本文汇总了您在购买和使用Web应用防火墙(Web Application Firewall,简称WAF)时的常见问题。
概览
售前咨询问题
网站接入配置问题
网站防护配置问题
网站防护分析问题
非阿里云服务器能否使用WAF?
可以,WAF支持云外机房用户接入。WAF可以保护任何公网路由可达的服务器,不论是阿里云服务、其他的云服务、IDC机房等环境,都可以使用WAF。
要接入中国内地WAF实例的域名必须按照工信部要求完成ICP备案,否则不支持接入。
WAF支持云虚拟主机吗?
支持,WAF的所有版本都支持独享虚拟主机,直接开通WAF进行配置即可。
对于共享虚拟主机,由于使用的是共享IP,源站由多个用户共同使用,不建议单独配置WAF。
WAF是否支持防护HTTPS业务?
支持,WAF的所有版本都支持HTTPS业务,并且支持泛域名接入。
只需根据提示将SSL证书及私钥上传,WAF即可防护HTTPS业务流量。配置HTTPS业务接入后,WAF会先解密访问请求,检查请求包,再重新加密,并转发正常的请求到源站。
WAF是否支持自定义端口?
WAF企业版及旗舰版支持自定义非标准端口。企业版最多支持10个非标准端口,旗舰版最多支持50个非标准端口。
不是任意端口都支持自定义。非标准端口必须在支持范围内。更多信息,请参见WAF支持的端口。
WAF是否对接入端口有限制?
根据接入方式不同,具体说明如下:
除了上述WAF对接入端口的限制,根据当前网络访问验证结果,互联网运营商侧或因部分高危端口存在安全隐患,会拦截针对高危端口的业务流量。相关的高危TCP端口包括:42、135、137、138、139、445、593、1025、1434、1068、3127、3128、3129、3130、4444、5554、5800、5900、9996。如果您的Web业务使用了上述高危端口,则业务接入WAF后,可能出现业务在部分地域无法被访问的问题。因此,建议您将业务接入WAF前,确保Web业务使用其他非高危端口。
WAF的QPS限制规格是针对整个WAF实例汇总的QPS,还是配置的单个域名的QPS上限?
WAF的QPS限制规格针对整个WAF实例。
例如,您在WAF实例上配置防护了3个域名,则这3个域名累加的QPS不能超过规定上限。如果超过已购买的WAF实例的QPS限制,将触发限速,可能导致随机丢包。
WAF是否支持HTTPS双向认证?
WAF暂时不支持HTTPS双向认证。
WAF是否支持Websocket、HTTP 2.0或SPDY协议?
WAF支持WebSocket协议,且企业版及以上规格支持HTTP 2.0。目前暂不支持SPDY协议。
为避免攻击者通过HTTP 2.0明文走私来绕过WAF,您可以通过创建自定义规则,拦截Header名称为Upgrade,且值为h2c的请求。具体操作,请参见设置自定义规则防御特定请求(WAF 3.0)、设置自定义防护策略(WAF 2.0)。
HTTP 2.0业务接入WAF防护是否会对源站有影响?
有影响。HTTP 2.0业务接入WAF防护表示WAF可以处理客户端的HTTP 2.0请求,而WAF目前仅支持以HTTP 1.0/1.1协议转发回源请求,即WAF与源站间暂不支持HTTP 2.0。因此,如果您将HTTP 2.0业务接入WAF防护,则源站的HTTP 2.0特性将会受到影响,例如,源站HTTP 2.0的多路复用特性可能失效,造成源站业务带宽上升。
WAF支持哪些TLS协议?
中国内地WAF实例默认支持TLS 1.0、TLS 1.1、TLS 1.2,海外地区WAF实例默认支持TLS 1.1、TLS 1.2。
如果您有个性化需求(例如,不需要TLS 1.0版本、希望开启TLS 1.3等),可以自定义TLS配置。相关操作,请参见配置自定义TLS。
WAF是否支持接入采用NTLM协议认证的网站?
不支持。如果网站使用NTLM协议认证,经WAF转发的访问请求可能无法通过源站服务器的NTLM认证,客户端将反复出现认证提示。建议您使用其他方式进行网站认证。
WAF中的源站IP可以填写ECS内网IP吗?
不可以。WAF通过公网进行回源,不支持直接填写内网IP。
WAF能够保护在一个域名下的多个源站IP吗?
可以,一个WAF域名配置中最多支持配置20个源站IP地址。
WAF配置多个源站时如何负载?
如果您配置了多个源站IP地址,WAF默认使用IP Hash的方式对访问请求进行负载均衡。您也可以根据需要自定义负载均衡算法。更多信息,请参见添加域名。
WAF是否支持健康检查?
WAF默认启用健康检查。WAF会对所有源站IP进行接入状态检测,如果某个源站IP没有响应,WAF会将访问请求转发至其他源站IP。
源站IP无法响应时,WAF将为该源站IP自动设置一个静默时间。静默时间结束后,新的访问请求可能仍然会被转发至该源站IP。关于WAF的健康检查工作原理,请参见健康检查概述。
修改WAF的源站IP是否有延迟?
有。修改WAF已防护的源站IP后,大约需要一分钟生效。
WAF的回源IP段是多少?
您可以在Web应用防火墙控制台的 页面查询WAF的回源IP段。更多信息,请参见放行WAF回源IP段。
WAF是否会自动将WAF回源IP段加入安全组?
WAF不会自动将WAF回源IP段添加到安全组。如果您的源站部署了其他防火墙或主机安全防护软件,建议您将WAF回源IP段添加至相应的白名单中。
建议您配置源站保护策略,对您的源站进行安全防护。详细信息,请参见设置源站保护。
WAF回源是否需要放行所有客户端IP?
根据您的业务情况,您可以只放行WAF回源IP段,也可以放行所有客户端IP。对于Web业务,建议您只放行WAF回源IP,实现源站保护。
WAF的独享IP是否能够防御DDoS攻击?
可以。
WAF为每个用户提供独立的IP,该IP同样适用DDoS防护的黑洞策略,和ECS、SLB服务器一致。WAF的黑洞阈值和当前地区ECS的默认阈值相同。
WAF能和CDN或DDoS高防一起接入吗?
WAF完全兼容CDN和DDoS高防服务。同时接入WAF、CDN和DDoS高防的最佳部署架构为:客户端 > DDoS高防 > CDN > WAF > 负载均衡 > 源站。
WAF与DDoS高防或CDN一起接入时,只要将WAF提供的CNAME地址配置为DDoS高防或CDN的源站即可。这样就可以实现流量在经过DDoS高防或CDN之后,被转发到WAF,再通过WAF最终转发至源站,从而对源站进行全面的安全防护。更多信息,请参见通过联合部署DDoS高防和WAF提升网站防护能力、部署WAF和CDN为开启内容加速的域名提供WAF防御。
WAF是否支持跨账号使用CDN+高防+WAF的架构?
支持,您可以跨账号使用CDN、高防、WAF产品组合成抵御DDoS攻击和Web应用攻击的安全架构。
WAF如何保证上传证书及密钥的安全性?是否会解密HTTPS流量并记录访问请求的内容?
阿里云Web应用防火墙在防护HTTPS业务时,需要您上传对应的SSL证书及密钥,用于解密HTTPS流量并检测流量中的攻击特征。我们使用了专用的证书服务器(Key Server)来存储和管理密钥。Key Server依托于阿里云密钥管理系统KMS(Key Management Service),能够保护证书和密钥的数据安全性、完整性和可用性,符合监管和等保合规要求。关于KMS的详细介绍,请参见什么是密钥管理服务。
WAF使用您上传的SSL证书及密钥解密HTTPS业务流量,只用于实时检测。我们只会记录包含攻击特征(payload)的部分请求内容,用于攻击报表展示、数据统计等,不会在您未授权的情况下,记录全量的请求或响应内容。
阿里云Web应用防火墙已通过ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 27701、ISO 29151、BS 10012、CSA STAR、等保三级、SOC 1/2/3、C5、HK金融、OSPAR、PCI DSS等多项国际权威认证,且作为标准的阿里云云产品,在云平台层面具备与阿里云同等水平的安全合规资质。详细内容,请参见阿里云信任中心。
使用WAF防护HTTPS业务时,您也可以选择双证书方案,即在WAF上使用一套证书及密钥,在源站服务器上使用另一套证书及密钥(两套证书及密钥必须都是合法的),以便将上传到WAF的证书及密钥与源站服务器的证书及密钥分开管理。
网站已接入WAF防护,为什么在域名列表中查询不到?
您的网站备案信息可能已经失效,导致域名不符合接入要求,已被WAF自动清除。您需要为该域名完成ICP备案,并重新将网站接入WAF防护。关于阿里云ICP备案的更多信息,请参见ICP备案流程概述。
您在将网站接入中国内地WAF实例(包括包年包月实例和按量计费实例)防护前,必须保证域名备案信息的有效性。为符合相关法律法规要求,中国内地WAF实例会定期清除备案失效的域名。关于相关法律法规,请参见未备案不得提供非经营性互联网信息服务。
WAF如何防御CC攻击?
WAF提供多种CC安全防护模式,您可以根据实际情况进行选择。更多信息,请参见设置CC安全防护。
如果您希望同时有好的防护效果和低误杀率,建议您选择WAF企业版和旗舰版,由安全专家定制针对性的防护算法。详细信息,请参见设置自定义防护策略。
在WAF管理控制台更改配置后大约需要多久生效?
一般情况下,更改后的配置在一分钟内即可生效。
WAF自定义防护策略(ACL访问控制)中的IP字段是否支持填写网段?
支持。
为什么URL匹配字段包含双斜杠(//)的自定义防护策略规则不会生效?
由于WAF的规则引擎在处理URL匹配字段时会进行标准化处理,默认将连续的正斜杠(/)进行压缩,因此无法正确匹配包含双斜杠(//)URL的自定义防护策略规则。
如果您需要对包含双斜杠(//)的URL设置ACL访问控制,您可以直接设置该URL对应的单斜杠路径作为匹配条件。例如,如果需要将//api/sms/request
作为URL匹配字段的条件值,您只需在匹配内容中填写/api/sms/request
,WAF即可针对包含该内容的请求进行访问控制。
WAF管理控制台中能查看CC攻击的攻击者IP吗?
可以。您可以开通WAF日志服务,然后使用日志查询功能查询CC攻击的攻击者IP信息。更多信息,请参见快速使用WAF日志服务、日志查询。
如何查询WAF使用的带宽流量?
您可以在Web应用防火墙控制台的总览页面查看已使用的带宽流量情况。
- 本页导读 (1)