透明接入模式只需将需要防护的网站信息添加到WAF,无需修改域名的DNS解析设置,即可实现WAF防护。如果您的源站服务器为ECS服务器或者部署在阿里云公网SLB上,那么除了使用CNAME接入模式,还可以选择云原生的透明接入模式。本文介绍如何使用透明接入模式接入WAF。
关于CNAME接入和透明接入的更多信息,请参见使用教程。
使用限制
限制项类型 | 描述 |
---|---|
云服务实例类型 | 透明接入不支持私网SLB和IPv6版本的公网SLB实例。 |
SLB和ECS地域 |
由于历史网络架构的原因,部分公网SLB不支持透明接入。 关于透明接入使用限制的更多信息,请加入钉群(钉群号:21715946),联系产品技术专家进行咨询。 |
引流端口配置的数量 | 不同版本的WAF实例支持添加的引流端口配置的数量如下:
透明接入对指定源站服务器的具体端口生效,即您可以针对某个源站服务器(具有公网IP)的具体端口(例如80、443等)开启透明接入。开启透明接入后,该服务器端口的流量被引流到WAF进行防护。 例如,您同时为SLB实例A的80、443端口,及另一个SLB实例B的80、443端口开启透明接入,则共添加了4个引流端口配置(SLB实例A的80端口、SLB实例A的443端口、SLB实例B的80端口、SLB实例B的443端口)。 |
支持的端口范围 | 支持防护0~65535范围内的任意标准端口和非标端口。更多信息,请参见WAF支持的端口。
说明 仅如下版本的WAF实例支持使用非标端口:
|
业务同时接入DDoS高防和WAF | 如果您的业务需要同时接入DDoS高防和WAF,则只有在业务通过域名接入(即七层接入模式)接入DDoS高防时,该业务才支持通过透明接入模式接入WAF。
如果业务通过端口接入(即四层接入模式)接入DDoS高防,则该业务暂不支持通过透明接入模式接入WAF。针对这种情况,推荐您使用CNAME接入模式,将该业务接入WAF进行防护。更多信息,请参见网站接入(CNAME接入)。 |
前提条件
- 已开通Web应用防火墙实例。
- 已创建的云服务实例为IPv4公网的SLB实例,且该SLB实例拥有公网IP,端口未开启双向认证。
说明 如果您使用了私网SLB+EIP,也支持使用透明接入。
- 托管在中国内地服务器上的网站域名,已完成阿里云ICP备案。在阿里云ICP代备案管理系统提交ICP备案订单时,系统会根据您提交的基本信息自动识别本次提交订单的ICP备案类型,自动为您匹配对应备案类型需进行的ICP备案流程。更多信息,请参见ICP备案。
- 透明接入配置端口上使用的证书已按先后顺序完成如下操作:
- 已上传到数字证书管理服务控制台统一管理,或直接从数字证书管理服务控制台购买和申请证书。
- 已在负载均衡SLB控制台为该透明接入配置的端口配置监听时,选择该证书并完成配置。
说明 如果您要接入七层SLB实例上的Web流量,必须满足该前提条件。接入四层SLB实例或ECS源站上Web流量时,无需满足该前提条件。 - 已完成云资源访问授权。具体操作,请参见授权WAF访问云资源。
步骤一:添加域名
步骤二:查看和管理引流端口
查看源站服务器和管理引流端口
完成域名添加后,您可以查看源站服务器的详细防护信息,以及在需要紧急容灾的情况下强制关闭引流或删除引流端口。
更新引流端口配置的证书
- 自动更新证书
如果ALB实例和ECS实例的监听端口配置的证书被更新,WAF会自动同步。同步时长约30分钟。
- 手动更新证书
如果WAF自动更新证书未生效,您可以单击服务器列表上的
图标,手动更新ALB实例和ECS实例监听端口配置的证书。
后续步骤
完成接入流程后,网站访问流量将经过WAF并受到WAF的防护。WAF包含多种防护检测模块,帮助网站防御不同类型的安全威胁,其中规则防护引擎和CC安全防护模块默认开启,分别用于防御常见的Web应用攻击(例如SQL注入、XSS跨站、WebShell上传等)和CC攻击,其他防护模块需要您手动开启并配置具体防护规则。更多信息,请参见网站防护配置概述。