使用Web应用防火墙防护您的Web业务前,您必须将要防护的网站接入Web应用防火墙。未完成接入操作,您的Web应用防火墙防护将无法生效。

网站接入流程

Web应用防火墙支持使用CNAME接入和透明接入模式,使您的网站流量可以受到Web应用防火墙的保护。
  • CNAME接入(默认)

    您在Web应用防火墙控制台添加需要防护的网站域名后,通过修改该域名的DNS解析设置,将网站流量解析到Web应用防火墙,Web应用防火墙将过滤和处理后的请求转发回该域名的源站服务器。支持域名一键接入(即自动操作)和手动添加网站两种方式。

    CNAME接入流程:
    1. 添加域名:介绍域名一键接入和手动添加网站的相关操作。
      说明
      • 如果网站使用HTTPS协议,您必须在添加域名后上传正确、有效的HTTPS证书,保证正常处理HTTPS协议流量。更多信息,请参见上传HTTPS证书
      • 如果源站服务器使用HTTP 80端口、HTTPS 443端口以外的端口,您可以在Web应用防火墙支持的端口范围中自定义服务器端口。更多信息,请参见支持的自定义端口范围
    2. 放行WAF回源IP段:Web应用防火墙使用特定的回源IP段将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入Web应用防火墙进行防护时,您需要设置源站服务器的安全软件或访问控制策略,放行Web应用防火墙回源IP段的入方向流量。
    3. 本地验证:添加域名后,在本地电脑上搭建简易的模拟环境,验证网站流量转发设置已经生效,避免转发设置未生效时修改域名的DNS解析设置,导致业务访问异常。
    4. 修改域名DNS:手动修改域名的DNS解析设置,将网站流量解析到Web应用防火墙进行防护。
  • 透明接入
    透明接入模式无需修改域名的DNS解析设置,支持将源站ECS实例上的HTTP或HTTPS请求流量直接牵引到Web应用防火墙,经Web应用防火墙处理后再将正常的请求流量转发回源站服务器。
    说明 目前只适用于以下场景:源站服务器部署在华北2(北京)地域的阿里云ECS实例,且源站ECS实例拥有公网IP或已绑定弹性公网IP(EIP)。
    透明接入流程:
    1. 配置源站信息
    2. 添加域名

完成接入流程后,网站访问流量将经过Web应用防火墙保护。Web应用防火墙包含多种防护检测模块,帮助网站应对不同类型的安全威胁,其中正则防护引擎CC安全防护模块默认开启,分别用于防御常见的Web应用攻击(例如SQL注入、XSS跨站、webshell上传等)和CC攻击,其他防护模块需要您手动开启并配置具体防护规则。更多信息,请参见网站防护配置概述

最佳实践

  • 设置源站保护:源站服务器部署在ECS时,通过设置ECS或SLB的安全组策略,只放行Web应用防火墙的入方向请求,避免攻击者绕过Web应用防火墙直接对源站服务器发起攻击。
  • 获取客户端真实IP:接入Web应用防火墙后,源站收到的所有请求都经过Web应用防火墙代理,您必须通过X-Forwarded-For获取访问请求的真实来源IP。

云产品接入WAF

  • 同时部署WAF和DDoS高防:网站需要同时防御Web应用攻击和DDoS攻击时,您可以在源站前依次部署DDoS高防和Web应用防火墙。
  • 同时部署WAF和CDN:网站需要防御Web应用攻击,同时部署CDN加速时,您可以在源站前依次部署CDN和Web应用防火墙。