混合云网关接入

最近更新时间:2026-07-03 11:16:02

我的收藏
如果您的业务部署在第三方公共云、私有云、线下 IDC 机房等,您可以通过混合云 WAF 解决方案接入方式,通过 Web 应用防火墙(Web Application Firewall,简称 WAF)统一管控和运维您的云上云下 Web 业务。混合云 WAF 接入是将云上防护节点能力下沉到其他云平台或本地 IDC 区域,以提供本地与云端相结合的一体化 Web 应用安全管理方案。

应用场景

混合云业务,业务同时部署在腾讯云、其他公共云、私有云、线下 IDC、VPC 内网,需要统一的 Web 业务防护方案。
特殊业务,特殊业务流量无法上公共云 WAF 防护的本地特殊的 Web 业务,又希望使用腾讯公有云 WAF 防护能力。

功能优势

支持云上、云下资产和防护策略的统一安全运维管理,降低安全运维复杂度和工作量。
本地化部署方案可就近防护客户业务,同时支持多种复杂环境下的Web 防护业务,降低业务改造风险。
实时同步云上防护规则和威胁情报能力,减少运维成本。
支持自定义应用网关 SDK 接入,旁路检测,且支持手动降低(bypass)能力,提升业务运营稳定性。
支持集群对象接入防护,集群级别默认防护策略生效,减少漏拦风险,全面收敛风险暴露面。

开通条件

开通 包年包月企业版、旗舰版 的 云原生型 WAF 实例,且至少保有2个混合云节点。
确认已准备好所需要节点部署资源,相关资源建议,请参考 部署混合云防护节点

混合云 WAF 集群管理和流量接入配置

步骤 1:创建混合云集群

1. 登录 Web 应用防火墙控制台,在左侧导航栏顶部,将控制台切换至实例所在区域(中国大陆/非中国大陆)。
2. 在左侧导航栏中,选择服务设置 > 混合云管理
3. 在混合云集群管理页面,单击立即配置,自动创建混合云集群。

步骤 2:本地防护节点部署

联系腾讯云 售后支持专家,获取本次防护节点部署脚本和镜像,支持本地部署。
自动化安装要适合研发环境较宽松的场景,主要包括:导入 db 数据,安装 helm 应用,要求具备 kubectl 访问权限。修改文件后,运行./install.sh


步骤 3:接入域名和集群对象

1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择接入管理 > 域名接入
2. 在域名接入页面,单击添加域名,填写相关配置参数,单击确定即可。
字段说明
所属实例:选择云原生型和对应云原生型 WAF 实例名称。
域名:在域名输入框中添加需要防护的域名如test.com
流量来源:选择混合云网关。
代理情况:根据实际业务情况选择是否使用高防、CDN、云加速等代理服务。
选择:WAF 接收的请求直接来自客户端。WAF 将与客户端建立连接的 IP 地址作为客户端 IP。
选择:WAF 接收的请求来自其他七层代理服务。为确保获取真实客户端 IP 以进行安全分析,需设置客户端 IP 判断方法:
读取请求 Header 字段 X-Forwarded-For (XFF) 中的第一个 IP 地址作为客户端 IP。
获取网络层的 remote_ip 作为客户端源 IP,防止 XFF 伪造。
获取指定 Header 字段的 IP 地址。
说明:
建议在业务中使用自定义 Header 存放客户端 IP,并在 WAF 中配置对应 Header 字段。此方式可降低攻击者通过伪造 XFF 字段绕过 WAF 防护规则的风险,提升业务安全性。
集群名称:自定义集群名称。
防护对象组:选择已绑定的 web 规则模板对应的防护对象组,自动生效自定义 web 规则模板。
备注:输入域名的备注信息(选填),便于后续管理和识别域名用途。
标签:为接入域名配置资源标签,支持按标签键和标签值进行标记。配置标签后,可在域名列表中按标签搜索和筛选域名,也可用于分账和权限管理。
单击添加标签,新增一组标签键值对。
支持使用键值粘贴板批量粘贴已有标签键值对。
支持历史记录快速选用此前使用过的标签。
3. 单击确定后返回域名接入页面,可查看防护域名、网关实例 ID 和名称等信息。

步骤 4:安装 SDK 引流发布

SDK 集成需要在统一接入网关上部署 SDK 插件,SDK 插件将网关的业务流量复制一份到 WAF 防护集群。该模式下,混合云 WAF 防护集群不参与流量转发,实现业务转发与检测分离。

步骤 5:验证测试

在浏览器中输入网址 http://test.com/?test=alert(123) (模拟 Web 攻击的请求)并访问,浏览器返回阻断页面,说明 Web 应用防火墙防护功能正常。
注意:
test.com为本案例中示例域名,此处需要将域名替换为实际添加的域名。