为 ALB 开启 WAF 防护-负载均衡(SLB)-阿里云帮助中心

工作原理

WAF 增强版 ALB 实例采用 WAF 3.0 服务化接入架构，WAF 不作为独立的网络节点（网关）参与流量转发，仅负责流量提取、检测与防护。这避免了透明接入模式下，引入额外转发网关带来的网络延迟、配置复杂性（如证书同步）和潜在的单点故障风险。

可参考WAF 3.0与WAF 2.0对比，了解更多区别。

请求接收：客户端请求到达 ALB 实例，由 ALB 负责流量接收。
旁路检测：在请求转发给后端服务器之前，ALB 通过内嵌 SDK，同步将流量提取并发送至 WAF 3.0 安全检测集群。
安全分析：WAF 3.0 根据配置的防护规则（如Web核心防护、恶意IP惩罚等）对请求内容进行实时分析，将检测结果（放行或拦截）返回给 ALB。
决策执行：ALB 根据从 WAF 集群收到的检测结果，执行最终动作：
- 放行：ALB 将原始请求正常转发至后端服务器。
- 拦截：ALB 直接阻断该请求，并向客户端返回一个拦截页面（通常是405状态码），请求不会到达后端服务器。

适用范围

针对 WAF 增强版 ALB 实例：

支持的地域：

公有云

区域	地域
中国	西南1（成都）、华北1（青岛）、华北2（北京）、华南3（广州）、华东1（杭州）、华北6（乌兰察布）、华东2（上海）、华南1（深圳）、华北3（张家口）、中国香港、华东6（福州-本地地域）、华南2（河源）
亚太	菲律宾（马尼拉）、印度尼西亚（雅加达）、日本（东京）、马来西亚（吉隆坡）、新加坡、泰国（曼谷）、韩国（首尔）
欧洲与美洲	德国（法兰克福）、美国（硅谷）、美国（弗吉尼亚）、墨西哥
中东	阿联酋（迪拜）

金融云

区域	地域
中国	华东1 金融云（杭州）、华东2 金融云（上海）

采用 WAF 3.0 服务化接入架构。如果账号下已有 WAF 2.0 实例，需先释放WAF 2.0实例或迁移至WAF 3.0。

ALB 默认不开启 X-Forwarded-Proto 头字段。释放 WAF 2.0 实例后，直接访问 ALB 可能会因后端服务无法正确识别协议（HTTP/HTTPS）而导致业务异常（例如，无限重定向）。为避免此问题，务必在 ALB 监听配置中手动开启X-Forwarded-Proto请求头。
开通后，WAF 的信息泄露防护功能将不受支持。

为 ALB 开启 WAF 防护

开启后，将自动接入已开通的 WAF 实例。未开通 WAF 实例时，将自动开通 WAF 按量付费实例。

WAF 实例部署地域为中国内地、非中国内地。将根据 ALB 实例所属地域是否归属于中国内地，确定接入中国内地/非中国内地的 WAF 实例。

创建 WAF 增强型 ALB 实例

控制台

创建 ALB 实例时，功能版本（实例费）选择WAF增强版。

API

调用CreateLoadBalancer，配置LoadBalancerEdition为StandardWithWaf，创建 WAF 增强版 ALB 实例。

为已创建的 ALB 开启 WAF 防护

基础版或标准版 ALB 实例均支持开启 WAF 防护，升级为 WAF 增强版。

开启时，需确保实例处于运行中状态。
不同功能版本的实例费单价不同，实际购买价格以购买页为准。

控制台

前往ALB 实例列表页。
将鼠标悬停在目标实例 ID 后的图标，在Web应用安全防护区域，单击开启防护。

API

调用UpdateLoadBalancerEdition，配置LoadBalancerEdition为StandardWithWaf，将 ALB 实例版本变更为 WAF 增强版。

了解防护记录

为 ALB 开启 WAF 防护后，WAF 将自动创建一个后缀为-alb的防护对象，并默认启用 Web 核心防护规则。该规则默认启用安全报表，展示对应规则的防护记录。

如需满足其他安全防护需求，可配置安全防护规则。

若多个域名解析指向了同一 ALB 实例，且需要为不同域名配置不同的防护规则，则需要将域名添加为防护对象。

控制台

前往ALB 实例列表页。
将鼠标悬停在目标实例 ID 后的图标，在Web应用安全防护区域，单击查看WAF安全报表。

关闭 WAF 防护

关闭 WAF 防护后，ALB 实例的业务流量将不再受 WAF 防护，安全报表不再包含相关业务流量的防护数据，WAF 侧不再产生请求处理费。

但由于 WAF 实例本身及防护规则的存在，仍会产生功能费，需关闭WAF完全停止计费。

关闭 WAF 防护：关闭 WAF 防护后，ALB 实例将从 WAF 增强版降配到标准版，变配过程对业务无影响。
临时关闭 WAF：若业务出现大量误拦截，可临时关闭 WAF 防护，最快速度恢复业务。
- 临时关闭后，ALB 实例仍为 WAF 增强版。流量依然会流经ALB 内嵌的WAF SDK，但不再转发至 WAF 集群检测，直接由 ALB 转发至后端。
- 临时停用 WAF，将影响 WAF 实例下所有防护对象，请谨慎操作。

控制台

关闭 WAF 防护

前往ALB 实例列表页。
将鼠标悬停在目标实例 ID 后的图标，在Web应用安全防护区域，单击关闭WAF防护。

临时关闭 WAF

前往WAF控制台 - 防护对象页面。
在页面右上角，关闭WAF防护状态，即置为停用。

API

调用UpdateLoadBalancerEdition，配置LoadBalancerEdition为Standard，将 ALB 实例版本变更为标准版。

应用于生产环境

灰度发布：优先在业务低峰期、非生产环境中，为与生产环境配置类似的 ALB 实例开启 WAF 防护，确认业务正常后，再为生产环境的 ALB 实例开启。
持续监控：开启防护后，关注业务监控指标和网络性能指标。关注安全报表，并配置云监控通知，及时了解攻击事件与安全事件。
规则调优：定期回顾 WAF 拦截日志，分析误拦截情况，调整防护规则优化防护精度。

计费说明

实例费：实例费=实例单价(元/小时)×计费时长(小时)
LCU费：每小时LCU费=max{新建连接数LCU值，并发连接数LCU值，处理数据量LCU值，规则评估数LCU值}×LCU单价
公网网络费：
- 仅公网 ALB 实例收取公网网络费，私网 ALB 实例不收取。
- 公网 ALB 实例通过 EIP 或 Anycast EIP 提供公网能力，由绑定的 EIP 或 Anycast EIP收取费用。
WAF 3.0 计费：支持包年包月和按量付费两种计费方式。
- 未开通 WAF 实例时，创建 WAF 增强版 ALB 实例，将自动开通 WAF 按量付费实例并按使用量计费。
- 已有 WAF 3.0 包年包月实例时，创建 WAF 增强版 ALB 实例后，不会产生额外的 WAF 费用。

常见问题

ALB 是否支持接入 WAF 2.0 防护？

账号已有WAF 2.0实例：公网基础版和标准版 ALB 实例支持透明化接入 WAF 2.0 防护，支持的地域：华东1（杭州）、华东2（上海）、华南1（深圳）、西南1（成都）、华北2（北京）、华北3（张家口）。私网 ALB 实例不支持接入 WAF 2.0 防护。
账号没有WAF 2.0实例或未开启 WAF 时，公网和私网 ALB 实例均支持服务化接入WAF 3.0，即创建 WAF 增强型 ALB 实例。