首页 Web 应用防火墙 WAF 3.0用户指南 防护配置 防护对象和防护对象组

防护对象和防护对象组

防护对象和防护对象组都是防护规则的生效单元。您可以将防护对象或防护对象组关联到防护模板,实现Web应用防火墙(Web Application Firewall,简称WAF)防护。本文介绍如何添加、管理防护对象和防护对象组。

背景信息

防护对象

防护对象是接入WAF防护的域名或云产品实例,是防护规则的最小生效单元。防护对象可通过如下两种方式生成:

  • 自动添加:云产品接入的实例或CNAME接入的域名会自动被添加为防护对象。

  • 手动添加:如果您需要为云产品接入的ALB实例、CLB实例或ECS实例中的某一个或多个域名单独配置防护规则时,您可以手动将域名添加为防护对象。具体操作,请参见手动添加防护对象

不同接入方式自动添加的防护对象不同,支持手动添加防护对象的情况也不同。

接入方式

自动添加的防护对象

手动添加防护对象

云产品接入(为ALB实例开启WAF防护

ALB实例

支持将实例中的域名手动添加为防护对象

云产品接入(为MSE实例开启WAF防护

MSE实例(包括实例下的路由)

不支持

云产品接入(为FC自定义域名开启WAF防护

域名

不支持

云产品接入(将七层CLB(HTTP/HTTPS)实例接入WAF将四层CLB(TCP)实例接入WAF将ECS实例接入WAF

CLB实例或ECS实例

支持将实例中的域名手动添加为防护对象

CNAME接入

域名

不支持

混合云接入反向代理模式

混合云接入服务化模式

不支持

支持将接入的域名手动添加为防护对象

防护对象组

防护对象组是防护对象的合集,也是防护规则的生效单元。您可以将多个防护对象加入到一个防护对象组,通过为防护对象组配置防护规则,实现为组内所有防护对象批量配置防护规则。

说明

一个防护对象只能归属于一个防护对象组。

前提条件

  • 已开通WAF 3.0服务。具体操作,请参见开通包年包月WAF 3.0开通按量付费WAF 3.0

  • 已在接入管理页面完成Web业务接入。具体操作,请参见接入管理概述

  • 如果您需要手动添加CLB实例、ECS实例中的域名,且域名托管在中国内地服务器上,需完成阿里云ICP备案关于阿里云ICP备案的具体操作,请参见如何进行ICP备案

    说明

    在阿里云ICP代备案管理系统提交ICP备案订单时,系统会根据您提交的基本信息自动识别本次提交订单的ICP备案类型,自动为您匹配对应备案类型需进行的ICP备案流程。

手动添加防护对象

如果您需要为如下域名配置防护规则,您可以执行以下操作,手动将域名添加为防护对象。

  • 通过云产品接入WAF的ALB实例、CLB实例或ECS实例中的域名。

  • 通过混合云服务化模式接入WAF的域名。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏,选择防护配置 > 防护对象

  3. 防护对象页签,单击添加防护对象

  4. 添加防护对象对话框,根据防护对象接入类型完成以下配置,单击确定

    云产品

    如果您需要将ALB实例、CLB实例或ECS实例中的域名添加为防护对象,选择防护对象接入类型云产品,并完成如下配置。

    配置项

    说明

    域名

    填写要防护的域名。支持填写精确域名(例如,www.aliyundoc.com)或通配符域名(例如,*.aliyundoc.com)。

    说明
    • 通配符域名不能匹配对应的主域名,例如,*.aliyundoc.com不能匹配aliyundoc.com
    • 通配符域名不能匹配不同级别的子域名,例如,*.aliyundoc.com不能匹配www.example.aliyundoc.com
    • 通配符域名能够匹配所有同级别的子域名,例如,*.aliyundoc.com能够匹配www.aliyundoc.comexample.aliyundoc.com等。
    • 如果防护对象中同时存在精确域名和能够匹配该精确域名的通配符域名,精确域名的防护规则优先生效。

    云产品

    选择域名服务器对应的云产品类型。可选项:

    • ALB:表示应用负载均衡ALB服务。

    • CLB4:表示四层传统型负载均衡CLB服务。

    • CLB7:表示七层传统型负载均衡CLB服务。

    • ECS:表示云服务器ECS服务。

    实例

    选择域名服务器对应的实例ID。仅云产品类型为ALB时,需配置该项。

    说明

    如果ALB实例不在列表中,请先完成云产品接入。具体操作,请参见为ALB实例开启WAF防护

    加入防护对象组

    根据需要,将防护对象加入到指定的防护对象组,方便为多个防护对象批量配置防护规则。

    防护对象加入对象组后,只支持通过防护对象组来配置防护规则,不再支持单独为防护对象配置防护规则。如果您希望单独为防护对象配置防护规则,可跳过该设置。

    说明

    如果要加入的防护对象组不存在,您可以跳过该设置,在创建防护对象组后,再将防护对象加入到防护对象组。关于创建防护对象组的具体操作,请参见创建防护对象组并关联防护对象

    混合云服务化

    如果需要将通过混合云服务化模式接入WAF 3.0的域名添加为防护对象,选择防护对象接入类型混合云服务化,并完成如下配置。

    配置项

    说明

    防护对象名称

    填写要添加的防护对象名称。

    域名

    填写要防护的域名。支持填写精确域名(例如,www.aliyundoc.com)或通配符域名(例如,*.aliyundoc.com)。

    说明

    • 通配符域名不能匹配对应的主域名,例如,*.aliyundoc.com不能匹配aliyundoc.com

    • 通配符域名不能匹配不同级别的子域名,例如,*.aliyundoc.com不能匹配www.example.aliyundoc.com

    • 通配符域名能够匹配所有同级别的子域名,例如,*.aliyundoc.com能够匹配www.aliyundoc.comexample.aliyundoc.com等。

    • 如果防护对象中同时存在精确域名和能够匹配该精确域名的通配符域名,精确域名的防护规则优先生效。

    URL

    填写要防护的URL路径。

    加入防护对象组

    根据需要,将防护对象加入到指定的防护对象组,方便为多个防护对象批量配置防护规则。

    防护对象加入对象组后,只支持通过防护对象组来配置防护规则,不再支持单独为防护对象配置防护规则。如果您希望单独为防护对象配置防护规则,可跳过该设置。

    说明

    如果要加入的防护对象组不存在,您可以跳过该设置,在创建防护对象组后,再将防护对象加入到防护对象组。关于创建防护对象组的具体操作,请参见创建防护对象组并关联防护对象

    成功添加防护对象后,您可以在防护对象页签,执行如下操作:

    • 查看已添加的防护对象

      您可以在防护对象列表,查看已添加的防护对象名称、资产类型、域名、所属防护对象组等信息。

    • 单个绑定或解除标签

      给防护对象绑定标签后,可在控制台通过已绑定标签快速查找指定资源。

      1. 定位到目标防护对象,将鼠标悬停在标签列的编辑图标上,如果该防护对象未新增标签,单击绑定,如果该防护对象已有标签,单击编辑

      2. 编辑标签对话框,选择或输入标签键,并填写标签值

        说明

        • 一次最多绑定10个标签键,允许标签值为空。

        • 输入标签键标签值时,最多支持128个字符,不支持以aliyunacs:开头,且不能包含http://https://

        • 标签可以在配置防护策略时为域名对应的防护对象绑定,也可以在接入时为域名绑定,且同时生效。即为防护对象绑定标签后,对应的域名也会被绑定该标签。

      3. 批量绑定或解除标签

        选中多个防护对象,单击列表下方的增加标签删除标签

      4. 如果您不再使用该标签,可在编辑标签对话框,单击目标标签的删除图标,删除该标签。

    • 删除防护对象

      定位到目标防护对象,选择操作列的更多图标 > 删除

      说明

      • 只有手动添加的域名防护对象支持删除操作。

      • 如果您需要删除自动添加的防护对象,您可以访问接入管理页面,定位到目标实例或引流端口,单击操作列的取消接入,再删除该防护对象。

创建防护对象组并关联防护对象

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏,选择防护配置 > 防护对象

  3. 防护对象组页签,单击新建对象组

  4. 新建防护对象组对话框,填写防护对象组名称、选择关联防护对象、添加备注信息后,单击确定

    说明

    • 关联防护对象中的待选择对象列表只包含当前未加入任何防护对象组,并且只应用了默认防护规则模板的防护对象。

    • 如果防护对象已经归属于其他防护对象组,您必须先将该防护对象从原有防护对象组中移出,然后才能将该防护对象加入到当前防护对象组。具体操作,请参见将防护对象移出防护对象组

    成功添加防护对象组后,您可以在防护对象组页签,执行如下操作:

    • 查看防护对象组及其关联的防护对象

      防护对象组列表默认展示防护对象组的已关联对象数,您可以单击展开图标图标,查看已关联防护对象的详情。

    • 删除防护对象组

      单击目标防护对象组操作列的删除

修改防护对象和防护对象组的关联关系

如果您希望修改防护对象和防护对象组的关联关系,您可以将防护对象移出或移入防护对象组。

将防护对象加入防护对象组

  • 防护对象页签,定位到目标防护对象,选择操作列的更多图标 > 加入对象组

    说明

    • 如果防护对象已经加入到某个对象组,则不支持加入对象组。如需为防护对象切换防护对象组,您必须先将防护对象从当前防护对象组中移除,然后再加入其他对象组。

    • 如需将多个防护对象加入到同一个对象组,可以选中多个防护对象,单击列表下方的加入防护组

  • 防护对象组页签,定位到要加入的防护对象组,单击操作列的编辑,在左侧待选择对象列表,选中防护对象,单击右移图标,将其移动到右侧已选择对象列表。

将防护对象移出防护对象组

  • 如果某个防护对象已加入防护对象组,您可以单击防护对象页签,定位到目标防护对象,选择操作列的更多图标 > 移出对象组

    说明

    • 成功将防护对象移出对象组后,您可以在防护对象列表,查看防护对象的所属防护对象组信息确认。您可根据业务需要,将防护对象加入其他对象组。

    • 护对象被移出当前对象组后,将自动应用默认防护规则模板。更多信息,请参见默认防护规则模板

  • 防护对象组页签,定位到目标防护对象组,单击展开图标图标,删除防护对象组中的防护对象。

相关操作

  • 设置客户端IP判定方式

    如果需要根据客户端IP判断方式来进行防护规则的匹配和报表展示,您可以在防护对象页签,单击目标防护对象操作列的客户端IP设置,设置WAF前是否有七层代理(高防/CDN等)客户端IP判定方式。更多信息,请参见WAF前是否有七层代理配置信息

    说明

    仅通过云产品接入的ALB实例、MSE实例,混合云服务化模式接入的域名,需要进行该配置。

  • 查看并配置防护规则

    • 单击目标防护对象操作列的查看防护规则,在防护规则页面,为防护对象配置防护规则。

    • 单击目标防护对象组操作列的配置规则,在防护规则页面,为防护对象配置防护规则。

    说明

    • 新添加的防护对象如果已加入到某个防护对象组,则自动应用防护对象组的防护规则;否则,新添加的防护对象统一应用默认防护规则。更多信息,请参见默认防护规则模板

    • 您也可以在防护规则页面,为防护对象配置更多的防护规则。具体操作,请参见防护规则

  • 查看防护日志

    选择目标防护对象操作列的更多图标 > 查看防护日志 ,为防护对象开启日志采集、查询相关日志数据。具体操作,请参见开启或关闭日志服务

阿里云首页 Web应用防火墙 相关技术圈