本文将指导您快速部署和使用阿里云Web应用防火墙(Web Application Firewall,简称WAF)。您需要先购买WAF实例,完成网站接入和网站防护配置,即可为网站开启WAF防护。开启网站防护后,您可以通过WAF安全报表查看攻击防护记录和访问统计信息,掌握业务的安全状况。

步骤一:购买WAF实例

  1. 登录Web应用防火墙控制台
  2. 欢迎使用Web应用防火墙页面,单击购买包年包月或者开通按量付费,前往产品购买页面。
    如果您已经开通过Web应用防火墙,则欢迎使用Web应用防火墙页面不会出现,您可以直接在Web应用防火墙控制台使用产品。具体操作,请参见步骤二:网站接入
  3. Web应用防火墙(包月)或者Web应用防火墙(按量计费)页面,选择需要开通的产品版本和规格,并完成购买。具体操作,请参见开通Web应用防火墙
  4. 完成购买后,返回Web应用防火墙控制台。

步骤二:网站接入

网站接入指将需要防护的网站域名接入WAF实例,并修改网站域名的DNS解析到WAF,使访问网站的流量经过WAF,并受到WAF的防护。

说明 请确保在执行网站接入前,您已完成Web应用防火墙访问其他云资源的授权。具体操作,请参见授权WAF访问云资源
  1. 添加网站。
    1. 网站接入页面,单击网站接入
    2. 接入模式默认为Cname接入,您无需修改,单击手动接入即可。
    3. 根据配置向导手动添加网站域名信息。具体操作,请参见手动接入域名
      注意 如果您的网站使用了DDoS高防、CDN等代理服务,则WAF前是否有七层代理(高防/CDN等)参数一定要选择,否则会导致WAF无法获取访问网站的客户端的真实IP。
    成功添加网站后,您可以在网站接入页面查看网站域名对应的WAF CNAME地址。
    注意 如果您的网站支持HTTPS协议,则在完成网站接入后您必须上传网站域名绑定的SSL证书,保证WAF可以正常处理HTTPS协议流量。具体操作,请参见上传HTTPS证书
  2. 修改网站域名的DNS解析,将网站域名解析到对应的WAF CNAME地址。
    • 网站未使用WAF以外的代理服务(例如,DDoS高防、CDN):前往域名DNS解析服务商的管理系统(如果您使用阿里云云解析DNS,则只需登录云解析DNS控制台),添加一条CNAME记录,并使用WAF提供的CNAME地址作为CNAME记录值。具体操作,请参见修改域名DNS
    • 网站使用了其他代理服务(例如,DDoS高防、CDN):前往代理服务的控制台,将代理服务的回源地址修改为WAF提供的CNAME地址,保证WAF可以接收到网站的访问请求。具体操作,请参见通过联合部署DDoS高防和WAF提升网站防护能力同时部署WAF和CDN

步骤三:配置网站防护策略

完成接入流程后,网站访问流量将经过WAF保护。WAF包含多种防护检测模块,帮助网站应对不同类型的安全威胁,其中规则防护引擎CC安全防护模块默认开启,分别用于防御常见的Web应用攻击(例如,SQL注入、XSS跨站、webshell上传等)和CC攻击,其他防护模块需要您手动开启并配置具体防护规则。更多信息,请参见网站防护配置概述

步骤四:查看安全报表

您可以在安全报表页面获取已接入防护的网站的防护记录和访问统计信息。具体操作,请参见WAF安全报表