如果您的源站服务器部署在具有公网IP的阿里云ECS实例,则您可以使用透明代理模式将网站接入Web应用防火墙进行防护。透明代理模式的配置简便,无需修改域名DNS解析,支持直接牵引源站ECS的流量到Web应用防火墙进行防护。

前提条件

  • 已开通包年包月的Web应用防火墙服务,且使用旧版防护引擎。
    注意 透明代理模式目前仅对旧版防护引擎开放。如果您使用的是新版防护引擎,建议您使用DNS配置模式进行网站接入。更多信息,请参见添加域名
  • 源站服务器部署在华北2(北京)地域的阿里云ECS实例,且源站ECS实例拥有公网IP或已绑定弹性公网IP(EIP)。
    说明 透明代理模式暂不支持通过负载均衡SLB的公网IP牵引源站ECS实例的流量。

背景信息

使用透明代理模式将网站接入Web应用防火墙进行防护后,源站ECS实例的公网IP 80端口接收到的HTTP协议的流量将被直接牵引到Web应用防火墙,经Web应用防火墙处理后返回到源站服务器。

使用透明代理模式接入Web应用防火墙具有以下优势:
  • 自动支持基于目标ECS、EIP(源站服务器)的全流量防护,避免因未配置源站保护而导致的潜在安全风险。
  • 自动透明的流量牵引,无需修改域名DNS解析,避免对业务造成影响。

透明代理模式需要您授权Web应用防火墙读取ECS实例信息。配置过程中只需添加域名和选择对应的服务器IP即可。

注意 除了透明代理模式,您还可以使用DNS配置模式接入Web应用防火墙。透明代理模式和DNS配置模式只能选择一种,即如果使用透明代理模式,必须先清空DNS配置模式下的域名配置记录。关于使用DNS配置模式接入Web应用防火墙的更多信息,请参见添加域名

操作步骤

  1. 登录Web应用防火墙控制台
  2. 在顶部导航栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,单击管理 > 网站配置
  4. 网站配置页面顶部菜单栏,选择透明代理模式
    注意 如果您已经使用DNS配置模式接入网站到Web应用防火墙,则必须先清空DNS配置模式下的域名记录,才能使用透明代理模式。
    透明代理模式
  5. 可选:授权Web应用防火墙访问ECS实例信息。
    说明 首次使用透明代理模式时,您需要授权Web应用防火墙访问您的ECS实例信息。若已完成过授权,请跳过此步骤。
    1. 单击立即授权
      说明 如果您已经完成授权,则立即授权按钮不会出现。
    2. 云资源访问授权页面,单击同意授权云资源访问授权
      完成授权后,页面将跳转到添加域名页面。
  6. 可选:单击添加域名
    说明 如果您刚刚完成上一步授权操作,请跳过此步骤,直接参照下一步进行后续操作。
  7. 添加域名页面,输入要防护的域名,并从服务器IP列表中选择域名对应的源站ECS IP地址,单击确定
    服务器IP列表罗列了Web应用防火墙读取到的当前阿里云账号下符合前提条件的ECS IP地址。
    注意 选择服务器IP表示允许将该IP的80端口接收到的HTTP协议访问流量牵引至Web应用防火墙进行分析、处理。
    添加域名
    成功添加域名后,自动触发流量牵引。Web应用防火墙将依据域名对应的防护策略检测访问请求,并将处理后的正常请求返回到源站服务器。
  8. 可选:管理服务器IP。
    1. 在域名列表右上方,单击服务器IP管理服务IP管理
    2. 在服务器IP列表的状态列查看IP的流量牵引状态。已牵引
      流量牵引状态的说明如下:
      • 已牵引:表示该服务器IP 80端口接收到的所有HTTP协议流量已自动牵引到Web应用防火墙。
      • 牵引中:表示正在牵引流量。
      • 牵引失败:表示流量牵引失败。
      • 删除中:表示正在移除该IP。
    3. 对于不再需要流量牵引的服务器IP,您可以在单击其操作列下的删除
      注意网站配置页面删除域名时,对应的服务器IP流量牵引不会随之删除。要取消流量牵引,您必须在服务器IP管理中执行删除操作。