经过主机帮多次建议,百度云防护上线了第三方七层代理防御功能。
该功能的主要用作是可以在网站访问前面增加第三方的高防或CDN产品。
比如我们想用阿里云CDN,但是阿里云CDN默认web应用防火墙(WAF)能力的,我们又不想用阿里云的web应用防火墙套餐怎么办?有了这个功能后,我们就可以实现既可以用阿里云CDN,也可以用百度云防护WAF功能了。
客户访问——阿里云CDN——百度云防护WAF——你的服务器
操作方法如下:
1.百度云防护子域名配置里,WAF前是否有七层代理(高防/CDN等)选择是。
2.客户端IP判断方式:
一般的CDN是默认X-Forwarded-For作来识别真实用户IP的请求头的,不过阿里云有 特有的回源 HTTP 请求头为Ali-Cdn-Real-Ip,所以我们建议使用指定Header字段,可以避免XFF伪造,便有利于WAF拦截。
3.开启该功能后,我们复制百度云防护的cname记录
4.再阿里云CDN配置源站信息
选着源站域名,域名写刚才百度云防护的cname 确认
5.复制阿里云CDN的cname地址
6.到域名DNS解析阿里云CDN的cname
这样就完成了防御功能,可以享受阿里云CDN的全球加速,也可以享受百度云防护的WAF防御能力,可基于百度云20年+安全防护经验构建的内置规则集,对常见的Web应用攻击,如SQL注入、XSS攻击、网页挂马等提供安全防护能力,也可以支持CC攻击防御和自定义访问策略。
需要说明的是此时你网站的 ddos防御能力是基于网站访问最前端的服务来决定的,所以ddos防御能力是按阿里云CDN的能力来算的,而阿里云CDN默认只是5G的防御能力,所以如果你网站遭遇大型DDOS攻击的,建议在百度云防护前面加上高防IP,而不是普通CDN。
百度云防护本身具备一定的DDOS清洗能力(20G左右),但不适合防御频繁被DDOS非常高的网站,有了这个功能后,我们可以在遭遇大型DDOS攻击的时候,在百度云防护前面加上高防IP来防御DDOS,这样不至于因攻击超时而被百度停止服务。
