阿里云盾网站平安防御(WAF)的运用要领(图文)

这次特地细看了一下云盾上的CC防护功能，发明有局部朋友预计并未准确运用WAF。所以，我在本文就简略的分享一下阿里云盾-WAF网站防御的准确运用要领。

一、域名解析

大局部朋友，只是开启了云盾就无论了，这也就是许多朋友挨到CC袭击后，云盾却毫无反馈的缘由了。现实上WAF防御必须配合域名解析来运用。

阿里云的WAF网站防御现实上相当于没有缓存机制的百度云加快或360网站卫士，不过只能用cname接入方式，后续是否会联合万网解析，新增NS接入方式就不得而知了：

如上图所示，要开启WAF网站防御，就必须在域名解析那，将主机记载cname到云盾生成的CNAME地址。这时会员访问网站是这样一个状况：

会员阅读器 → 域名解析 →cname到云盾服务器 → 源服务器

当挨到袭击时，流量会经过云盾节点，并触发清洗机制，起到CC/DDoS防护作用。

当然，也有局部朋友晓得WAF运用要领，但可能是出于SEO考虑，这些朋友也只会在网站挨到袭击的时候才会修改为CNAME解析，由于CNAME解析到阿里云WAF域名后，IP并不是牢固的，这点和云加快之类的是一致的，不过遗憾的是WAF并没有搜寻引擎主动回源机制，所以运用cname之后，IP的频繁变更会对SEO造成不良影响！

如下图所示，运用WAF之后，网站IP也就变成了云盾节点IP了：

那该怎样解决这个题目呢？想必看过张戈博客上一篇文章的朋友已经了然于心了吧？没错！和存案不影响SEO的做法同样：将默许线路cname到阿里云WAF地址，然后再新增一条搜寻引擎线路，指定到源服务器IP即可！这样就可以长期开启云盾WAF防御，而不影响SEO了！

本想，百度自家的云加快解析，对搜寻引擎线路的判断应当是最靠谱的（关于做百度流量的网站来说），究竟是自家的产品，有哪些蜘蛛IP，都一清二楚，不会搞错！但现实测试发明，百度云加快当前并不支撑cname默许线路的同时，新增搜寻引擎线路，会提醒该记载已存在！

Ps：尝鲜版的百度云加快倒是支撑，地址是 http://next.su.baidu.com，感乐趣的可以自行测试下。

后来细心一想，百度虽然对本人的蜘蛛理解透辟，但是对其他几家呢？比方搜狗，比方360？预计是个半吊子。处于完备性考虑，我举荐运用DNSPOD解析，缘由无它，看图：

DNSPOD和百度有过合作，所以有一个百度专属线路，额外的还有搜寻引擎线路，想必比百度云加快收集的蜘蛛IP更加完美吧！

所以，准确的解析如下所示：

这样解析不光可以安心运用阿里云WAF防御，还可以隐蔽你的网站真实IP，以免产生源站被袭击只能换IP的尴尬（通过hosts当地解析进行袭击，啥CDN防护都没了作用！）

二、防护设置

可能开启了云盾，也准确解析了域名，但是被CC袭击时，云盾还是毫无反馈？！现实上还要设置下DDoS防护高级设置，由于云盾默许的DDoS防护阈值还是太高，如下所示：

清洗触发值： 每秒请求流量：180M 每秒报文数目：30000 每秒HTTP请求数：1000

我们这种搭建在阿里云的小博客，大局部带宽都只要1~2M，他人2M请求流量或100+并发就已经把你的网站打出了翔咯！所以许多朋友就算准确开启了WAF防御，被袭击的时候还是非常卡！

因而，我们必须依据本人网站的流量设置下阈值。

看了下，最低的请求流量是10Mbps，也就是10M带宽，所以个别ECS服务器基本不足看，由于水管太小了。。因而，我们需要设置另一个阈值：http并发请求。

关于我这种1M带宽的ECS，信赖100并发已经卡出了翔。所以，我们考虑设置在50下列：

Ps：当然做好了CDN动静别离的网站可以设置到100+，比方用了七牛CDN的朋友，总之得依据现实状况而定。

阈值只是触发的条件，下面还有一个触发之后的清洗限定，也就是发明并发超过阈值时，云盾对来访的单IP做连贯数限定，超过了这个限定就返回503：

准则上，触发清洗阈值之后，单一IP连贯数限定得越小越好，但是又不能将正常的访问阻挠在门外。所以这个限定该怎样定义还得看现实状况！当然，你可以通过模拟袭击去测试出一个合理的限定值，但是也得考虑一些局域网公用一个公网IP上网的状况（得看网站的挨众人群）。

看到这，信赖不少用阿里云服务器的朋友已经有所收成吧？再我看来，运用阿里云WAF的作用主要有2个，一个是根基DDoS防护，另一就是隐蔽网站真实IP。当你的网站经常被袭击，而云盾都没法完全清洗时，我们还可以在本文的根基上再套上一层百度云加快，通常不被袭击时，百度云加快设置回源，关闭加快即可，具体做法我就不多说了，看图即懂：

这种方案的网站访问模式如下：

会员阅读器 → 域名解析  →  百度云加快节点（缓存开启时） → 阿里云盾节点 → 源服务器

当然，这个方案只适用于百度云加快3.0尝鲜版，地址：http://.su.baidu.com/ ，感乐趣的本人去研究下吧！就写这么多，洗洗睡。

最新补充：提了好几次工单，才弄分明云盾中的DDoS和WAF是2个不一样的功能，看来是我了解错了！最后纠正下，DDoS中的DD/CC防护和WAF设置并无关系，也就是你不设置WAF的CNAME也没关系，只有开启了DDoS防护就可以了！所以本文中的局部描述是不到位的，但是必须注明的是，参考本文开启WAF之后，的确可以实现隐蔽真实IP的妙用！热烈倡议运用！

热门标签：dede模板 / destoon模板 / dedecms模版 / 织梦模板