为ALB实例开启WAF防护

使用限制

• 购买ALB WAF增强版实例前，请先完成实名认证。具体操作，请参见如何选择实名认证方式。

• 仅如下地域支持WAF增强版ALB实例：

  区域	地域
  中国	西南1（成都）、华北1（青岛）、华北2（北京）、华南3（广州）、华东1（杭州）、华北6（乌兰察布）、华东2（上海）、华南1（深圳）、华北3（张家口）、中国香港、华东6（福州-本地地域）
  亚太	菲律宾（马尼拉）、印度尼西亚（雅加达）、日本（东京）、马来西亚（吉隆坡）、新加坡、泰国（曼谷）
  欧洲与美洲	德国（法兰克福）、美国（硅谷）、美国（弗吉尼亚）

• 仅支持状态为运行中的ALB基础版、标准版实例，升级为WAF增强版。

• 接入WAF的ALB实例暂不支持如下功能：

  • 信息泄露防护

  • Bot管理网页防爬场景化防护中的自动集成Web SDK

前提条件

• 您的阿里云账号未开通任何版本的WAF，或已开通WAF 3.0。

  说明

  • 如果您的账号未开通任何版本的WAF实例，您购买ALB WAF增强版后，开通的WAF 3.0实例为按量付费版。

  • 如果您的阿里云账号下已开通WAF 2.0实例，您可以将WAF 2.0实例迁移到WAF 3.0。具体操作，请参见如何将WAF 2.0实例升级到WAF 3.0。

• 如果您开通的是包年包月实例，请确认您的实例还可以添加防护对象。否则，将无法进行云产品接入。

  您可以访问防护对象页面，查看实例还可以添加的防护对象数。

开启WAF防护

1. 登录Web应用防火墙3.0控制台。在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）。

2. 在左侧导航栏，单击接入管理。

3. 选择云产品接入页签，在左侧云产品类型列表，选择应用型负载均衡ALB。

4. 根据页面提示，单击立即授权，完成云产品授权。

   完成后，阿里云将自动为您创建WAF服务关联角色AliyunServiceRoleForWAF。您可以在RAM控制台的身份管理 > 角色页面，查看阿里云为WAF自动创建的服务关联角色。

   说明

   如果您已经完成云产品授权，则授权页面不会出现，您可以直接执行后续步骤。

5. 在右侧列表，查看您的ALB实例及其WAF防护状态，如果找不到目标实例，请点击页面右上角同步资产。找到您希望接入WAF的ALB实例，在操作列点击立即接入，在弹出的对话框点击确定，当WAF防护状态显示全部防护时，表示接入成功。

   说明

   您也可以勾选多个ALB实例批量接入，或点击一键全量接入，一键为所有实例接入WAF。

其他操作

在WAF侧管理WAF防护

1. 登录Web应用防火墙3.0控制台。在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）。

2. 在左侧导航栏，单击接入管理。

3. 管理WAF防护。

   • 在云产品接入页签，从左侧云产品类型列表中选择应用型负载均衡ALB，查看已接入的ALB实例。

   • 设置防护对象和防护规则

     开启WAF防护后，WAF会自动生成一个后缀为-alb的防护对象，并为该防护对象关联所有默认防护模板。您可以在接入列表，单击已接入的实例ID，在防护对象页面，查看自动添加的防护对象，并为其配置防护规则。具体操作，请参见防护配置概述。

     

   • 取消接入

     取消接入后，ALB实例上的业务流量将不再受WAF防护，安全报表中也不再包含相关业务流量的防护数据。

     重要

     如果您的WAF实例为按量付费，ALB实例上的业务流量不受WAF防护后，不会产生请求处理费。但您已经配置的防护规则仍会产生对应的功能费。建议您在取消业务接入前，先删除已配置的防护规则，避免产生额外计费。更多信息，请参见计费说明、防护模块概览。

     1. 单击目标实例名称操作列的取消接入，在弹出的对话框，单击确定取消接入。

在ALB侧管理WAF防护

1. 登录应用型负载均衡ALB控制台。

2. 在顶部菜单栏，选择实例所属的地域。

3. 管理WAF防护。

   操作	步骤
   查看实例是否开启WAF防护	选择以下任意一种方式查看实例是否开启WAF防护。 方式一： 在实例页面，找到目标实例，单击实例ID。 单击集成服务页签，在Web应用防火墙区域查看防护状态。 显示已集成，表示已开启WAF防护。 方式二： 在实例页面，找到目标实例，将鼠标悬停在实例名称后的图标。 在气泡框的Web应用安全防护区域，查看防护状态。 显示防护中，表示已开启WAF防护。 方式三： 在实例页面，找到目标实例，单击实例ID。 在实例详情页签，在基本信息区域查看WAF安全防护的状态。 显示防护中，表示已开启WAF防护。
   查看WAF安全报表	查看WAF安全报表，请确保您的ALB实例已开启WAF防护。 方式一： 在实例页面，找到目标实例，单击实例ID。 单击集成服务页签，在Web应用防火墙区域单击查看WAF安全报表进入WAF 3.0控制台的安全报表页面查看。 方式二： 在实例页面，找到目标实例，将鼠标悬停在实例名称后的图标。 在气泡框的Web应用安全防护区域，单击查看WAF安全报表进入WAF 3.0控制台的安全报表页面查看。 方式三： 在实例页面，找到目标实例，单击实例ID。 在实例详情页签，在基本信息区域单击安全防护右侧的查看WAF安全报表进入WAF 3.0控制台的安全报表页面查看。 更多信息，请参见安全报表。
   关闭WAF防护	关闭WAF防护后，ALB实例上的业务流量将不再受WAF防护，安全报表中也不再包含相关业务流量的防护数据。 重要 ALB实例上的业务流量不受WAF防护后，WAF侧不会产生请求处理费。但您已经配置的防护规则仍会产生对应的功能费。建议您在取消业务接入前，先删除已配置的防护规则，避免产生额外计费。更多信息，请参见计费说明、防护模块概览。 方式一： 在实例页面，找到目标实例，单击实例ID。 单击集成服务页签，在Web应用防火墙区域，单击解除WAF防护。 在关闭防护会话框，单击确定关闭WAF防护。 方式二： 在实例页面，找到目标实例，将鼠标悬停在目标实例名称后的图标，在气泡框的Web应用安全防护区域，单击关闭WAF防护。 在关闭防护会话框，单击确定关闭WAF防护。 方式三： 在实例页面，找到目标实例，单击实例ID。 在实例详情页签，在基本信息区域单击WAF安全防护右侧的关闭WAF防护。 在关闭防护会话框，单击确定关闭WAF防护。 方式四： 在实例页面，找到目标实例，在操作列选择 > 变配功能版本。 在应用型负载均衡（按量付费）| 变配页面，选择功能版本（实例费）为标准版，单击立即购买并完成支付。

常见问题

验证ALB是否成功接入WAF

WAF 2.0透明化接入和WAF 3.0 SDK集成的区别

两者的区别：

• WAF 2.0透明化接入：通过添加引流端口到WAF的方式，使云产品网关自动改变路由，将Web业务引流到WAF。WAF会拦截攻击请求并将正常业务请求转发回源站服务器。该过程中，WAF作为反向代理集群，同时参与流量的转发和检测防护。WAF 2.0透明化接入时请求需经过两道网关，因此WAF侧与负载均衡侧都需维护超时时间和证书等配置。

• WAF 3.0 SDK集成：WAF 3.0通过SDK模块化的方式集成在云产品的网关中，通过内嵌在网关中的SDK提取流量并进行检测和防护。该过程中，WAF不参与流量转发，避免因额外引入一层转发而带来各种兼容性和稳定性问题。WAF 3.0 SDK集成时请求只经过一道网关，省去了WAF从ALB实例同步证书和加密套件配置的步骤，不会出现证书和配置不同步等问题。

更多信息，请参见WAF 3.0与WAF 2.0对比。

相关文档

ALB侧文档

• 如需新购一个ALB WAF增强版实例，请参见创建和管理ALB实例。

• 如需了解ALB基础版、标准版和WAF增强版本的功能差异，请参见功能特性。

• 如需查看并提升ALB WAF增强版的配额，请参见使用限制。

• 如需通过控制台变配ALB实例功能版本，请参见ALB实例变配。

• 如需通过API变更ALB实例功能版本，请参见UpdateLoadBalancerEdition - 变更负载均衡版本。

• ALB的WAF增强版实例计费规则，请参见实例费。

WAF侧文档

• 关于购买WAF 3.0包年包月的操作，请参见购买WAF 3.0包年包月实例。

• 关于购买WAF 3.0按量付费的操作，请参见开通WAF 3.0按量付费实例。

• 如需了解WAF 3.0和WAF 2.0差异及WAF 3.0主要优化点，请参见WAF 3.0与WAF 2.0对比。

• 如果您有多个域名解析指向了同一ALB实例，希望在接入后单独为这些域名配置防护规则，则需要手动将域名添加为防护对象，详细信息，请参见手动添加防护对象。