应用防火墙WAF负责为CDN提供应用安全防护功能,有效防御SQL注入、XSS跨站脚本、后门上传、非授权访问等各种常见Web攻击。用户需要为创建的WAF实例添加CDN中的域名,WAF才能为您的域名提供web防护。
创建 CDN WAF实例
- 登录百度智能云控制台。
- 登录成功后,选择“产品服务>应用防火墙 WAF”,进入WAF 列表页。
-
点击『购买WAF实例』按键,选择配置信息:
参数 说明 地域 全局 支持根域名数 每个WAF实例保护一个主域名 支持子域名数 套餐默认包括对10个子域名进行保护;根据业务需要,您也可以额外购买更多子域名进行防护。 支持协议 套餐包括两种协议类型,http和https Web安全防护 WAF服务能够自动更新攻击漏洞,包括各种常见Web攻击、0day攻击规则。 自定义访问规则 通过自定义规则实现对您自己的业务控制和过滤,当前支持对http请求的“来源IP”、“URL地址”、“Referer”字段、“User-Agent”字段等内容的匹配处理。套餐默认支持最大20条自定义规则;如果您需要定制更多自定义规则,请在控制台额外购买。 - 选择购买时长和WAF实例个数,点击『下一步』,确认购买信息并支付。
- 支付完成后,成功创建WAF实例,返回列表页查看。
关联CDN实例
- 进入CDN WAF 列表页,在一个WAF实例的操作列点击『配置』按键。
-
填写需要防护的”根域名”、”子域名”,并选择绑定的域名。
只能绑定在百度智能云CDN域名列表里存在的主域名,仅支持HTTP/HTTPS 协议,如没有符合条件的域名,请前往控制台购买或重新配置。
-
开启Web防护,选择防护策略等级。
- 默认开启中级策略集,越严格安全防护效果越好。高级策略集,表示开启严格的防护策略,但可能出现误拦截情况;中级表示具备中和低两种策略集;低级表示防护策略宽松。
- 每种防护策略都具备『拦截』和『观察』功能,拦截模式发现攻击请求立即阻断;观察模式发现攻击请求立即记录但不拦截。
-
(可选)开启自定义访问控制,点击『添加』按键,通过自定义规则实现对您自己的业务控制和过滤。
参数 说明 名称 自定义访问控制规则名称 匹配项 http请求的“来源IP”、“URL地址”、“Referer”字段、“User-Agent”字段等内容的匹配处理。 匹配模式 选择匹配模式:前缀、包含或后缀。 匹配字符串 输入需要访问控制的字符串。 执行动作 将字符串列为黑名单或白名单 模式 拦截:发现攻击请求立即阻断;观察:发现攻击立即记录但不拦截。 - 点击『确认生效』,完成绑定BLB操作。
CDN实例绑定WAF
- 在控制台选择内容分发网络CDN进入产品页面,左侧导航栏点击域名管理,进入CDN域名管理列表页。
- 点击需要添加WAF防护的域名,进入域名详情页,在左侧导航栏中点击安全配置,进入WAF配置页面。
-
点击WAF配置旁边的按钮,进入WAF配置修改界面,在弹窗中选择开启,开启WAF防护功能。
WAF配置默认关闭,只有用户选择开启后才能使用。
-
在WAF实例列表中,选择需要绑定的WAF实例,最后点击保存,完成CDN实例绑定WAF的操作,如果您还没有购买WAF实例,则根据提示,进行购买CDN WAF实例的操作。
注意: 主域名状态解释:当主域名列表显示未配置,则表示主域名未配置;显示bfgdu.com表示主域名不一致;发生两种情况都需要您完成配置后,才能使用WAF功能。 域名配置上线为20个,如超出配合需要删除暂时不可用的域名。
- (可选)点击弹窗中的管理我的WAF实例,跳转到CDN WAF列表页面,用户可以在此对WAF实例进行管理、配置。
