Web应用防火墙(WAF)独享集群在WAF公共集群防护能力的基础上,为您提供与实际业务特性相结合的定制化服务,包括非标端口接入、SNI认证、自定义防护响应页面、HTTPS协议加密设置、长链接超时设置。若您的业务系统包含上述非常规设计/需求,您可以依据业务体系配置独享集群,并将网站业务接入独享集群进行防护。

独享集群vs公共集群

对比项 WAF公共集群 WAF独享集群
集群地区 公共集群在全球共部署14个防护节点,分布在以下地区:北京、上海、杭州、深圳、中国香港、新加坡、马来西亚、美东、美西、澳洲、德国、印度、印尼、迪拜。

业务接入公共集群防护时,根据源站IP自动匹配最佳地区的防护资源。

独享集群包括主、备集群。使用独享集群时,您可以从支持的地区中指定独享集群主集群的地区,备集群地区不可选择。
说明 主集群地区一经设置,不可更改。

业务接入独享集群防护时,默认使用独享集群主集群地区的防护资源;备集群则提供备用服务,在主集群出故障时承担业务,或在攻击来临时进行防御。

集群端口 若您的业务使用特殊端口,则在WAF添加网站配置时,您需要自定义端口。公共集群支持有限的非标端口,具体请参见非标端口支持 独享集群比公共集群支持范围更广的非标端口,理论上仅不支持22、53、9100、4431、4646、8301、6060、8600、56688、15001、4985、4986、4987等特定的系统端口。
使用独享集群自定义端口时,您必须先在独享集群设置中开启服务器端口,然后在添加网站到独享集群防护时,选择应用已开启的端口。
说明 独享集群最多支持开启50个自定义端口,默认只开启了80和443端口。
SNI认证 业务接入WAF公共集群后,若客户端不兼容SNI,则可能导致HTTPS业务访问异常,具体请参见SNI兼容性导致HTTPS访问异常 配置独享集群时,您可以上传默认SNI证书。这样,在业务接入独享集群后,即使暂不支持标准SNI协议的客户端设备也能正常访问网站。
防护响应页面 WAF公共集群使用默认的防护响应页面,例如异常访问被拦截时返回默认的拦截提示页面。 若您希望防护响应页面与您的网站设计风格保持一致,您可以使用独享集群自定义防护响应页面。

您可以将设计好的静态页面上传至阿里云CDN,并配置静态页面URL作为WAF的防护响应页面,提升网站用户体验。

HTTPS协议加密设置 公共集群不支持该项配置。 在独享集群配置中,您可以根据业务安全需求选择合适的TLS协议版本和加密套件。
长链接超时限制 公共集群不支持该项配置。 在独享集群配置中,您可以根据业务需求设置长链接限制时长,减少网络连接问题占用资源。

业务接入WAF独享集群

前提条件

要使用WAF独享集群,您必须首先购买WAF独享版或升级现有WAF版本到独享版。更多信息,请参见开通Web应用防火墙续费与升级

操作步骤

开通WAF独享版后,您可以参照以下步骤接入网站业务到WAF独享集群进行防护。假设您的业务端口是90(不在公共集群支持的非标端口范围内)。

  1. 配置独享集群。
    1. 登录Web应用防火墙控制台
    2. 在左侧导航栏,单击设置 > 独享集群设置
    3. 独享集群设置页面,根据您的业务特性配置独享集群。
      本示例中,您需要在服务器端口中添加HTTP协议的90端口。操作步骤如下。
      1. 服务器端口下,单击自定义
      2. HTTP协议下添加90端口,并单击保存添加90端口
      3. 确认90端口已开启。独享集群设置
      更多信息,请参见设置独享集群
    4. 单击保存设置
      系统将根据所设定的集群配置为您配置独享集群。
  2. 将具有定制化需求的业务(例如端口是90的业务)接入独享集群进行防护。
    • 已添加网站配置
      1. 前往管理 > 网站配置页面。
      2. 定位到要接入独享集群防护的网站,将其防护资源设置为独享集群
        说明 在切换独享集群防护时,请确认网站配置的业务端口包含在独享集群设置中。例如当前网站配置的业务端口是HTTP协议80端口,则请确认独享集群设置下的服务器端口中包含HTTP协议80端口。
        防护资源,独享集群
      3. 根据需要编辑网站配置(例如服务器端口修改为HTTP协议90端口)。更多信息,请参见编辑网站配置
    • 新添加网站配置
      1. 前往管理 > 网站配置页面。
      2. 单击添加网站,并选择手动添加其它网站
      3. 填写网站信息任务中,将防护资源设置为独享集群,并填写实际业务信息(例如服务器端口选择HTTP协议90端口)。
        说明 选择独享集群防护后,则服务器端口只能从独享集群设置中已开启的服务器端口范围内选择,具体请参见配置独享集群
        网站信息

        更多信息,请参见手动添加网站配置

      4. 单击下一步,并根据页面提示修改域名的DNS解析,将实际业务切换到WAF进行防护。

        更多信息,请参见业务接入WAF配置

  3. 业务接入WAF独享集群防护后,若业务特性发生变化且涉及到独享集群配置,请参见步骤1(更新集群配置)、步骤2(编辑网站配置)进行调整。