如何为ALB实例开启WAF防护_Web应用防火墙-阿里云帮助中心

如果您的Web业务启用了阿里云应用型负载均衡（Application Load Balancer，简称ALB），您可以为ALB实例开启Web应用防火墙（Web Application Firewall，简称WAF）防护，将Web业务流量引流到WAF 3.0进行安全防护。本文介绍如何通过ALB接入WAF 3.0。

背景信息

ALB是阿里云推出的专门面向HTTP、HTTPS和QUIC等应用层负载场景的负载均衡服务，具备超强弹性及大规模应用层流量处理能力。WAF 3.0通过SDK模块化的方式与ALB原生架构集成，仅支持业务监听，不再参与流量转发，实现防护与流量转发的完全分离，为您提供更高的安全运维效率、更流畅的交互体验。

具体网络架构如下图所示： ALB接入

使用限制

购买ALB WAF增强版实例前，请先完成实名认证。具体操作，请参见如何选择实名认证方式。

仅如下地域支持WAF增强版ALB实例：

区域	地域
中国	西南1（成都）、华北1（青岛）、华北2（北京）、华南3（广州）、华东1（杭州）、华北6（乌兰察布）、华东2（上海）、华南1（深圳）、华北3（张家口）、中国香港
亚太	菲律宾（马尼拉）、印度尼西亚（雅加达）、日本（东京）、马来西亚（吉隆坡）、澳大利亚（悉尼）、新加坡、印度（孟买）
欧洲与美洲	德国（法兰克福）、美国（硅谷）、美国（弗吉尼亚）

仅支持状态为运行中的ALB基础版、标准版实例，升级为WAF增强版。
接入WAF的ALB实例暂不支持如下功能：
- 网页防篡改
- 信息泄露防护
- Bot管理网页防爬场景化防护中的自动集成Web SDK
- API安全

前提条件

您的阿里云账号未开通任何版本的WAF，或已开通WAF 3.0。

说明

如果您的账号未开通任何版本的WAF实例，您购买ALB WAF增强版后，开通的WAF 3.0实例为按量付费版。
如果您的阿里云账号下已开通WAF 2.0实例，您可以通过如下方式，开通WAF 3.0实例。
- 释放WAF 2.0实例后，购买WAF 3.0实例。关于释放WAF 2.0实例的具体操作，请参见关闭WAF。关于购买WAF 3.0实例的具体操作，请参见开通包年包月WAF 3.0、开通按量付费WAF 3.0。
- 将WAF 2.0实例迁移至WAF 3.0。具体操作，请参见WAF 3.0迁移向导。

接入WAF

登录Web应用防火墙3.0控制台。在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）。
在左侧导航栏，单击接入管理。
选择云产品接入页签，在左侧云产品类型列表，选择ALB。
单击接入。
页面将跳转到应用型负载均衡ALB控制台的实例页面。
在顶部菜单栏，选择实例所属的地域。
在实例页面，找到目标实例，选择以下任意一种方式开启WAF防护。
- 方式一：将鼠标悬停在目标实例名称后的图标，然后在气泡框中单击Web应用安全防护区域的开启防护。
- 方式二：在操作列选择 > 变配功能版本。
- 方式三：单击目标实例ID，在实例详情页签，找到基本信息区域中的WAF安全防护，然后单击开启防护。
- 方式四：单击目标实例ID，在实例详情页签，单击安全防护页签。然后单击开启防护。
在应用型负载均衡（按量付费） | 变配页面，选择功能版本（实例费）为WAF增强版，单击立即购买并完成支付。

管理WAF

在WAF侧管理WAF防护

登录Web应用防火墙3.0控制台。在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）。
在左侧导航栏，单击接入管理。
管理WAF防护。
- 查看已接入的ALB实例
  在云产品接入页签，从左侧云产品类型列表中选择ALB。
- 设置防护对象和防护规则
  开启WAF防护后，WAF会自动生成一个后缀为-alb的防护对象，并为该防护对象默认开启基础防护规则。您可以在接入列表，单击已接入的实例ID，在防护对象页面，查看自动添加的防护对象，并为其配置防护规则。具体操作，请参见防护配置概述。
- 取消接入
  取消接入后，ALB实例上的业务流量将不再受WAF防护，安全报表中也不再包含相关业务流量的防护数据。
  重要
  ALB实例上的业务流量不受WAF防护后，不会产生请求处理费。但您已经配置的防护规则仍会产生对应的功能费。建议您在取消业务接入前，先删除已配置的防护规则，避免产生额外计费。更多信息，请参见计费项、防护模块概览。
  1. 单击目标实例名称操作列的取消接入，在提示对话框，单击取消接入。
  2. 在取消接入面板，选择功能版本（实例费）为标准版，单击立即购买并完成支付。

在ALB侧管理WAF防护

登录应用型负载均衡ALB控制台。
在顶部菜单栏，选择实例所属的地域。

管理WAF防护。

操作	步骤
查看实例是否开启WAF防护	选择以下任意一种方式查看实例是否开启WAF防护。方式一：在实例页面，找到目标实例，将鼠标悬停在实例名称后的图标，在气泡框的Web应用安全防护区域，查看防护状态。方式二：在实例页面，找到目标实例，单击实例ID。在实例详情页签，在基本信息区域查看WAF安全防护的状态。方式三：在实例页面，找到目标实例，单击实例ID。在实例详情页签，单击安全防护页签，在Web应用安全防护区域查看防护状态。
查看WAF安全报表	查看WAF安全报表，请确保您的ALB实例已开启WAF防护。方式一：在实例页面，找到目标实例，将鼠标悬停在实例名称后的图标，在气泡框的Web应用安全防护区域，单击查看WAF安全报表进入WAF 3.0控制台的安全报表页面查看。方式二：在实例页面，找到目标实例，单击实例ID。在实例详情页签，在基本信息区域单击安全防护右侧的查看WAF安全报表进入WAF 3.0控制台的安全报表页面查看。方式三：在实例页面，找到目标实例，单击实例ID。在实例详情页签，单击安全防护页签，在Web应用安全防护区域查看防护状态。更多信息，请参见安全报表。
关闭WAF防护	关闭WAF防护后，ALB实例上的业务流量将不再受WAF防护，安全报表中也不再包含相关业务流量的防护数据。重要 ALB实例上的业务流量不受WAF防护后，WAF侧不会产生请求处理费。但您已经配置的防护规则仍会产生对应的功能费。建议您在取消业务接入前，先删除已配置的防护规则，避免产生额外计费。更多信息，请参见计费项、防护模块概览。方式一：在实例页面，找到目标实例，将鼠标悬停在目标实例名称后的图标，在气泡框的Web应用安全防护区域，单击关闭WAF防护。在应用型负载均衡（按量付费）\| 变配页面，选择功能版本（实例费）为标准版，单击立即购买并完成支付。方式二：在实例页面，找到目标实例，在操作列选择 > 变配功能版本。在应用型负载均衡（按量付费）\| 变配页面，选择功能版本（实例费）为标准版，单击立即购买并完成支付。方式三：在实例页面，找到目标实例，单击实例ID。在实例详情页签，在基本信息区域单击WAF安全防护右侧的关闭WAF防护。在应用型负载均衡（按量付费）\| 变配页面，选择功能版本（实例费）为标准版，单击立即购买并完成支付。方式四：在实例页面，找到目标实例，单击实例ID。在实例详情页签，单击安全防护页签，在Web应用安全防护区域，单击关闭WAF防护。在应用型负载均衡（按量付费）\| 变配页面，选择功能版本（实例费）为标准版，单击立即购买并完成支付。