WAF/高防-高速通道跨地域回源测试

最新推荐文章于 2024-11-09 11:27:16 发布
最新推荐文章于 2024-11-09 11:27:16 发布
阅读量234 收藏
点赞数
文章标签: 运维
原文链接:https://yq.aliyun.com/articles/229374
版权

测试场景

由于链路问题,为了保障链路质量,通过高速通道跳转回源。 使用华东1的VPC模拟A区域,使用华东2的VPC模拟B区域的,服务端为真实的源站。 即: client->华东1vpc->华东2VPC->源站服务器;
部署为http服务。

测试环境

1.客户端:华北1 ECS:xx.xx.17.204 2.模拟中转环境:
地域
vpc实例ID
网段
路由接口
测试ECS实例
私网IP
公网IP
华东1
vpc-bp15quc1ec8jgbexxxx
192.168.0.0/16
ri-bp17uip06c3lxxx
i-bp16bg1pf5e0ozhdrxx
192.168.100.11
xx.xx.175.46
华东2
vpc-uf6dkst3815ispzxxxxx
172.16.0.0/12
ri-uf6oh5quroxxx
i-uf6itotpmd9k9u7b0xx
172.24.2.33
xx.xx.135.89
3.服务端:华南1 ECS:xxx.xxx.247.201 4.测试域名: tz.pier39.cn 域名解析到华东1的ECS公网IP上 xx.xx.175.46

路由配置

华东1

vpc-bp15quc1ec8jgbexxxx 配置 172.16.0.0/12 这个网段的路由指向 ri-bp17uip06c3lxxxx
ca8d82d8-dad4-48a2-8858-85201ff7ffee.png

华东2

vpc-uf6dkst3815isxxxxx 配置192.168.0.0/16 这个网段的路由指向 ri-uf6oh5quroxxxxx
9ace6d22-8644-4e6d-a0cf-e78436d66248.png
配置后测试互ping正常
e1fb98f0-e2e5-4b6f-8bf1-3c88ac00f00b.png
37e84d73-65a6-4353-88c4-38ed0e2079c3.png

服务配置

注:主配置文件没有改动,2台ECS就贴一份了。 主配置文件: 
# For more information on configuration, see:
#   * Official English Documentation: http://nginx.org/en/docs/
#   * Official Russian Documentation: http://nginx.org/ru/docs/

user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;

# Load dynamic modules. See /usr/share/nginx/README.dynamic.
include /usr/share/nginx/modules/*.conf;

events {
    worker_connections 1024;
}

http {
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile            on;
    tcp_nopush          on;
    tcp_nodelay         on;
    keepalive_timeout   65;
    types_hash_max_size 2048;

    include             /etc/nginx/mime.types;
    default_type        application/octet-stream;

    # Load modular configuration files from the /etc/nginx/conf.d directory.
    # See http://nginx.org/en/docs/ngx_core_module.html#include
    # for more information.
    include /etc/nginx/conf.d/*.conf;

    server {
        listen       80 default_server;
        listen       [::]:80 default_server;
        server_name  _;
        root         /usr/share/nginx/html;

        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;

        location / {
        }

        error_page 404 /404.html;
            location = /40x.html {
        }

        error_page 500 502 503 504 /50x.html;
            location = /50x.html {
        }
    }
# Settings for a TLS enabled server.
#
#    server {
#        listen       443 ssl http2 default_server;
#        listen       [::]:443 ssl http2 default_server;
#        server_name  _;
#        root         /usr/share/nginx/html;
#
#        ssl_certificate "/etc/pki/nginx/server.crt";
#        ssl_certificate_key "/etc/pki/nginx/private/server.key";
#        ssl_session_cache shared:SSL:1m;
#        ssl_session_timeout  10m;
#        ssl_ciphers HIGH:!aNULL:!MD5;
#        ssl_prefer_server_ciphers on;
#
#        # Load configuration files for the default server block.
#        include /etc/nginx/default.d/*.conf;
#
#        location / {
#        }
#
#        error_page 404 /404.html;
#            location = /40x.html {
#        }
#
#        error_page 500 502 503 504 /50x.html;
#            location = /50x.html {
#        }
#    }

}

1.华东1

VPC ECS实例(192.168.100.11)上配置nginx提供80端口服务,并反向代理到华东2-VPC ECS实例(172.24.2.33)的80端口上; 
upstream tzserver {
    server 172.24.2.33:80;
    }
server {
        listen       80;
        server_name  tz.pier39.cn;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;

        location / {
            proxy_pass   http://tzserver;
            index  index.html index.htm;
            proxy_set_header Host $http_host;
            proxy_set_header X-Forward-For $remote_addr;
        }
    }

2.华东2

VPC ECS实例(172.24.2.33)上配置nginx提供80端口服务,并反向代理到服务端华南1 ECS:120.24.247.201的80端口上; 
upstream tzserver33 {
    server 120.24.247.201:80;
    }
server {
        listen       80;
        server_name  tz.pier39.cn;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;

        location / {
            proxy_pass   http://tzserver33;
            index  index.html index.htm;
            proxy_set_header Host $http_host;
            proxy_set_header X-Forward-For $remote_addr;
        }
    }

测试

能够正常访问到 服务端(xxxx.xxx.247.201)的内容。
2659a1d130fab31770e0d853710b0b7dec57382f

总结

1.业务架构

这个这里介绍的架构比较简单只是ECS到ECS最后回源到服务端。 如果考虑高可用,可以加入slb。类似架构: client->华东1 slb->华东1 ECS->华东2 slb -> 华东2 ECS->源站
如果接入高防/waf可以类似的架构: client->WAF/高防->华东1 slb->华东1 ECS->华东2 slb -> 华东2 ECS->源站
如果接入CDN的架构类似: client->CDN->WAF->华东1 slb->华东1 ECS->华东2 slb -> 华东2 ECS->源站
如果出现链路拥塞时,可以考虑如此配置,规避链路问题;

2.业务类型

这里介绍的业务为http的,同理https的方式是是一样的。
使用到的原理为请求的转发,如果其他类型的业务能够满足这个条件也可以使用。
3.其他
上述配置过程中,相关高速通道的配置内容没有细节,只注重了实现。
具体的方法可以参考链接内容: https://help.aliyun.com/document_detail/44842.html
weixin_34357962
关注
CDN 的缓存与回源机制解析
Fairy的博客
12-17 1089
CDN (Content Delivery Network,即内容分发网络)指的是一组分布在各个地区的服务器。这些服务器存储着数据的副本,因此服务器可以根据哪些服务器与用户距离最近,来满足数据的请求。 CDN 提供快速服务,较少受高流量影响。 一、CDN的核心功能 CDN 的核心点有两个,一个是缓存,一个是回源。 “缓存”就是说我们把资源 copy 一份到 CDN 服务器上这个过程 “回源...
什么叫CDN回源和域名回源,如何采用正确的正确的回源策略
qq422431474的博客
02-23 2455
什么是回源?域名回源的含义是什么? 答:在搜索引擎中所谓的域名回源就是搜索引擎的蜘蛛在爬行的过程中直接抓取源地址上的内容而不是存在各个节点(CDN)上的缓存内容。   CDN回源率计算方法 如何计算回源比? 回源比分为回源请求数比例及回源流量比例两种 回源请求数比:统计数据来自所有边缘节点上的请求记录,其中,对于没有缓存或缓存过期(可缓存)的请求以及不可缓存的请求,均计
阿里云CDN回源host理解
测试
02-15 1639
源站: 源站决定了回源时,请求到哪个IP回源host:回源host决定回源请求访问到该IP上的哪个站点1:源站是域名源站为www.a.com 回源host为www.b.com那么实际回源是请求到www.a.com解析到的IP,对应的主机上的站点www.b.com2:源站是IP源站为1.1.1.1 回源host为www.b.com那么实际回源的是1.1.1.1对应的主机上的 站点w...
简述"回源"
一只不知疲倦的学习猿
03-17 7191
参考文章:songchunmin “回源”是CDN(内容分发网络)领域的专用词,指的是CDN服务器从源站获取所要分发的内容。 CDN服务器一般不主动回源,只有当用户向CDN请求资源而资源不存在或者已过期,才会向源站请求资源,即回源。 ...
为什么需要放行回源IP
ajax_beijing_java的博客
01-18 1271
网站以“独享模式”成功接入WAF后,所有网站访问请求将先经过独享引擎配置的ELB然后流转到独享引擎实例进行监控,经独享引擎实例过滤后再返回到源站服务器,流量经独享引擎实例返回源站的过程称为回源。一旦WAF回源IP被屏蔽,WAF的请求将无法得到源站的正常响应,因此,网站以“独享模式”接入WAF防护后,您需要在源站服务器上设置放行创建的独享引擎实例对应的子网IP,不然可能会出现网站打不开或打开极其缓慢等情况。选择“入方向规则”页签,单击“添加规则”,进入“添加入方向规则”页面,参数配置说明如表1所示。
docker-nginx-lua-waf:基于 Nginx + Lua 技术栈的 WAF
07-22
nginx-lua-waf 用法 自己构建镜像bilxio/nginx-lua-waf ,在nginx-lua-waf文件夹执行如下命令: docker build -t bilxio/nginx-lua-waf . 或者,直接拉它, docker pull bilxio/nginx-lua-waf 要运行映像并将...
WAF-A-MoLE:基于ML的Web应用程序防火墙的基于变异的引导模糊器
05-08
WAF-A-MoLE 受AFL启发并基于Andreas Zeller等人的 ,针对基于ML的Web应用程序防火墙的基于突变的引导。 给定一个输入SQL注入查询,它会尝试生成一个语义不变的查询,该查询能够绕过目标WAF。 您可以使用此工具通过...
waf源代码---基于Python脚本
04-05
因此,下载的“waf-master”可能是一个包含WAF完整源代码的Git仓库主分支。 基于这些信息,我们可以深入讨论以下几个相关知识点: 1. **Python编程**:Python是一种高级、通用的编程语言,因其简洁的语法和丰富的...
第47天:WAF绕过-漏洞发现之代理池指纹被动探针1
08-03
1.扫描速度-(代理池,延迟,白名单等) 2.工具指纹-(特征修改,伪造模拟真实用户等) 3.漏洞 Payload-(数据变异,数据加密,白名单等)
测试-WAF防护测试-2020.8.27.docx
09-01
这个是公司新买了一台WAF,我测试功能是否正常时的记录。仅供同学们参考,没有太多的技术含量。如果同学们在使用的过程中有不明白的地方可以咨询我
抄了一段nginx安全配置
weixin_30325793的博客
01-27 734
location = /robots.txt { access_log off; log_not_found off; } location = /favicon.ico { access_log off; log_not_found off; } location ~ /\. { access_log off; log_not_found off; deny all; } l...
高防ip与WAF的区别是什么 全面分析一看就懂
White_Lee的专栏
03-23 678
随着现在互联网的发展与进步,不仅给我们的生活与工作带来了便利,同时也带来了许多麻烦,其中影响最大的当然是网络攻击了。但我们对网络攻击也不是束手无策的,比如高防IP、WAF等等都是用来防御网络攻击的。那么高防ip与WAF的区别是什么呢?下面小编就来给大家全面分析一下,帮助大家一看就懂,千万别错过哦! 高防IP 高防IP是针对互联网服务器在遭受大流量的DDoS攻击后导致服务不可用的情况下,推出的付费增值服务,用户可以通过配置高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠。 高防ip是指高防机.
waf 防火墙限制_WAF常见问题
weixin_30781567的博客
12-30 3159
本文汇总了您在购买和使用Web应用防火墙(WAF)时的常见问题。非阿里云服务器能否使用WAF?可以,WAF支持云外机房用户接入。WAF可以保护任何公网路由可达的服务器,不论是阿里云、其他的云服务、IDC机房等环境,都可以使用WAF。说明 在中国内地地域接入的域名必须按照工信部要求完成ICP备案,否则不支持接入。WAF支持云虚拟主机吗?支持,WAF的所有版本都支持独享虚拟主机,直接开通WAF进行配置...
[转]Web应用防火墙WAF详解
热门推荐
heiyeluren的blog(黑夜路人的开源世界)
05-05 1万+
本文详细描述了从Nginx配置到打造一个WAF,到现有可用WAF工具的过程,希望有参考学习价值。
宝塔面板开启隐藏的 waf 防火墙的方法
风火纶回
08-02 1万+
宝塔配置NGINX,默认的宝塔面板是安装了ngx_lua_waf模块的,在5.9版本中面板集成的waf,所以可以在5.9版本的nginx中看到过滤器这个功能,并且可以设置。 在6.X版本中,宝塔面板还是编译了ngx_lua_waf模块,该如何在宝塔面板6.X中开启隐藏的nginx防火墙。 部分源代码: http { include mime.types; #include luawaf.conf;...
linux rocky 9.4部署和管理docker harbor私有源
xikui1551的博客
11-08 829
rocky 部署Harbor私有镜像仓库
PVE纵览-从零开始:了解Proxmox Virtual Environment
最新发布
DreamLife
11-09 740
在这篇文章中,我们将从零开始,带你了解Proxmox Virtual Environment(PVE)。作为一款开源虚拟化管理平台,PVE结合了KVM和LXC技术,提供了强大的虚拟机和容器管理功能。无论是家庭实验室用户还是企业IT专业人士,PVE都能满足多样化的需求。通过这篇简明介绍,你将掌握PVE的基本概念、核心功能及其在虚拟化领域的优势,为进一步学习和应用打下坚实基础。
github加速下载zip
梨子社区
11-08 111
【代码】github加速下载zip。
zr@zr-virtual-machine:~/桌面/tarballs/ns-allinone-3.36.1/ns-3.36.1$ sudo ./waf --run scratch/myfirst sudo: ./waf:找不到命令
10-09
当你试图运行`sudo ./waf --run scratch/myfirst`但遇到`sudo: ./waf: 找不到命令`错误时,这可能是因为`waf`脚本不在系统的PATH环境变量中,或者你当前所在目录不是`waf`可执行文件所在的目录。 解决这个问题的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值