设置域名访问堡垒机并通过WAF监控流量

行方规定使用ECC机房环境访问堡垒机，使用内网负载创建域名并且绑定前置机，由于特殊原因需要通过互联网访问堡垒机，需要申请互联网访问（需要提前联系运营一线报备加白，运营一线联系电话：87815199-29827），此配置需要在互联网区外网负载进行操作，具体步骤与内网负载一致。
创建负载均衡https监听器，端口号默认选择443，如多个堡垒机，可在该端口下多建立几个域名，如果创建其他端口，访问时需要域名加端口号，例如：https://堡垒机域名:端口号，在新建的域名后绑定前置机的80端口。
1、进入负载均衡点击新建创建HTTPS监听器，填写监听器信息后点击确定。（堡垒机证书使用云堡垒机-安装手册附件cert.tar.gz中的文件，nginx.crt为证书，nginx.key为秘钥，然后将内容分别复制到相应的位置。堡垒机-安装手册联系我们获取，联系邮箱fxglb_sp2.zh@ccb.com。）


创建HTTP/HTTPS转发规则


绑定前置机的80端口


绑定成功后如下图所示

配置本地host，在本地windows机器的hosts文件中添加配置好的域名和对应的负载均衡VIP地址，如下图中IP地址为负载均衡VIP，域名为负载均衡配置的堡垒机域名

浏览器访问https://堡垒机域名:端口号，打开登录页面。

2、堡垒机域名配置WAF防护



选择创建域名的负载均衡

配置防护规则

防护设置中WAF开关开启、Web基础防护为拦截、流量模式为清洗模式、AI引擎为拦截

日志查看，访问堡垒机域名返回403如下图所示则为WAF拦截

需要根据堡垒机域名和访问堡垒机域名时间查询拦截日志分析拦截原因