아 리 클 라 우 드 방패 사이트 보안 방어(WAF)사용법(그림)
5796 단어 아 리 운 방패
이번에 특별히 구름 방패 위의 CC 보호 기능 을 살 펴 보 니 일부 친구 들 은 WAF 를 제대로 사용 하지 않 은 것 으로 추정 하고 있다.그래서 저 는 본 고 에서 아 리 운 방패-waF 사이트 방어 의 정확 한 사용 방법 을 간단하게 공유 하 겠 습 니 다.
도 메 인 이름 분석
대부분의 친구 들 은 구름 방 패 를 열 었 을 뿐 상관 하지 않 는 다.이것 이 바로 많은 친구 들 이 CC 의 공격 을 받 은 후에 구름 방 패 는 아무런 반응 이 없 는 이유 이다.실제로 WAF 방 어 는 도 메 인 이름 해석 에 맞 춰 사용 해 야 합 니 다.
아 리 클 라 우 드 의 WAF 사이트 방 어 는 실제 적 으로 캐 시 메커니즘 이 없 는 바 이 두 클 라 우 드 가속 또는 360 사이트 위 사 에 해당 하지만 cname 접속 방식 만 사용 할 수 있 습 니 다.나중에 만 망 분석 과 결합 하여 NS 접속 방식 을 추가 할 지 는 알 수 없습니다.
위의 그림 에서 보 듯 이 WAF 사이트 방 어 를 시작 하려 면 도 메 인 이름 으로 분석 해 야 합 니 다.호스트 를 클 라 우 드 방패 에 기록 하여 생 성 된 CNAME 주 소 를 기록 해 야 합 니 다.이때 사용자 가 사 이 트 를 방문 하 는 것 은 다음 과 같은 상황 이다.
사용자 브 라 우 저→도 메 인 이름 분석→cname 에서 클 라 우 드 방패 서버→소스 서버
공격 을 받 으 면 유량 은 구름 방패 노드 를 거 쳐 세척 체 제 를 촉발 하여 CC/DOS 보호 역할 을 한다.
물론 일부 친구 들 은 WAF 사용 방법 을 알 고 있 지만 SEO 를 고려 한 것 일 수도 있 습 니 다.이 친구 들 은 사이트 가 공격 을 받 았 을 때 만 CNAME 해석 으로 수정 할 수 있 습 니 다.CNAME 가 아 리 클 라 우 드 WAF 도 메 인 이름 을 분석 한 후에 IP 가 고정 되 어 있 지 않 기 때 문 입 니 다.이 점 은 클 라 우 드 가속 과 일치 하지만 안 타 깝 게 도 WAF 는 검색엔진 자동 리 소스 메커니즘 이 없습니다.따라서 cnname 을 사용 한 후 IP 의 빈번 한 변경 은 SEO 에 좋 지 않 은 영향 을 미 칠 수 있 습 니 다!
아래 그림 에서 보 듯 이 WAF 를 사용 한 후에 사이트 IP 도 클 라 우 드 방패 노드 IP 가 되 었 다.
그럼 이 문 제 를 어떻게 해결 해 야 합 니까?장 고 블 로그 에 올 라 온 글 을 꼭 보고 싶 은 친 구 는 이미 마음 에 드 시 죠?맞다!등록 이 SEO 에 영향 을 주지 않 는 방법 과 마찬가지 로 기본 라인 cname 을 아 리 클 라 우 드 WAF 주소 로 지정 한 다음 검색엔진 라인 을 추가 하여 원본 서버 IP 로 지정 하면 됩 니 다!이렇게 하면 SEO 에 영향 을 주지 않 고 클 라 우 드 방패 WAF 방 어 를 장기간 시작 할 수 있 습 니 다!
본 고 는 바 이 두 자신의 클 라 우 드 가속 분석 이 검색엔진 라인 에 대한 판단 이 가장 믿 을 만 한 것 이 라 고 생각 했 습 니 다.(바 이 두 트 래 픽 을 하 는 사이트 에 있어)자신의 제품 이기 때문에 어떤 거미 IP 가 있 는 지 잘 알 고 있 습 니 다.틀 리 지 않 을 것 입 니 다!그러나 실제 테스트 에 따 르 면 바 이 두 클 라 우 드 가속 화 는 현재 cname 기본 라인 을 지원 하지 않 는 동시에 검색엔진 라인 을 추가 하면 이 기록 이 존재 한 다 는 것 을 알 릴 수 있 습 니 다!
Ps:맛 보기 버 전의 바 이 두 클 라 우 드 가속 은 지원 합 니 다.주 소 는?http://next.su.baidu.com,관심 있 는 것 은 스스로 테스트 해 보 세 요.
나중에 곰 곰 이 생각해 보 니 바 이 두 는 자신의 거미 에 대해 잘 알 고 있 지만 다른 몇 군데 에 대해 서 는?예 를 들 면 개 수색,예 를 들 면 360?덜렁이 일 거 야.완전 성 을 고려 하여 저 는 DNSPOD 로 해석 하 는 것 을 추천 합 니 다.원인 이 없 으 면 그림 을 보 세 요.
DNS POD 는 바 이 두 와 합작 한 적 이 있 기 때문에 바 이 두 전속 노선 이 있 습 니 다.추가 적 으로 검색엔진 라인 도 있 습 니 다.바 이 두 클 라 우 드 가 빠르게 수집 하 는 거미 IP 보다 더욱 완벽 할 것 입 니 다!
그래서 정확 한 해석 은 다음 과 같다.
이렇게 해석 하면 아 리 클 라 우 드 WAF 방 어 를 안심 하고 사용 할 수 있 을 뿐만 아니 라 사이트 의 실제 IP 도 숨 길 수 있 습 니 다.소스 사이트 가 공격 당 하면 IP 만 바 꿀 수 있 는 난처 함 을 피 할 수 있 습 니 다.(hosts 로 컬 분석 을 통 해 공격 하면 어떠한 CDN 보호 도 소 용이 없습니다!)
2.보호 설정
구름 방 패 를 열 었 을 수도 있 고 도 메 인 이름 도 정확하게 분 석 했 을 수도 있 지만 CC 에 공격 당 했 을 때 구름 방 패 는 반응 이 없 었 습 니까?!실제 적 으로 DDoS 보호 고급 설정 도 설정 해 야 한다.클 라 우 드 방패 의 기본 적 인 DDoS 보호 한도 가 너무 높 기 때문에 다음 과 같다.
세척 트리거 값:초당 요청 트 래 픽:180 M 초당 메시지 수량:30000 초당 HTTP 요청 수:1000
우리 같은 아 리 운 에 세 워 진 작은 블 로 그 는 대부분 대역 폭 이 1~2M 밖 에 안 되 는데 다른 사람 이 2M 요청 데이터 나 100+동시 다발 로 당신 의 사 이 트 를 날 렸 습 니 다!그래서 많은 친구 들 이 WAF 방 어 를 정확하게 열 어도 공격 당 할 때 매우 끊 긴 다!
따라서 우 리 는 반드시 자신의 사이트 의 데이터 에 따라 한도 값 을 설정 해 야 한다.
살 펴 보면 가장 낮은 요청 트 래 픽 은 10Mbps,즉 10M 대역 폭 이기 때문에 일반 ECS 서버 는 수도관 이 너무 작 기 때문에 전혀 볼 수 없다.따라서,우 리 는 다른 한도 값 을 설정 해 야 합 니 다:http 동시 요청.
나 같은 1M 대역 폭 의 ECS 에 대해 서 는 100 병발 이 이미 끊 겼 다 고 믿는다.그래서 우 리 는 50 이하 로 설정 하 는 것 을 고려 합 니 다.
Ps:물론 CDN 움직임 이 분 리 된 사 이 트 는 100+까지 설정 할 수 있 습 니 다.예 를 들 어 7 우 CDN 을 사용 한 친구 들 은 어쨌든 실제 상황 에 따라 정 해 야 합 니 다.
한도 값 은 트리거 의 전제 일 뿐 다음 에 트리거 후의 세척 제한 이 있다.즉,동시 다발 이 한도 값 을 초과 한 것 을 발견 하면 클 라 우 드 방패 가 방문 한 단일 IP 에 대해 연결 수 제한 을 하고 이 제한 을 초과 하면 503 으로 돌아간다.
원칙적으로 세척 한도 값 을 터치 한 후 단일 IP 연결 수 는 작 을 수록 좋 지만 정상 적 인 방문 을 문 밖으로 막 을 수 는 없다.그래서 이 제한 을 어떻게 정의 해 야 하 는 지 는 실제 상황 에 달 려 있다!물론 아 날로 그 공격 을 통 해 합 리 적 인 제한 치 를 테스트 할 수 있 지만 일부 랜 이 공공 네트워크 IP 를 사용 하여 인터넷 에 접속 하 는 상황 도 고려 해 야 한다(사이트 의 시청자 들 을 봐 야 한다).
이 를 보고 아 리 클 라 우 드 서버 를 사용 하 는 친구 들 이 많은 것 을 얻 었 을 거 라 고 믿 죠?제 가 볼 때 아 리 클 라 우 드 WAF 를 사용 하 는 역할 은 주로 2 가지 가 있 는데 하 나 는 기본 DDoS 보호 이 고 다른 하 나 는 사이트 의 실제 IP 를 숨 기 는 것 입 니 다.당신 의 사이트 가 자주 공격 을 받 고 구름 방패 가 완전히 세척 되 지 않 을 때 우 리 는 본 고 를 바탕 으로 바 이 두 클 라 우 드 의 속 도 를 한 층 더 추가 할 수 있 습 니 다.평소에 공격 을 받 지 않 을 때 바 이 두 클 라 우 드 는 가속 설정 을 가속 화하 고 속 도 를 닫 으 면 됩 니 다.구체 적 인 방법 은 더 이상 말 하지 않 겠 습 니 다.그림 을 보면 알 수 있 습 니 다.
이러한 방안 의 사이트 방문 모델 은 다음 과 같다.
사용자 브 라 우 저→ 도 메 인 이름 분석 → 바 이 두 클 라 우 드 가속 노드(캐 시 오픈 시)→아 리 클 라 우 드 방패 노드→소스 서버
물론 이 방안 은 바 이 두 클 라 우 드 가속 3.0 맛 보기 판 에 만 적 용 됩 니 다.주소:http://.su.baidu.com/ ,관심 있 는 사람 은 직접 가서 연구 해 보 세 요!이렇게 많아
최신 보충:여러 번 의 작업 명세 서 를 제출 하고 나 서 야 구름 방패 중의 DDoS 와 WAF 가 두 가지 다른 기능 이라는 것 을 알 게 되 었 다.보아하니 내 가 잘못 이해 한 것 같다!마지막 으로 바로 잡 으 면 DDoS 의 DD/CC 보호 와 WAF 설정 은 상관 이 없습니다.즉,WAF 의 CNAME 를 설치 하지 않 아 도 괜 찮 습 니 다.DDoS 보호 만 켜 면 됩 니 다!그래서 본 논문 의 일부 묘 사 는 제대로 되 지 않 지만 반드시 설명 해 야 할 것 은 본 고 를 참고 하여 WAF 를 시작 한 후에 진실 한 IP 를 숨 기 는 묘 미 를 실현 할 수 있다 는 것 이다!강력 히 사용 을 권장 합 니 다!