CDN加速WAF防护资源实践（cdn 云防护）

本方案的前提是：已经按照域名准入要求准备好需要接入的域名和账号；已购买WAF；已开通CDN服务。       CDN是构建在现有互联网基础之上的一层智能虚拟网络，通过在网络各处部署节点服务器，实现将源站内容分发至所有CDN节点，使用户可以就近获得所需的内容，所以接入CDN的网站都能有比较快的响应速度。

Web应用防火墙（WAF：Web Application Firewall），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。

如果您的网站对安全性能要求比较高，同时又有加速的需求，可以使用CDN联动WAF配置，实现加速的同时防护Web攻击。

CDN+WAF的配置原理

CDN+WAF联动的业务流向为：CDN>WAF>源站，流量由CDN转发到WAF，WAF再将流量转到源站，实现网站加速、流量检测和攻击拦截。

配置场景

本文配置以您的WAF在为例，为您介绍开通CDN+WAF联动部署。如果您的WAF在其它云服务，请参考本文完成配置。

场景1：**已购买WAF并添加防护域名**，配置CDN+WAF联动

如果您已经将域名接入WAF防御，要配置CDN+WAF联动，您需要先将WAF域名基本信息中的“是否已使用代理”修改为“是”，WAF才能够针对真实源IP进行安全策略防御；然后在CDN侧添加加速域名，将WAF的CNAME作为CDN的源站，CDN才能将流量转发给WAF，实现加速和Web攻击防御联动。

使用限制：

CDN的加速域名仅支持默认端口，以非标端口的方式接入WAF的防护域名将无法接入CDN。如果您在WAF侧为防护域名配置了HTTPS证书，请同步在CDN侧完成证书配置，否则会导致域名无法访问。

操作步骤

场景2：加速域名已经接入CDN加速，配置CDN+WAF联动

如果您的域名已经接入CDN加速，现在需要配置CDN+WAF联动，您需要先在WAF添加防护域名，“是否已使用代理”选项选择“是”，WAF才能够针对真实源IP进行安全防御；然后将CDN侧加速域名的源站修改WAF的CNAME，CDN才能将流量转发给WAF，实现加速和Web攻击防御联动。

使用限制：

如果您在CDN侧为加速域名配置了HTTPS证书，请同步在WAF侧完成证书配置，否则会导致域名无法访问。

操作步骤

将CDN加速域名的源站地址修改为WAF的CNAME域名。

完成以上配置后，流量经过CDN转发到WAF，达到加速和Web攻击防护的目的。