如果您的ALB Web业务经常面临恶意入侵或需要更高的安全防护,您可以通过为ALB实例开通ALB WAF增强版,将ALB Web业务流量引流到WAF进行安全防护。ALB WAF增强版采用WAF 3.0服务化接入,相比之前的WAF 2.0透明化接入,服务化接入方式中WAF不参与流量转发,业务监听与转发由ALB负责,实现转发与防护的完全分离,避免了WAF转发额外带来的各种兼容性和稳定性问题。本文主要介绍ALB WAF增强版的优势及如何开通和管理ALB WAF增强版。
ALB WAF增强版优势
一站式安全防护
ALB WAF增强版中WAF 3.0与ALB深度集成,WAF 3.0为ALB提供一站式安全防护,可以有效识别Web业务流量的恶意特征。ALB WAF增强版实例可避免网站服务器被恶意入侵导致的性能异常等问题,从而保障业务安全和数据安全。
无转发兼容性问题
ALB WAF增强版采用WAF 3.0服务化接入的方式,WAF只负责安全防护,不参与请求转发。由ALB负责业务监听与请求转发,实现请求转发与防护的完全分离,避免WAF引入一层转发而额外带来的各种兼容性和稳定性问题。
支持更多的功能特性
与标准版相比,ALB WAF增强版增加了WAF应用安全防护功能。关于ALB功能特性差异,请参见功能特性。
对实例网络类型和协议版本无限制
ALB WAF增强版对网络类型和协议版本无限制。即公网和私网ALB实例均支持WAF增强版,IPv4和双栈协议版本的ALB实例也均支持WAF增强版。
拥有足够的资源配额
ALB WAF增强版拥有的资源配额与标准版相同,对比基础版有足够的资源配额。关于资源配额差异,请参见使用限制。
可一键开启或关闭WAF防护
ALB WAF增强版配置简单,可基于ALB实例一键开启或关闭WAF防护。支持在ALB控制台新购ALB WAF增强版实例、升级存量的基础版和标准版实例为WAF增强版。
ALB WAF增强版的使用限制
购买ALB WAF增强版实例前,请先完成实名认证。具体操作,请参见如何选择实名认证方式。
目前支持售卖WAF增强版ALB实例的地域:
区域
地域
中国
西南1(成都)、华北1(青岛)、华北2(北京)、华南3(广州)、华东1(杭州)、华北6(乌兰察布)、华东2(上海)、华南1(深圳)、华北3(张家口)、中国香港、华东6(福州-本地地域)
亚太
菲律宾(马尼拉)、印度尼西亚(雅加达)、日本(东京)、马来西亚(吉隆坡)、新加坡、泰国(曼谷)
欧洲与美洲
德国(法兰克福)、美国(硅谷)、美国(弗吉尼亚)
仅支持状态为运行中的ALB基础版、标准版实例升级为WAF增强版。
请确保您的当前阿里云账号没有开通WAF或者已经开通WAF 3.0。
若您的当前账号未开通任何版本的WAF实例,您购买ALB WAF增强版实例后,开通的为按量付费WAF 3.0实例。
若您的当前账号已有WAF3.0包年包月实例,您购买ALB WAF增强版实例后,不会产生额外的WAF费用。
若您的当前账号已有WAF 2.0实例,请先释放WAF 2.0实例或者迁移至WAF 3.0。
关于释放WAF 2.0实例的操作,请参见关闭WAF。
关于迁移至WAF3.0的操作,请参见如何将WAF 2.0实例升级到WAF 3.0。
计费说明
创建或升级为ALB WAF增强版实例后,会产生WAF 3.0的防护费用。ALB WAF增强版实例的计费组成及相关说明如下。
收费项 | 计费公式 | 相关文档 |
实例费 |
| |
LCU费 |
| |
公网网络费 | ||
WAF 3.0费用 | WAF 3.0支持包年包月和按量付费两种计费方式。更多信息,请参见WAF 3.0包年包月计费说明和WAF 3.0按量付费计费说明。
|
为ALB实例开启WAF
新购一个WAF增强版ALB实例
- 登录应用型负载均衡ALB控制台。
在顶部菜单栏,选择实例所属的地域。
在实例页面,单击创建应用型负载均衡。
在应用型负载均衡(按量付费)购买页面,完成参数的配置,然后单击立即购买并根据提示完成支付。
本文仅列出强相关项,其余参数的配置请参见创建应用型负载均衡。
功能版本(实例费):选择WAF增强版。
为已创建的ALB实例开启WAF防护
您可以为已创建的基础版或标准版ALB实例开启WAF防护。
通过应用型负载均衡ALB控制台开启WAF防护:
- 登录应用型负载均衡ALB控制台。
在顶部菜单栏,选择实例所属的地域。
在实例页面,找到目标实例,选择以下任意一种方式开启WAF防护。
方式一:
单击目标实例ID,然后单击集成服务页签。找到Web应用防火墙区域,然后单击开启防护。
在开启防护会话框,单击确定完成支付并开启WAF防护。
方式二:
将鼠标悬停在目标实例名称后的图标,然后在气泡框中单击Web应用安全防护区域的开启防护。
在开启防护会话框,单击确定完成支付并开启WAF防护。
方式三:
单击目标实例ID,在实例详情页签,找到基本信息区域中的WAF安全防护,然后单击开启防护。
在开启防护会话框,单击确定完成支付并开启WAF防护。
方式四:
在操作列选择。
在应用型负载均衡(按量付费)| 变配页面,选择功能版本(实例费)为WAF增强版,单击立即购买并完成支付。
通过负载均衡SLB概览页面开启WAF防护:
登录负载均衡管理控制台。
在安全概览区域,单击立即开启防护。
在开启Web安全防护会话框,实例类型选择为应用型负载均衡(ALB),选择目标实例对应的地域,找到目标实例,然后在操作列单击开启防护。
在开启防护会话框,单击确定完成支付并开启WAF防护。
管理WAF
在ALB侧管理WAF防护
- 登录应用型负载均衡ALB控制台。
在顶部菜单栏,选择实例所属的地域。
管理WAF防护。
操作
步骤
查看实例是否开启WAF防护
选择以下任意一种方式查看实例是否开启WAF防护。显示防护中,表示已开启WAF防护。
方式一:
在实例页面,找到目标实例,单击实例ID。
单击集成服务页签,在Web应用防火墙区域查看防护状态。
方式二:
在实例页面,找到目标实例,将鼠标悬停在实例名称后的图标。
在气泡框的Web应用安全防护区域,查看防护状态。
方式三:
在实例页面,找到目标实例,单击实例ID。
在实例详情页签,在基本信息区域查看WAF安全防护的状态。
查看WAF安全报表
查看WAF安全报表,请确保您的ALB实例已开启WAF防护。
方式一:
在实例页面,找到目标实例,单击实例ID。
单击集成服务页签,在Web应用防火墙区域单击查看WAF安全报表进入WAF 3.0控制台的安全报表页面查看。
方式二:
在实例页面,找到目标实例,将鼠标悬停在实例名称后的图标。
在气泡框的Web应用安全防护区域,单击查看WAF安全报表进入WAF 3.0控制台的安全报表页面查看。
方式三:
在实例页面,找到目标实例,单击实例ID。
在实例详情页签,在基本信息区域单击安全防护右侧的查看WAF安全报表进入WAF 3.0控制台的安全报表页面查看。
更多信息,请参见安全报表。
关闭WAF防护
关闭WAF防护后,ALB实例上的业务流量将不再受WAF防护,安全报表中也不再包含相关业务流量的防护数据。
方式一:
在实例页面,找到目标实例,单击实例ID。
单击集成服务页签,在Web应用防火墙区域,单击解除WAF防护。
在关闭防护会话框,单击确定关闭WAF防护。
方式二:
在实例页面,找到目标实例,将鼠标悬停在目标实例名称后的图标,在气泡框的Web应用安全防护区域,单击关闭WAF防护。
在关闭防护会话框,单击确定关闭WAF防护。
方式三:
在实例页面,找到目标实例,单击实例ID。
在实例详情页签,在基本信息区域单击WAF安全防护右侧的关闭WAF防护。
在关闭防护会话框,单击确定关闭WAF防护。
方式四:
在实例页面,找到目标实例,在操作列选择
。在应用型负载均衡(按量付费)| 变配页面,选择功能版本(实例费)为标准版,单击立即购买并完成支付。
在WAF侧管理WAF防护
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)
在左侧导航栏,单击接入管理
管理WAF防护。
查看已接入的ALB实例
选择云产品接入页签,从左侧云产品类型列表中选择ALB。
设置防护对象和防护规则
单击目标ALB实例ID,前往防护对象页面,查看ALB实例的防护对象及其防护规则。更多信息,请参见防护配置概述。
说明通过云产品接入自动添加的防护对象,资产类型为对应云产品的简称(例如ALB)且域名为空。
取消接入
常见问题
WAF 2.0透明化接入和WAF 3.0服务化接入的区别?
简单总结两者的区别:
WAF 2.0透明化接入:客户端请求需先经过WAF检测后,再去往ALB或CLB。WAF 2.0透明化接入时请求需经过两道网关,因此WAF侧与负载均衡侧都需维护超时时间和证书等配置。
WAF 3.0服务化接入:WAF旁路接入,客户端请求直接前往ALB,请求在转发至后端服务器之前,ALB会提取并发送请求内容至WAF侧进行检测。WAF 3.0服务化接入时请求只经过一道网关,省去了网关间证书和配置同步的步骤,不会出现证书和配置不同步等问题。
更多信息,请参见WAF 3.0与WAF 2.0对比。
ALB接入WAF的使用说明?
ALB支持WAF 3.0服务化接入,即开通ALB WAF增强版。ALB接入WAF防护时,请注意:
阿里云账号没有WAF 2.0实例或未开启WAF:公网和私网ALB实例均支持通过服务化接入的方式开启WAF 3.0防护,即开通WAF增强版。目前支持售卖WAF增强版ALB实例的地域,请参见ALB WAF增强版的使用限制。
阿里云账号已有WAF 2.0实例:公网基础版ALB实例和公网标准版ALB实例支持通过透明化接入的方式开启WAF 2.0防护,私网ALB实例不支持开启WAF 2.0防护。
仅华东1(杭州)、华东2(上海)、华南1(深圳)、西南1(成都)、华北2(北京)、华北3(张家口)地域的ALB实例支持WAF 2.0透明化接入。
说明如果您需要为ALB接入WAF 3.0防护,请先释放WAF 2.0实例或者迁移至WAF 3.0。
释放WAF 2.0实例时,ALB默认不开启X-Forwarded-Proto头字段,此时直接访问ALB,可能会造成业务异常。您需要在ALB监听中开启X-Forwarded-Proto头字段。具体操作,请参见管理监听。
关于释放WAF 2.0实例的操作,请参见关闭WAF。
关于迁移至WAF3.0的操作,请参见如何将WAF 2.0实例升级到WAF 3.0。
CLB和ALB对透明化接入WAF 2.0和服务化接入WAF 3.0的支持情况?
产品
透明化接入WAF 2.0
服务化接入WAF 3.0
CLB
支持
关于CLB如何透明化接入WAF 2.0的相关指导,请参见:
不支持
ALB
阿里云账号已有WAF 2.0实例,ALB支持透明化接入WAF 2.0。具体操作,请参见ALB实例端口引流。
阿里云账号没有WAF 2.0实例或未开启WAF时,ALB仅支持服务化接入WAF 3.0,即购买ALB WAF增强版。
支持
支持的地域及相关操作,请参见开通和管理ALB WAF增强版。
WAF 2.0透明化接入出现超时时间和证书不同步等配置问题的原因?
WAF 2.0透明化接入时,客户端请求需先经过WAF检测后,再去往ALB或CLB,客户端请求需经过两道网关,导致WAF侧和负载均衡侧需要同步多个配置,尤其超时时间和证书变更操作容易引发配置同步的延时问题。
在使用WAF 2.0透明化接入时,如遇证书更新不及时,或调整超时时间不生效等问题,请加入钉群(钉群号:21715946),联系产品技术专家进行咨询。
相关文档
ALB侧文档
如需新购一个ALB WAF增强版实例,请参见创建应用型负载均衡。
如需了解ALB基础版、标准版和WAF增强版本的功能差异,请参见功能特性。
如需查看并提升ALB WAF增强版的配额,请参见使用限制。
如需通过控制台变配ALB实例功能版本,请参见变配实例功能版本。
如需通过API变更ALB实例功能版本,请参见UpdateLoadBalancerEdition - 变更负载均衡版本。
WAF侧文档
关于购买WAF 3.0包年包月的操作,请参见购买WAF 3.0包年包月实例。
关于购买WAF 3.0按量付费的操作,请参见开通WAF 3.0按量付费实例。
如需了解WAF 3.0和WAF 2.0差异及WAF 3.0主要优化点,请参见WAF 3.0与WAF 2.0对比。