文档

WAF常见问题

更新时间:

本文汇总了您在购买和使用Web应用防火墙(Web Application Firewall,简称WAF)时的常见问题。

概览

非阿里云服务器能否使用WAF?

可以,WAF支持云外机房用户接入。WAF可以保护任何公网路由可达的服务器,不论是阿里云服务、其他的云服务、IDC机房等环境,都可以使用WAF。

重要

要接入中国内地WAF实例的域名必须按照工信部要求完成ICP备案,否则不支持接入。

WAF支持云虚拟主机吗?

支持,WAF的所有版本都支持独享虚拟主机,直接开通WAF进行配置即可。

对于共享虚拟主机,由于使用的是共享IP,源站由多个用户共同使用,不建议单独配置WAF。

WAF是否支持防护HTTPS业务?

支持,WAF的所有版本都支持HTTPS业务,并且支持泛域名接入。

只需根据提示将SSL证书及私钥上传,WAF即可防护HTTPS业务流量。配置HTTPS业务接入后,WAF会先解密访问请求,检查请求包,再重新加密,并转发正常的请求到源站。

WAF是否支持自定义端口?

WAF企业版及旗舰版支持自定义非标准端口。企业版最多支持10个非标准端口,旗舰版最多支持50个非标准端口。

重要

不是任意端口都支持自定义。非标准端口必须在支持范围内。更多信息,请参见WAF支持的端口

WAF是否对接入端口有限制?

根据接入方式不同,具体说明如下:

  • CNAME接入:

    WAF只支持接入通过指定端口提供HTTP/HTTPS服务的域名。关于WAF不同版本支持接入的端口范围,请参见各版本支持的端口

  • 透明接入:

    WAF对接入端口没有限制,您可以将80~65535范围内任意端口的Web业务,通过透明接入方式接入WAF进行防护。更多信息,请参见透明接入

除了上述WAF对接入端口的限制,根据当前网络访问验证结果,互联网运营商侧或因部分高危端口存在安全隐患,会拦截针对高危端口的业务流量。相关的高危TCP端口包括:42、135、137、138、139、445、593、1025、1434、1068、3127、3128、3129、3130、4444、5554、5800、5900、9996。如果您的Web业务使用了上述高危端口,则业务接入WAF后,可能出现业务在部分地域无法被访问的问题。因此,建议您将业务接入WAF前,确保Web业务使用其他非高危端口。

WAF的QPS限制规格是针对整个WAF实例汇总的QPS,还是配置的单个域名的QPS上限?

WAF的QPS限制规格针对整个WAF实例。

例如,您在WAF实例上配置防护了3个域名,则这3个域名累加的QPS不能超过规定上限。如果超过已购买的WAF实例的QPS限制,将触发限速,可能导致随机丢包。

WAF是否支持HTTPS双向认证?

WAF暂时不支持HTTPS双向认证。

WAF是否支持Websocket、HTTP 2.0或SPDY协议?

WAF支持WebSocket协议,且企业版及以上规格支持HTTP 2.0。目前暂不支持SPDY协议。

为避免攻击者通过HTTP 2.0明文走私来绕过WAF,您可以通过创建自定义规则,拦截Header名称为Upgrade,且值为h2c的请求。具体操作,请参见设置自定义规则防御特定请求(WAF 3.0)设置自定义防护策略(WAF 2.0)

HTTP 2.0业务接入WAF防护是否会对源站有影响?

有影响。HTTP 2.0业务接入WAF防护表示WAF可以处理客户端的HTTP 2.0请求,而WAF目前仅支持以HTTP 1.0/1.1协议转发回源请求,即WAF与源站间暂不支持HTTP 2.0。因此,如果您将HTTP 2.0业务接入WAF防护,则源站的HTTP 2.0特性将会受到影响,例如,源站HTTP 2.0的多路复用特性可能失效,造成源站业务带宽上升。

HTTP2示意图

WAF支持哪些TLS协议?

中国内地WAF实例默认支持TLS 1.0、TLS 1.1、TLS 1.2,海外地区WAF实例默认支持TLS 1.1、TLS 1.2。

如果您有个性化需求(例如,不需要TLS 1.0版本、希望开启TLS 1.3等),可以自定义TLS配置。相关操作,请参见配置自定义TLS

WAF是否支持接入采用NTLM协议认证的网站?

不支持。如果网站使用NTLM协议认证,经WAF转发的访问请求可能无法通过源站服务器的NTLM认证,客户端将反复出现认证提示。建议您使用其他方式进行网站认证。

WAF中的源站IP可以填写ECS内网IP吗?

不可以。WAF通过公网进行回源,不支持直接填写内网IP。

WAF能够保护在一个域名下的多个源站IP吗?

可以,一个WAF域名配置中最多支持配置20个源站IP地址。

WAF配置多个源站时如何负载?

如果您配置了多个源站IP地址,WAF默认使用IP Hash的方式对访问请求进行负载均衡。您也可以根据需要自定义负载均衡算法。更多信息,请参见添加域名

WAF是否支持健康检查?

WAF默认启用健康检查。WAF会对所有源站IP进行接入状态检测,如果某个源站IP没有响应,WAF会将访问请求转发至其他源站IP。

说明

源站IP无法响应时,WAF将为该源站IP自动设置一个静默时间。静默时间结束后,新的访问请求可能仍然会被转发至该源站IP。关于WAF的健康检查工作原理,请参见健康检查概述

修改WAF的源站IP是否有延迟?

有。修改WAF已防护的源站IP后,大约需要一分钟生效。

WAF的回源IP段是多少?

您可以在Web应用防火墙控制台系统管理 > 产品信息页面查询WAF的回源IP段。更多信息,请参见放行WAF回源IP段

WAF是否会自动将WAF回源IP段加入安全组?

WAF不会自动将WAF回源IP段添加到安全组。如果您的源站部署了其他防火墙或主机安全防护软件,建议您将WAF回源IP段添加至相应的白名单中。

建议您配置源站保护策略,对您的源站进行安全防护。详细信息,请参见设置源站保护

WAF回源是否需要放行所有客户端IP?

根据您的业务情况,您可以只放行WAF回源IP段,也可以放行所有客户端IP。对于Web业务,建议您只放行WAF回源IP,实现源站保护。

WAF的独享IP是否能够防御DDoS攻击?

可以。

WAF为每个用户提供独立的IP,该IP同样适用DDoS防护的黑洞策略,和ECS、SLB服务器一致。WAF的黑洞阈值和当前地区ECS的默认阈值相同。

WAF能和CDN或DDoS高防一起接入吗?

WAF完全兼容CDN和DDoS高防服务。同时接入WAF、CDN和DDoS高防的最佳部署架构为:客户端 > DDoS高防 > CDN > WAF > 负载均衡 > 源站。

WAF与DDoS高防或CDN一起接入时,只要将WAF提供的CNAME地址配置为DDoS高防或CDN的源站即可。这样就可以实现流量在经过DDoS高防或CDN之后,被转发到WAF,再通过WAF最终转发至源站,从而对源站进行全面的安全防护。更多信息,请参见通过联合部署DDoS高防和WAF提升网站防护能力部署WAF和CDN为开启内容加速的域名提供WAF防御

WAF是否支持跨账号使用CDN+高防+WAF的架构?

支持,您可以跨账号使用CDN、高防、WAF产品组合成抵御DDoS攻击和Web应用攻击的安全架构。

WAF如何保证上传证书及密钥的安全性?是否会解密HTTPS流量并记录访问请求的内容?

阿里云Web应用防火墙在防护HTTPS业务时,需要您上传对应的SSL证书及密钥,用于解密HTTPS流量并检测流量中的攻击特征。我们使用了专用的证书服务器(Key Server)来存储和管理密钥。Key Server依托于阿里云密钥管理系统KMS(Key Management Service),能够保护证书和密钥的数据安全性、完整性和可用性,符合监管和等保合规要求。关于KMS的详细介绍,请参见什么是密钥管理服务

WAF使用您上传的SSL证书及密钥解密HTTPS业务流量,只用于实时检测。我们只会记录包含攻击特征(payload)的部分请求内容,用于攻击报表展示、数据统计等,不会在您未授权的情况下,记录全量的请求或响应内容。

阿里云Web应用防火墙已通过ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 27701、ISO 29151、BS 10012、CSA STAR、等保三级、SOC 1/2/3、C5、HK金融、OSPAR、PCI DSS等多项国际权威认证,且作为标准的阿里云云产品,在云平台层面具备与阿里云同等水平的安全合规资质。详细内容,请参见阿里云信任中心

说明

使用WAF防护HTTPS业务时,您也可以选择双证书方案,即在WAF上使用一套证书及密钥,在源站服务器上使用另一套证书及密钥(两套证书及密钥必须都是合法的),以便将上传到WAF的证书及密钥与源站服务器的证书及密钥分开管理。

网站已接入WAF防护,为什么在域名列表中查询不到?

您的网站备案信息可能已经失效,导致域名不符合接入要求,已被WAF自动清除。您需要为该域名完成ICP备案,并重新将网站接入WAF防护。关于阿里云ICP备案的更多信息,请参见ICP备案流程概述

重要

您在将网站接入中国内地WAF实例(包括包年包月实例和按量计费实例)防护前,必须保证域名备案信息的有效性。为符合相关法律法规要求,中国内地WAF实例会定期清除备案失效的域名。关于相关法律法规,请参见未备案不得提供非经营性互联网信息服务

WAF如何防御CC攻击?

WAF提供多种CC安全防护模式,您可以根据实际情况进行选择。更多信息,请参见设置CC安全防护

如果您希望同时有好的防护效果和低误杀率,建议您选择WAF企业版和旗舰版,由安全专家定制针对性的防护算法。详细信息,请参见设置自定义防护策略

在WAF管理控制台更改配置后大约需要多久生效?

一般情况下,更改后的配置在一分钟内即可生效。

WAF自定义防护策略(ACL访问控制)中的IP字段是否支持填写网段?

支持。

为什么URL匹配字段包含双斜杠(//)的自定义防护策略规则不会生效?

由于WAF的规则引擎在处理URL匹配字段时会进行标准化处理,默认将连续的正斜杠(/)进行压缩,因此无法正确匹配包含双斜杠(//)URL的自定义防护策略规则。

如果您需要对包含双斜杠(//)的URL设置ACL访问控制,您可以直接设置该URL对应的单斜杠路径作为匹配条件。例如,如果需要将//api/sms/request作为URL匹配字段的条件值,您只需在匹配内容中填写/api/sms/request,WAF即可针对包含该内容的请求进行访问控制。

WAF管理控制台中能查看CC攻击的攻击者IP吗?

可以。您可以开通WAF日志服务,然后使用日志查询功能查询CC攻击的攻击者IP信息。更多信息,请参见快速使用WAF日志服务日志查询

如何查询WAF使用的带宽流量?

您可以在Web应用防火墙控制台总览页面查看已使用的带宽流量情况。

  • 本页导读 (1)
文档反馈