为 ALB 实例开启 WAF 防护,可抵御 Web 恶意攻击。WAF 增强版 ALB 实例采用 WAF 3.0 服务化接入架构,将安全检测与流量转发分离,避免传统 WAF 接入模式带来的网络延迟、配置复杂及单点故障等问题。
工作原理
WAF 增强版 ALB 实例采用 WAF 3.0 服务化接入架构,WAF 不作为独立的网络节点(网关)参与流量转发,仅负责流量提取、检测与防护。这避免了透明接入模式下,引入额外转发网关而带来的网络延迟、配置复杂性(如证书同步)和潜在的单点故障风险。
可参考WAF 3.0与WAF 2.0对比,了解更多区别。
请求接收:客户端请求到达 ALB 实例,由 ALB 负责流量接收。
旁路检测:在请求转发给后端服务器之前,ALB 通过内嵌 SDK,同步将请求发送至独立的WAF 3.0 安全检测集群。
安全分析:WAF 3.0 根据配置的防护规则(如Web核心防护、恶意IP惩罚等)对请求内容进行实时分析,将检测结果(放行或拦截)返回给 ALB。
决策执行:ALB 根据从 WAF 集群收到的检测结果,执行最终动作:
放行:ALB 将原始请求正常转发至后端服务器。
拦截:ALB 直接阻断该请求,并向客户端返回一个拦截页面(通常是405状态码),请求不会到达后端服务器。
适用范围
账号:购买 WAF 增强版 ALB 实例前,需先完成实名认证。
支持的地域:
区域
地域
中国
西南1(成都)、华北1(青岛)、华北2(北京)、华南3(广州)、华东1(杭州)、华北6(乌兰察布)、华东2(上海)、华南1(深圳)、华北3(张家口)、中国香港、华东6(福州-本地地域)
亚太
菲律宾(马尼拉)、印度尼西亚(雅加达)、日本(东京)、马来西亚(吉隆坡)、新加坡、泰国(曼谷)、韩国(首尔)
欧洲与美洲
德国(法兰克福)、美国(硅谷)、美国(弗吉尼亚)、墨西哥
WAF 版本:必须为 WAF 3.0。如果账号下已有 WAF 2.0 实例,需先释放WAF 2.0实例或迁移至WAF 3.0。
ALB 默认不开启 X-Forwarded-Proto 头字段。释放 WAF 2.0 实例后,直接访问 ALB 可能会因后端服务无法正确识别协议(HTTP/HTTPS)而导致业务异常(例如,无限重定向)。为避免此问题,务必在 ALB 监听配置中手动开启X-Forwarded-Proto请求头。
支持的功能:开通后,WAF 的以下功能将不受支持:信息泄露防护、Bot 管理网页防爬场景化防护中的自动集成 Web SDK。
为 ALB 开启 WAF 防护
开启后,将自动接入已开通的 WAF 实例。未开通 WAF 实例时,将自动开通 WAF 按量付费实例并按使用量计费。
WAF 实例部署地域为中国内地、非中国内地。将根据 ALB 实例所属地域是否归属于中国内地,确定接入中国内地/非中国内地的 WAF 实例。
创建 WAF 增强型 ALB 实例
控制台
API
调用CreateLoadBalancer,配置LoadBalancerEdition为StandardWithWaf,创建 WAF 增强版 ALB 实例。
为已创建的 ALB 开启 WAF 防护
支持为基础版或标准版 ALB 实例开启 WAF 防护。开启时,需确保实例处于运行中状态。
控制台
前往ALB 实例列表页。
可任选以下方式,为实例开启 WAF 防护:
将鼠标悬停在目标实例 ID 后的
图标,在Web应用安全防护区域,单击开启防护。单击目标实例 ID,选择实例详情页签,在基本信息区域的WAF安全防护右侧,单击开启防护。
单击目标实例 ID,选择集成服务页签,在Web应用防火墙区域,单击创建Web应用防护。
在目标实例操作列选择
> 变配功能版本,选择功能版本(实例费)为WAF增强版,单击立即购买并完成支付。
也可以前往负载均衡概览页,选择安全概览区域的立即开启防护,单击目标 ALB 实例操作列的开启防护。
API
调用UpdateLoadBalancerEdition,配置LoadBalancerEdition为StandardWithWaf,将 ALB 实例版本变更为 WAF 增强版。
了解防护记录
为 ALB 开启 WAF 防护后,WAF 将自动创建一个后缀为-alb的防护对象,并默认启用 Web 核心防护规则。且该规则默认启用安全报表,展示对应规则的防护记录。
如需满足其他安全防护需求,可配置安全防护规则。
若多个域名解析指向了同一 ALB 实例,且需要为不同域名配置不同的防护规则,则需要将域名添加为防护对象。
控制台
前往ALB 实例列表页。
可任选以下方式,查看 WAF 安全报表:
将鼠标悬停在目标实例 ID 后的
图标,在Web应用安全防护区域,单击查看WAF安全报表。单击目标实例 ID,选择实例详情页签,在基本信息区域的WAF安全防护右侧,单击查看WAF安全报表。
单击目标实例 ID,选择集成服务页签,在Web应用防火墙区域,单击查看WAF安全报表。
关闭 WAF 防护
关闭 WAF 防护后,ALB 实例的业务流量将不再受 WAF 防护,安全报表不再包含相关业务流量的防护数据,WAF 侧不再产生请求处理费。
但由于 WAF 实例本身及防护规则的存在,仍会产生功能费,需关闭WAF完全停止计费。
控制台
临时关闭防护
若业务出现大量误拦截,可临时关闭 WAF 防护,最快速度恢复业务。临时关闭后,ALB 实例仍为 WAF 增强版。流量依然会流经ALB 内嵌的WAF SDK,但不再转发至 WAF 集群检测,直接由 ALB 转发至后端。
在页面右上角,关闭WAF防护状态,即置为停用。
关闭 WAF 防护
关闭 WAF 防护后,ALB 实例将从 WAF 增强版降配到标准版,变配过程对业务无影响。
前往ALB 实例列表页。
可任选以下方式,关闭 WAF 防护:
将鼠标悬停在目标实例 ID 后的
图标,在Web应用安全防护区域,单击关闭WAF防护。单击目标实例 ID,选择实例详情页签,在基本信息区域的WAF安全防护右侧,单击关闭WAF防护。
单击目标实例 ID,选择集成服务页签,在Web应用防火墙区域,单击解除WAF防护。
在目标实例操作列选择
> 变配功能版本,选择功能版本(实例费)为标准版,单击立即购买并完成支付。
也可以前往WAF 接入管理 - 云产品接入页面,单击目标 ALB 实例操作列的取消接入。
API
调用UpdateLoadBalancerEdition,配置LoadBalancerEdition为Standard,将 ALB 实例版本变更为标准版。
应用于生产环境
计费说明
实例费:
实例费=实例单价(元/小时)×计费时长(小时)LCU费:
每小时LCU费=max{新建连接数LCU值,并发连接数LCU值,处理数据量LCU值,规则评估数LCU值}×LCU单价公网网络费:
仅公网 ALB 实例收取公网网络费,私网 ALB 实例不收取。
公网 ALB 实例通过 EIP 或 Anycast EIP 提供公网能力,由绑定的 EIP 或 Anycast EIP收取费用。
未开通 WAF 实例时,创建 WAF 增强版 ALB 实例时,将自动开通 WAF 按量付费实例并按使用量计费。
已有 WAF 3.0 包年包月实例时,创建 WAF 增强版 ALB 实例后,不会产生额外的 WAF 费用。