本文介绍了 WAF 3.0 支持的三种接入方式:云产品接入、CNAME 接入和混合云接入,并分别说明了各自的接入原理及接入方法。您可以根据 Web 业务的部署特性,选择适合的接入方式。
接入方式对比
对比项 | 云产品接入 | CNAME接入 | 混合云接入 | |
反向代理 | SDK集成 | |||
适用场景 |
| 接入域名,适用场景广泛,支持跨账号、跨云场景。 |
|
|
接入对象 | 阿里云云产品实例 | 域名 | 域名或IP | 域名或IP |
接入限制 |
|
|
|
|
如何接入
云产品接入:
CNAME接入:
具体操作请参见通过CNAME接入为网站开启WAF防护。在WAF控制台完成域名接入后,需放行WAF回源IP段并修改域名DNS解析设置。
混合云接入(反向代理、SDK集成):
具体操作请参见混合云接入。
接入原理
云产品接入
云产品接入ALB、FC、MSE、SAE、APIG实例时,通过 SDK 集成的方式。SDK 内嵌于云产品网关,负责流量提取、检测与防护。WAF 不参与流量转发,避免引入额外转发层导致的兼容性与稳定性问题。
云产品接入ECS、CLB、NLB实例时,采用透明代理的方式,通过配置引流端口,云产品网关自动改变路由,将Web业务引流到 WAF。WAF 拦截攻击流量,转发正常请求至源站,同时参与流量的转发和检测防护。
CNAME接入
采用反向代理的方式,通过添加域名并将域名的DNS解析指向WAF的CNAME地址,使域名的Web业务引流到WAF。WAF 拦截攻击流量,转发正常请求至源站,同时参与流量的转发和检测防护。
混合云接入
混合云接入方式下,提供反向代理和SDK集成两种模式:
反向代理模式:将网站域名或IP接入WAF,并通过DNS解析指向WAF防护集群,所有流量经集群进行安全检测。
SDK集成模式:在统一接入网关部署SDK插件,复制业务流量至WAF防护集群,WAF仅检测不转发,实现检测与转发分离。
常见问题
其他阿里云账号或非阿里云的云资源能接入WAF吗?
如果您拥有网站域名并且能够操作该域名的DNS解析,即可通过CNAME接入方式进行接入,CNAME接入方式不限制源站的位置。
没有域名,只有公网IP能接入WAF吗?
可以使用云产品接入方式,云产品接入无需拥有域名。
IPv6网站能接入WAF吗?
云产品接入ECS、CLB、NLB实例时不支持IPv6网站,需要使用CNAME接入方式,您需要开通包年包月企业版/旗舰版或按量付费版WAF后,在更多配置中开启IPv6即可,具体操作请参见通过CNAME接入为网站开启WAF防护。
非中国内地WAF不支持接入IPv6网站。
同一个域名能否同时使用云产品接入和CNAME接入?
不推荐。每个域名只能使用云产品接入或CNAME接入两种模式之一,重复接入会导致转发冲突防护失效。如果您已通过CNAME接入开启WAF防护的域名,需要切换为云产品接入,您必须先删除该域名的CNAME接入配置,然后在云产品接入模式下重新接入该域名。
为什么接入配置页面找不到需要接入的CLB实例、NLB实例或ECS实例?
可能原因 | 相关操作 |
要接入的CLB实例、NLB实例或ECS实例不满足限制条件 | |
要接入的CLB实例未添加对应监听 | |
WAF未同步CLB、NLB或ECS实例 | 同步资产的具体步骤请参见手动同步资产。 |
如何查看资产接入情况与手动同步资产?
您可以通过以下步骤查看您的资产接入情况。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,单击接入管理。
在页面顶部,可查看所有已接入域名资产数与已接入云产品资产数,也包括您已拥有的各云产品实例总数。如果您对云产品实例进行过新增、变更,可以点击右上角同步资产,立即将变更同步至WAF。
同一个域名解析指向了多个云产品实例,该如何接入?
使用云产品接入:需要同时接入这些云产品实例(例如CLB实例的服务端口),实现WAF对这几个实例同时引流。
使用CNAME接入:CNAME接入此域名后,所有云产品实例都将受到WAF默认防护策略的防护。
多个域名解析指向了同一个云产品实例,该如何接入?
使用云产品接入:您接入此云产品实例后,实例上的所有域名都将受到WAF默认防护策略的防护。但如果您希望单独为这些域名配置不同的防护规则,则需要手动将域名添加为防护对象,详细信息,请参见手动添加防护对象。
使用CNAME接入:逐一接入多个域名。