā)之后的清洗限制，也就是發(fā)現(xiàn)并發(fā)超過閾值時，云盾對來訪的單IP做連接數(shù)限制，超過了這個限制就返回503：

原則上，觸發(fā)清洗閾值之后，單一IP連接數(shù)限制得越小越好，但是又不能將正常的訪問阻擋在門外。所以這個限制該如何定義還得看實際情況！當然，你可以通過模擬攻擊去測試出一個合理的限制值，但是也得考慮一些局域網(wǎng)公用一個公網(wǎng)IP上網(wǎng)的情況（得看網(wǎng)站的受眾人群）。

看到這，相信不少用阿里云服務器的朋友已經(jīng)有所收獲吧？再我看來，使用阿里云WAF的作用主要有2個，一個是基礎DDoS防護，另一就是隱藏網(wǎng)站真實IP。當你的網(wǎng)站經(jīng)常被攻擊，而云盾都無法完全清洗時，我們還可以在本文的基礎上再套上一層百度云加速，平常不被攻擊時，百度云加速設置回源，關(guān)閉加速即可，具體做法我就不多說了，看圖即懂：

這種方案的網(wǎng)站訪問模式如下：

用戶瀏覽器 → 域名解析  →  百度云加速節(jié)點（緩存開啟時） → 阿里云盾節(jié)點 → 源服務器

當然，這個方案只適用于百度云加速3.0嘗鮮版，地址：http://.su.baidu.com/ ，感興趣的自己去研究下吧！就寫這么多，洗洗睡。

最新補充：提了好幾次工單，才弄清楚云盾中的DDoS和WAF是2個不同的功能，看來是我理解錯了！最后糾正下，DDoS中的DD/CC防護和WAF設置并無關(guān)系，也就是你不設置WAF的CNAME也沒關(guān)系，只要開啟了DDoS防護就可以了！所以本文中的部分描述是不到位的，但是必須說明的是，參考本文開啟WAF之后，確實可以實現(xiàn)隱藏真實IP的妙用！強烈建議使用！