全球化应用需要应对来自全球各地用户的访问,同时需要对所有进出流量统一管控防护。全球加速GA依托阿里云优质BGP带宽和全球传输网络,提供高可靠和高性能的网络加速服务,云防火墙的互联网边界防火墙提供精细化的流量管控和防护能力。通过GA和云防火墙联动,可以有效提升应用的安全性、性能和稳定性。
场景示例
某企业应用部署在美国硅谷,客户端主要集中在中国。该企业面临以下问题:
因跨国公网不稳定,客户端经常出现延迟、抖动、丢包等网络问题。
海外流量中存在较高比例的恶意攻击、爬虫和其他非目标用户的访问,不仅对应用安全有一定威胁,还增加了不必要的流量,导致服务器负载增加,影响整体性能。
为解决以上问题,该企业决定通过GA提升中国地区客户端的访问体验。同时,使用云防火墙的互联网边界访问控制策略功能,拦截海外区域的流量访问。
使用限制
云防火墙的互联网边界防火墙支持防护的公网资产类型包括GA的加速IP(即GA EIP类型),但该加速IP需满足以下条件:
该加速IP所属GA实例必须为标准型实例。
加速IP类型必须为弹性公网IP类型。
该加速IP所属加速地域不能为阿里云POP点。
查看加速地域是否为阿里云POP点,请参见ListAvailableBusiRegions。
前提条件
您的源站服务器已部署了应用服务。
本文以Alibaba Cloud Linux 3操作系统为例,并使用Nginx配置后端HTTP 80服务。
您已经购买了云防火墙服务。具体操作,请参见购买云防火墙服务。
操作步骤
步骤一:配置GA实例
本文以按量付费的标准型GA实例为例。
在全球加速控制台的列表页面,单击创建标准型按量付费实例。
在实例基础配置配置向导页面,配置基础信息,单击下一步。
在配置加速区域配置向导页面,添加加速地域并为其分配带宽,然后单击下一步。
本文以中国香港地域为例,加速区域添加为中国(香港),公网质量类型均配置为BGP(多线),其他参数可保持默认值或根据实际情况修改。加速区域配置详细信息,请参见添加和管理加速区域。
重要如果带宽峰值设置过低,可能出现限速从而导致流量被丢弃,请合理规划带宽峰值,确保和业务需求匹配。
在配置监听配置向导页面,配置转发协议与端口,然后单击下一步。
本文场景中,协议配置为HTTP,端口配置为80,其他参数可保持默认值或根据实际情况修改。监听配置详细信息,请参见添加和管理智能路由类型监听。
在配置终端节点组配置向导页面,配置终端节点后端服务,然后单击下一步。
本文场景中,地域选择美国(硅谷),后端服务类型选择自定义IP,后端服务输入源站公网IP,然后阅读并选中数据跨境合规承诺,其他参数可保持默认值或根据实际情况修改。终端节点组配置详细信息,请参见添加和管理智能路由类型监听的终端节点组。
在配置审核配置向导页面,确认全球加速的配置信息,然后单击提交。
可选:创建任务完成后,在创建任务详情列表下方,单击进入实例详情,然后在实例详情页,可选择实例信息、监听、加速区域等页签查看实例配置信息。
例如,GA的加速IP可从加速区域页签下获取。
步骤二:配置云防火墙
在云防火墙控制台的防火墙开关页面,选择互联网边界防火墙页签,在IPv4页签下,找到已创建GA的加速IP,开启公网资产保护。
您可以选择资产类型为GA EIP,并输入GA的实例ID,进行资产筛选。防火墙状态列显示为保护中,表示开启成功。关于开启防火墙开关更多信息,请参见互联网边界防火墙。
在云防火墙控制台的页面,选择入向页签,并单击创建策略。
在创建入向策略面板,选择自定义创建页签,配置策略,然后单击确定,并根据提示完成地址簿创建。
本文场景中,可参考下表进行配置。您还可以根据实际情况修改,访问控制策略配置详细信息,请参见配置互联网边界访问控制策略。
配置项
说明
本文场景示例值
源类型
网络流量的发起方。您需要选择访问源类型,并根据访问源类型输入发送流量的访问源地址。
区域
访问源
全部国际区域(即中国以外的地区)
目的类型
网络流量的接收方。您需要选择目的类型,并根据目的类型输入接收流量的目的地址。
IP
目的
输入GA的加速IP(后缀/32)
协议类型
传输层协议类型,支持设置为:TCP、UDP、ICMP、ANY。不确定具体协议时可选择ANY。
ANY
端口类型
设置目的端口类型和目的端口。
端口
端口
输入0/0,表示所有端口
应用
设置访问流量的应用类型。
ANY
动作
设置匹配成功的流量在该条策略的放行情况。
放行:放行该流量。
拒绝:拦截该流量,并且不会提供任何形式的通知信息。
观察:该模式下,默认放行流量。观察一段时间后,您可根据需要调整为放行或拒绝。
拒绝
优先级
选择该策略的优先级,默认为最后,表示优先级最低。
最前
策略有效期
设置该策略的有效时间段。策略仅在有效时间段内才可用于匹配流量。
总是
启用状态
设置是否启用策略。如果您创建策略时未启用策略,可以在策略列表中开启策略。
启用
步骤三:结果验证
云防火墙访问控制策略生效验证
本文以中国香港地域以及德国(法兰克福)地域的客户端访问为例进行测试。
分别在中国香港地域以及德国(法兰克福)地域客户端,通过浏览器访问GA的加速IP,检查是否可正常访问后端服务。
中国香港地域客户端访问GA的加速IP,结果如下:
德国(法兰克福)地域的客户端访问GA的加速IP,结果如下:
经验证,云防火墙的互联网边界访问控制策略配置生效,已成功拦截海外区域的流量。
在访问控制策略列表的命中次数/最近命中时间列,查看访问控制策略的命中情况;单击命中次数可跳转到流量日志页面,查看流量细节。
例如,您可以设置查询条件的目的IP为GA的加速IP,应用识别状态为已被策略拦截,查看被拦截的流量细节。
您还可以通过日志审计,查看攻击事件、操作日志等。更多信息,请参见日志审计。
在入侵防御页面的互联网防护页签,可查看防护数据统计和防护明细列表。
例如,您可以在防护明细列表上方输入目的IP为GA的加速IP,进行搜索,查看云防火墙对攻击流量的防护明细。
关于入侵防护能力更多信息,请参见入侵防御。
GA加速效果验证
本文以中国香港探测点为例,使用网络拨测工具,在配置GA前后,分别对源站公网IP及GA的加速IP进行拨测,对比查看加速效果。具体操作,请参见使用网络拨测工具测试加速效果。
对GA的加速IP发起拨测,查看配置GA后的网络延迟情况。
对源站公网IP发起拨测,查看配置GA前的网络延迟情况。
经验证,使用GA后,降低了中国香港客户端访问美国(硅谷)服务的延迟。
GA的加速效果以您的实际业务测试为准。
相关文档
了解GA如何收费,请参见GA计费概述。
了解云防火墙如何收费,请参见云防火墙计费概述。
如需了解云防火墙更多防护能力,请参见功能特性。