CDN结合WAF能力,将业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。 通过本文档您可以了解WAF防护功能、使用场景、费用说明和设置方法。

前提条件

目前CDN仅支持中国大陆内加速节点的WAF防护,开启前请您确认该域名的加速区域。修改域名加速区域的操作方法,请参见修改基础信息

背景信息

阿里云CDN的WAF功能,是指CDN融合了云盾Web应用防火墙(Web Application Firewall,简称 WAF)能力,在CDN节点上,提供WAF防护功能。WAF防护具体功能,请参见什么是Web应用防火墙

CDN的WAF服务主要适用于金融、电商、O2O、互联网+、游戏、政府、保险等行业,保护您的网站在使用CDN加速的同时,免受因外部恶意攻击而导致的意外损失。

使用CDN WAF功能后,可以帮助您解决以下问题:
  • 防数据泄密,避免因黑客的注入入侵攻击,导致网站核心数据被拖库泄露。
  • 阻止木马上传网页篡改,保障网站的公信力。
  • 提供虚拟补丁,针对网站被曝光的最新漏洞,最大可能地提供快速修复规则。
当您开启WAF功能后,CDN WAF会对此域名的所有请求进行检测,并按照账户维度,对域名开启WAF功能的请求次数汇总,然后收费。WAF的计费规则如下表所示。
每小时请求数 费用
1-20000 0.4元(固定付费)
20001-500000 0.2元/万次请求
500001-5000000 0.18元/万次请求
大于5000000 0.15元/万次请求
计费案例:以用户A和用户B分别在2019年2月28日10:20开通了2个域名的CDN WAF功能为例,他们产生的费用如下表所示。
用户 10:20-11:20 产生请求次数 11:21分收到账单金额(元)
A 15000 0.4
B 350000 7 (350000/10000*0.2)

操作步骤

  1. 登录CDN控制台
  2. 在左侧导航栏,选择安全防护 > WAF
  3. 域名列表页面,单击目标域名对应的防护配置
  4. WAF页面,打开WAF功能配置开关。
  5. 单击修改配置
    WAF功能配置
  6. 根据页面提示,配置Web应用攻击防护精准访问控制
    项目 参数 说明
    Web应用攻击防护状态 状态 Web应用攻击防护开关。
    模式 Web应用攻击防护模式如下:
    • 防护

      发现攻击后直接阻断。

    • 预警

      发现攻击后只告警不阻断。

    防护规则策略 Web应用攻击防护规则如下:
    • 宽松规则

      当您发现在中等规则下存在较多误拦截时,建议您选择宽松规则。宽松模式下对业务的误报程度最低,但也容易漏过攻击。

    • 中等规则

      默认使用中等规则。

    • 严格规则

      当您需要更严格地防护路径穿越、SQL注入、命令执行时,建议您选择严格规则

    在发现防护规则有对正常业务有阻拦时,可调整防护策略的模式。宽松模式下对业务的误报程度最低,但也容易漏过攻击。

    精准访问控制 状态 精准访问控制开关。
    规则 CDN提供一条默认规则。您可以根据所需,单击前去配置,添加新规则,并编辑默认规则。当前每一条规则中最多允许三个条件组合,并且条件之间是“与”的逻辑关系,即必须三个条件同时满足才能与规则匹配。