Web应用防火墙(Web Application Firewall,简称WAF)提供CNAME接入和透明接入两种方式,使您的网站流量可以受到WAF的保护。如果您的源站服务器为ECS服务器或者部署在阿里云公网SLB、ALB上,那么除了使用CNAME接入,您还可以选择云原生的透明接入方式。
在透明接入模式下,WAF无需修改域名DNS解析、设置源站保护,无需改变服务器获取真实源IP,保护您的Web业务正常运转。
透明接入支持接入ALB实例、CLB实例上的Web流量。
前提条件
条件类型 | 描述 | 补充说明 |
---|---|---|
WAF实例版本 | 已开通WAF包年包月服务的高级版、企业版、旗舰版,或者WAF按量计费服务。 | 详细版本介绍,请参见套餐和版本说明。 |
WAF实例地域 | 已开通中国内地地域的WAF实例。 | 目前,仅中国内地的WAF实例支持透明接入,海外地区的WAF实例暂不支持透明接入。 |
云服务实例的类型 | 已创建IPv4公网SLB实例。 | 透明接入不支持私网SLB和IPv6版本的公网SLB实例。 |
SLB配置 | 需要透明接入的SLB实例拥有公网IP,且端口未开启双向认证。 | 如果您使用了私网SLB+EIP,也支持使用透明接入。 |
域名备案 | 需要防护的网站域名如果托管在中国内地(大陆)的服务器上,该域名需要完成ICP备案。 | 无 |
(可选)证书状态 |
注意 如果您要接入七层SLB实例上的Web流量,必须满足该前提条件。接入四层SLB实例或ECS源站上Web流量时,无需满足该前提条件。
由于透明接入WAF的证书同步机制的限制,要求您在七层SLB实例端口中配置的证书必须从阿里云签发证书列表中选择。因此,执行透明接入前,您必须对透明接入配置端口上使用的证书,完成以下操作:
说明 以上操作顺序不可颠倒,否则会导致您无法在WAF控制台透明接入模块的七层SLB类型列表中看到该端口。
|
如果您先在SLB中完成证书配置,而没有先在数字证书管理服务控制台上传证书或申请证书,SLB无法将该证书自动同步到WAF中,您将无法在WAF控制台透明接入模块的七层SLB类型列表中看到该端口,最终导致您无法完成网站接入。相关内容,请参见上传证书。
下图展示了在负载均衡SLB控制台为该端口配置监听时,如何正确选择该证书:
![]() |
功能优势
- 无需修改DNS解析,无需设置源站保护,防护更简单、安全。
- 全透明代理防护,无需回源配置,源站即可直接获取访问者的真实IP。
- 联动阿里云数字证书管理服务对证书(支持非阿里云证书)进行统一管理,运维更便捷。
- 支持任意非标业务端口接入WAF防护。
使用限制
限制项类型 | 描述 |
---|---|
SLB和ECS地域 | 您的公网SLB实例和ECS实例地域必须位于西南1(成都)、华北2(北京)、华北3(张家口)、华东1(杭州)、华东2(上海)、华南1(深圳)。
由于历史网络架构的原因,部分公网SLB不支持透明接入。 具体开通咨询,请使用钉钉加入阿里云WAF云原生接入咨询群聊(群号:32208925),联系我们。 |
引流端口配置的数量 | 不同版本的WAF实例支持添加的引流端口配置的数量如下:
透明接入对指定源站服务器的具体端口生效,即您可以针对某个源站服务器(具有公网IP)的具体端口(例如80、443等)开启透明接入。开启透明接入后,该服务器端口的流量被引流到WAF进行防护。 例如,假设您同时为SLB实例A的80、443端口,以及另一个SLB实例B的80、443端口开启透明接入,则您一共添加了4个引流端口配置(SLB实例A的80端口、SLB实例A的443端口、SLB实例B的80端口、SLB实例B的443端口)。 |
业务同时接入DDoS高防和WAF | 如果您的业务需要同时接入DDoS高防和WAF,则只有在业务通过域名接入方式(即七层接入模式)接入DDoS高防时,该业务才支持通过透明接入方式接入WAF。
如果业务通过端口接入方式(即四层接入模式)接入DDoS高防,则该业务暂不支持通过透明接入方式接入WAF。针对这种情况,推荐您使用CNAME接入方式,将该业务接入WAF进行防护。更多信息,请参见网站接入(CNAME接入)。 |
步骤一:添加域名
步骤二:查看服务器列表信息
完成域名添加后,您可以查看源站服务器的详细防护信息,以及在需要紧急容灾的情况下强制关闭引流或删除引流端口。
后续步骤
完成接入流程后,网站访问流量将经过WAF并受到WAF的防护。WAF包含多种防护检测模块,帮助网站防御不同类型的安全威胁,其中规则防护引擎和CC安全防护模块默认开启,分别用于防御常见的Web应用攻击(例如SQL注入、XSS跨站、webshell上传等)和CC攻击,其他防护模块需要您手动开启并配置具体防护规则。更多信息,请参见网站防护配置概述。