为更好支持个性化业务的应用防护需求,Web应用防火墙提供独享版(虚拟独享集群),支持基于业务特性的定制化接入和防护能力。

背景信息

网站往往承载着对内和对外的各种业务,其天然具有一定的复杂和多样性。同时,在业务开发中为了特定的业务需求可能使用非常规的设计方式实现。独享集群支持将具有定制化需求的业务系统接入WAF,为业务提供全面的应用层攻击防护。

购买Web应用防火墙独享版后,您可以根据业务特性自定义独享集群的业务配置,包括:

  • 集群所在地区:支持自主选择集群地区。
  • 集群端口设置:支持更大范围的非标端口的接入防护,支持基于HTTP、HTTPS和HTTP 2.0协议的自定义回源端口配置。
    说明 仅不支持22、53、9100、4431、4646、8301、6060、8600、56688、15001、4985、4986、4987这些特定的系统端口。
  • SNI认证:支持上传默认SNI证书,允许暂不支持标准SNI协议的客户端设备正常访问网站。
  • 防护响应页面:支持配置已上传至阿里云CDN的静态页面URL,WAF将使用该页面作为防护响应页面,提升您的网站用户体验。
  • TLS安全策略: 支持自主选择TLS协议版本与加密套件。
  • 长链接超时配置:支持自定义建立连接、请求、响应的超时时长。

创建独享集群

购买或升级至WAF独享版后,您可以选择使用虚拟独享防护集群和公共防护集群两种形式的防护资源对您的网站进行防护。使用独享集群前,需要根据您的业务特性创建独享集群。

  1. 登录云盾Web应用防火墙控制台
  2. 前往设置 > 独享集群设置页面,并在页面上方选择WAF所在地区(中国大陆海外地区)。
  3. 独享集群设置页面,根据业务特性设置集群配置。
    • 选择集群地区
      说明 独享集群创建完成后,集群地区无法变更。
    • 设置服务器端口范围:选择协议类型,单击自定义,填写服务器端口范围并单击保存。当您将网站域名配置接入独享集群时,可快速选择独享集群服务器端口范围中的端口。
    • 设置防护响应页面URL:填写已上传至阿里云CDN的静态页面URL,接入独享集群防护的网站业务将使用该页面作为WAF的防护响应页面。
    • 填写默认SNI证书文件私钥文件内容:上传默认SNI证书。
    • HTTPS协议加密设置。
      • TLS协议版本:默认为支持TLS1.0及以上版本,兼容性最好,安全性较低。您可以根据安全需要选择仅支持TLS1.1或TLS1.2以上版本。
      • 加密套件
        • 选择强加密套件,安全性较高,兼容性较低,仅支持以下强加密套件:
          • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
          • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
          • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
          • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
          • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
          • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
          • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
          • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
          • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
          • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
        • 选择全部加密套件,安全性较低,兼容性较高,则除上述强加密套件外还支持以下弱加密套件:
          • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
          • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
          • TLS_RSA_WITH_AES_128_GCM_SHA256
          • TLS_RSA_WITH_AES_256_GCM_SHA384
          • TLS_RSA_WITH_AES_128_CBC_SHA256
          • TLS_RSA_WITH_AES_256_CBC_SHA256
          • TLS_RSA_WITH_AES_128_CBC_SHA
          • TLS_RSA_WITH_AES_256_CBC_SHA
          • SSL_RSA_WITH_3DES_EDE_CBC_SHA
    • 设置长连接超时时长。
      • 链接超时时长:设置建立链接的超时时长,可设置5~3600秒间的值。
      • 读链接超时时长:设置读取类链接的超时时长,可设置120~3600秒间的值。
      • 写链接超时时长:设置写入类链接的超时时长,可设置120~3600秒间的值。
    独享集群设置
  4. 单击立即创建
    系统将根据所设定的集群配置为您创建独享集群,创建集群大约需要20分钟。

后续步骤

独享集群创建完成后,您就可以将具有相应定制化需求的业务接入独享集群进行防护。

说明 独享集群创建完成后,您也可以在独享集群设置页面修改相关设置。
  • 您可以添加网站域名配置将业务接入独享集群进行防护。更多详细信息,请参见网站配置
  • 对于已添加的网站域名配置,您可以在网站配置页面将该域名配置记录的防护资源修改为独享集群,将业务接入独享集群进行防护。
    说明 同样的,您也可以将已接入独享集群的域名配置切换至公共集群。由于独享集群和公共集群的自定义端口范围存在差异,切换时请务必确认网站域名的自定义端口配置的兼容性。