如果您已创建CLB实例,且已为端口添加HTTP或HTTPS监听,您可以添加该端口到Web应用防火墙(Web Application Firewall,简称WAF),将Web业务引流到WAF防护。本文介绍如何将七层CLB(HTTP/HTTPS)实例接入WAF。

使用限制

限制项类型描述
支持的实例
同时满足:
  • 公网实例
  • 非IPv6版本实例
  • 实例未开启双向认证
支持的地域
  • 中国内地:西南1(成都)、华北2(北京)、华北3(张家口)、华东1(杭州)、华东2(上海)、华南1(深圳)。
  • 非中国内地:中国(香港)、马来西亚(吉隆坡)、印度尼西亚(雅加达)。
引流端口配置的数量

不超过65。

TLS安全策略配置HTTPS监听的引流端口仅支持CLB内置的TLS安全策略。如果该端口配置了内置TLS安全策略以外的其他自定义TLS安全策略,会导致接入失败。更多信息,请参见TLS安全策略
业务同时接入DDoS高防和WAF

如果您的业务需要同时接入DDoS高防和WAF,则只有在业务通过域名接入(即七层接入模式)接入DDoS高防时,该业务才支持通过透明接入模式接入WAF。

前提条件

操作步骤

重要
  • 实例首次接入WAF时,可能会导致Web业务出现秒级闪断。该闪断会自动恢复,不会对您的业务造成影响。
  • 实例接入WAF后,如果更换实例上绑定的公网IP,需要重新将实例接入WAF。否则,业务流量将不会经过WAF防护。
  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。
  2. 在左侧导航栏,单击接入管理
  3. 选择云产品接入页签,在左侧云产品类型列表,选择CLB(HTTP/HTTPS)
  4. 单击接入,完成以下配置。
    配置项相关操作
    选择需要添加的实例&端口
    1. 同步最新资产

      如果要添加的实例未同步到实例列表,单击同步最新资产,更新实例列表。

    2. 添加端口
      1. 定位到要添加的实例,单击操作列的添加端口
      2. 选择要添加的HTTP或HTTPS端口,单击确定
    WAF前是否有七层代理(高防/CDN等)如果网站在接入WAF前启用了其他七层代理服务(例如DDoS高防、CDN等),配置该功能。
    • 无其他代理服务,选择(默认)
      选择(默认),表示WAF收到客户端直接发起的业务请求(不是从其他代理服务转发的请求)。
      说明 WAF直接取与WAF建立连接的IP(来自请求的REMOTE_ADDR字段)作为客户端IP。
    • 有其他代理服务,选择

      选择,表示WAF收到的业务请求来自其他七层代理服务转发(不是客户端直接发起的请求)。为保证WAF可以获取真实的客户端IP进行安全分析,您需要进一步设置客户端IP判定方式

      可选项:
      • 取X-Forwarded-For中的第一个IP作为客户端源IP(默认)

        WAF默认读取请求Header字段X-Forwarded-For(XFF)中的第一个IP地址作为客户端IP。

      • 取指定Header字段中的第一个IP作为客户端源IP,避免XFF伪造
        如果您的网站业务已通过其他代理服务的设置,规定将客户端源IP放置在某个自定义的Header字段(例如,X-Client-IP、X-Real-IP),则您需要选择该选项,并在指定Header字段框中输入对应的Header字段。
        说明 推荐您在业务中使用自定义Header存放客户端IP,并在WAF中配置对应Header字段。该方式可以避免攻击者伪造XFF字段,躲避WAF的检测规则,提高业务的安全性。

        支持输入多个Header字段。每输入完一个Header字段,按回车进行确认。如果设置了多个Header,WAF将按顺序尝试读取客户端IP。如果第一个Header不存在,则读取第二个,以此类推。如果所有指定Header都不存在,则读取XFF中第一个IP地址作为客户端IP。

    启用流量标记如果WAF转发回源请求时,需要在请求头中添加或修改由您指定的自定义字段,配置该功能。
    • 不需要启用,无需配置。
    • 需要启用,完成如下配置。
      选中启用流量标记,并设置标记字段。
      重要 请不要填写标准的HTTP头部字段(例如User-Agent等),否则会导致标准头部字段内容被自定义的字段值覆盖。
      标记字段分为以下类型:
      • 自定义Header

        通过配置Header名Header值,使WAF在回源请求中添加该Header信息,标记经过WAF的请求(区分没有经过WAF的请求,便于您的后端服务统计分析)。

        例如,您可以使用ALIWAF-TAG: Yes标记经过WAF的请求,其中,ALIWAF-TAG为Header名,Yes为Header值。

      • 客户端真实源IP

        通过配置真实客户端源IP所在的头部字段名,WAF可记录该头部字段并将该头部字段传递回源站。关于WAF判定客户端真实源IP的具体规则,请参见WAF前是否有七层代理(高防/CDN等)参数的描述。

      • 客户端真实源端口

        通过配置真实客户端源端口所在的头部字段名,WAF可记录该头部字段并将该头部字段传递回源站。

      单击新增标记,可以增加标记字段。最多支持设置5个标记字段。

    资源组从资源组列表中选择该域名所属资源组。如果不选择,则默认加入默认资源组
    说明 您可以使用资源管理服务创建资源组,根据业务部门、项目等维度对云资源进行分组管理。更多信息,请参见创建资源组
  5. 确认并选中要添加的实例后,单击确定
    完成接入后,WAF会自动生成一个命名为“实例id-端口-资产类型”的防护对象,并为该防护对象默认开启基础防护规则。您可以在接入列表,单击已接入的实例ID,在防护对象页面,查看自动添加的防护对象,并为其配置防护规则。具体操作,请参见防护配置概述防护对象