腾讯云EdgeOne免费版不限量流量,阿里云ESA免费版不限量流量,但基础CDN只加速不防护。百度云防护WAF拥有近千条安全规则、JA4指纹识别等专业能力,却没有CDN加速。把两者组合起来,你就能同时拥有“CDN的免费带宽”和“WAF的专业防护”。本文手把手教你配置腾讯云EdgeOne和阿里云ESA与百度云防护WAF的组合方案,实现“免费加速 + 专业防护”的双赢架构。
一、 为什么要把WAF和免费CDN组合在一起?
1.1 免费CDN的优势与短板
腾讯云EdgeOne免费版和阿里云ESA免费版的核心价值是全球加速。
腾讯云EdgeOne免费版核心配额:
- 安全加速流量:不限量
- 安全加速请求数:不限量
- 可接入站点数量:1个
- 可接入子域名数量:200个/站点
阿里云ESA免费版核心配额:
- 不限流量,提供边缘节点分发、DDoS基础防护等核心能力
但免费CDN在安全防护层面存在明显短板:
| 安全能力 | 腾讯云EdgeOne免费版 | 阿里云ESA免费版 |
|---|---|---|
| 高级WAF规则(SQL注入/XSS完整防护) | ❌ 仅基础漏洞规则集 | ❌ 不支持 |
| Bot管理拦截模式 | ❌ 仅支持观察 | ❌ 不支持 |
| 精准自定义规则 | ❌ 最多5条基础管控 | ❌ 不支持 |
| JA4指纹识别 | ❌ 不支持 | ❌ 不支持 |
1.2 百度云防护WAF的强项
百度云防护WAF集成了Web应用防火墙、DDoS防护、CC攻击防护能力。核心安全能力包括:
- 内置OWASP Top 10威胁防护规则,有效拦截SQL注入、XSS跨站、Webshell上传等攻击
- 支持JA3和JA4指纹识别,精准区分正常浏览器和自动化工具
- 基于百度安全大数据的IP动态情报,实时识别恶意IP、爬虫IP、秒拨IP等
- 自定义规则匹配条件丰富,支持UA、IP、Referer、URL、JA3、JA4、区域等多种字段
- 安全规则每月更新,及时覆盖新漏洞
1.3 1+1>2的组合架构
流量流向:用户 → 免费CDN节点 → 百度云防护WAF → 你的源站服务器
- CDN负责边缘节点缓存静态资源、就近加速
- WAF在中间层检测和拦截攻击流量,补足免费CDN缺失的安全能力
- 源站只接收清洗后的干净请求,压力大幅降低
核心价值:
- 享受免费CDN的全球加速和带宽红利
- 享受百度云防护WAF的专业安全防护
- 源站IP被双层隐藏,攻击者更难找到真实服务器
- 综合成本远低于购买高防CDN
二、 腾讯云EdgeOne + 百度云防护WAF组合配置教程
2.1 前提条件
- 已开通腾讯云EdgeOne免费版(限量内测)
- 已购买百度云防护WAF服务(专业版及以上)
- 域名已备案(国内CDN要求)
- 拥有域名DNS修改权限
2.2 第一步:在百度云防护WAF中添加防护域名并配置真实IP传递
- 登录百度云防护控制台 → 进入 Web应用防火墙 → 域名接入 → 添加域名
- 输入业务域名(如
www.zhujib.com) - 配置回源地址:填写你的源站服务器IP或域名
- 配置转发规则:设置前端端口(80/443)和回源协议/端口
- 关键步骤:在“WAF前是否有七层代理”选项中,选择 “是”
- 客户端IP判定方式:选择 “取指定Header字段中的第一个IP作为客户端源IP,避免XFF伪造”,并填写Header字段为
X-Forwarded-For(如果CDN传递的是其他字段,如ali-real-client-ip,则填对应字段) - 保存配置,WAF会生成一个CNAME地址(如
waf-www.zhujib.com-rxel4nk2jw.baiduads.com)
注意:真实IP传递的配置是在域名接入环节完成的,而不是在自定义规则中。这一步至关重要,否则WAF只能看到CDN节点的IP,导致CC防护、IP黑名单等功能失效。
2.3 第二步:在腾讯云EdgeOne中添加加速域名
- 登录腾讯云EdgeOne控制台 → 域名管理 → 添加站点/域名
- 输入你的业务域名(
www.zhujib.com) - 源站配置:源站类型选择 域名,源站地址填写百度云防护WAF生成的CNAME地址(关键步骤!)
- EdgeOne会生成一个CNAME地址(如
www.zhujib.com.cdn.dnsv1.com) - 配置缓存规则:静态资源建议设置较长缓存时间
2.4 第三步:配置DNS解析
- 登录你的域名DNS服务商
- 将你的业务域名(
www.zhujib.com)CNAME解析到腾讯云EdgeOne提供的CNAME地址 - 等待DNS解析生效(5-30分钟)
2.5 第四步:验证配置
- 使用
nslookup检查域名解析是否指向EdgeOne节点 - 访问网站,确认页面正常加载
- 登录百度云防护控制台 → 攻击详情,查看是否有流量记录
- 检查WAF日志中的客户端IP是否为真实用户IP,而非CDN节点IP
三、 阿里云ESA + 百度云防护WAF组合配置教程
3.1 前提条件
- 已开通阿里云ESA免费版(通过官方活动领取)
- 已购买百度云防护WAF服务
- 域名已备案或选择合适加速区域
3.2 第一步:百度云防护WAF配置
同2.2步骤,在域名接入时:
- 选择“WAF前有七层代理”为“是”
- 客户端IP判定方式:指定Header字段填写
X-Forwarded-For(或开启ESA托管转换后使用ali-real-client-ip)
3.3 第二步:在阿里云ESA中添加加速域名
- 登录阿里云ESA控制台 → 域名管理 → 添加域名
- 输入业务域名(
www.zhujib.com) - 源站地址:填写百度云防护WAF的CNAME地址
- 回源Host:设置为你的业务域名(
www.zhujib.com) - 选择加速区域:已备案可选“全球加速”,未备案可选“全球(不含中国内地)”
- ESA会生成一个CNAME地址
3.4 第三步:配置DNS解析
将业务域名的CNAME解析记录指向阿里云ESA提供的CNAME地址。
3.5 第四步:验证配置
同2.5步骤,验证加速生效、WAF工作正常、真实IP传递正确。
四、 架构示意图
用户访问
↓
【腾讯云EdgeOne / 阿里云ESA】 ← 边缘节点缓存静态资源,全球就近加速,不限量流量
↓ (回源到WAF)
【百度云防护WAF】 ← SQL注入拦截、XSS防护、CC防护、JA4指纹识别、IP情报库
↓ (回源到源站)
【你的源站服务器】 ← 只接收清洗后的干净请求五、 常见问题解答
5.1 CDN回源到WAF会增加延迟吗?
会略有增加,但实际影响很小(通常10-30ms),整体速度仍远快于直接访问源站。
5.2 免费CDN流量用完了怎么办?
腾讯云EdgeOne和阿里云ESA免费版均不限流量,不会因流量问题额外收费。
5.3 这种架构能防大流量DDoS吗?
免费CDN提供平台级DDoS基础防护,百度云防护WAF也内置清洗能力。如需防御百Gbps以上攻击,建议在前面再叠加速度网络高防IP,形成多层防御链。
5.4 为什么不在百度云防护内部直接集成CDN?
百度云防护是WAF产品,不包含CDN加速。这种“WAF+第三方CDN”的分层架构更灵活,可自由选择最适合的CDN服务商。
5.5 免费版CDN有什么限制?
无SLA承诺,适用于个人开发者、非营利性项目和技术验证阶段,不建议用于对稳定性要求极高的核心业务。
六、 成本对比
| 组件 | 作用 | 成本 |
|---|---|---|
| 腾讯云EdgeOne/阿里云ESA免费版 | 全球加速、静态资源缓存 | 0元 |
| 百度云防护WAF(专业版) | 拦截各类Web攻击 | 299元/月 |
| 你的源站服务器 | 运行业务 | 自购或租赁 |
通过这种组合,你可以用免费CDN的全球加速能力,享受企业级WAF的专业安全防护,实现“加速不花钱,安全不打折”。
七、 总结
腾讯云EdgeOne和阿里云ESA提供了优秀的基础加速能力,百度云防护WAF补齐了安全防护的短板。将两者组合使用,可以构建一个低成本、高效率、多层防护的网站安全加速架构。
如果你在配置过程中遇到任何问题,欢迎联系主机吧。我们提供免费安全评估和配置指导,助你轻松搭建“免费加速+专业防护”的安全架构。
主机吧 | 百度云防护官方合作伙伴
提供WAF接入、高防CDN、高防IP、高防服务器、SSL证书一站式服务
让免费CDN也有企业级安全,让每一分预算都花在刀刃上。
