WAF(Web Application Firewall):网站应用防护墙
背景
使用阿里云服务器及相关 waf 应用。有一些客户端需要定期访问网站的某一地址,最近客户端起量较大导致访问量较大,从而使 waf 产生的费用较高。waf 防护位置为 LoadBalance 之前。
为了响应“降本增效”,讨论了几种解决方案以供大家根据实际需求参考执行。
解决方案
一、优化客户端
修改客户端逻辑,使其访问量达到合理阈值。
结论:❌目前难度较大,客户端不受控制或无法升级
二、端口号利用
由于客户端都是80端口访问,考虑放弃 80 端口,仅防护443端口。
结论:✅可行,需要少量修改应用内的 http 为 https 调用即可
三、自建防火墙
利用开源社区的力量,放弃使用云产品自己搭建waf
结论:❌目前服务较多,更主要的是需要花费精力去调教规则,安全性会差一些
四、改变防护位置
当前防护位置如下:
client –> a.com –> waf –> lb –> ecs
修改为:
client –> a.com –> lb –> waf –>ecs
在阿里云上体现为防护的接入方式由云产品CLB变更为ECS,把客户端访问的地址单独放一台低配服务器,不做防护即可。
结论:✅可行,仅需变更防护方式即可
五、修改域名
将当前业务域名放弃防护,正常业务改用新域名
结论:❌目前正常业务域名使用较多,涉及支付、三方调用、推送等等,业务牵扯部门较多且有未知风险
六、变更收费方式
将当前按量付费修改为包年包月付费
结论:❓视正常业务访问量决定(目前改为包年包月后费用反而更高,暂不符合当前的降本增效目标)
小鸡不配拥有waf,随便打,我直接关机