文档

开通和管理ALB WAF增强版

更新时间:

如果您的ALB Web业务经常面临恶意入侵或需要更高的安全防护,您可以通过为ALB实例开通ALB WAF增强版,将ALB Web业务流量引流到WAF进行安全防护。ALB WAF增强版采用WAF 3.0服务化接入,相比之前的WAF 2.0透明化接入,服务化接入方式中WAF不参与流量转发,业务监听与转发由ALB负责,实现转发与防护的完全分离,避免了WAF转发额外带来的各种兼容性和稳定性问题。本文主要介绍ALB WAF增强版的优势及如何开通和管理ALB WAF增强版。

image

ALB WAF增强版优势

  • 一站式安全防护

    ALB WAF增强版中WAF 3.0与ALB深度集成,WAF 3.0为ALB提供一站式安全防护,可以有效识别Web业务流量的恶意特征。ALB WAF增强版实例可避免网站服务器被恶意入侵导致的性能异常等问题,从而保障业务安全和数据安全。

  • 无转发兼容性问题

    ALB WAF增强版采用WAF 3.0服务化接入的方式,WAF只负责安全防护,不参与请求转发。由ALB负责业务监听与请求转发,实现请求转发与防护的完全分离,避免WAF引入一层转发而额外带来的各种兼容性和稳定性问题。

  • 支持更多的功能特性

    与标准版相比,ALB WAF增强版增加了WAF应用安全防护功能。关于ALB功能特性差异,请参见功能特性

  • 对实例网络类型和协议版本无限制

    ALB WAF增强版对网络类型和协议版本无限制。即公网和私网ALB实例均支持WAF增强版,IPv4和双栈协议版本的ALB实例也均支持WAF增强版。

  • 拥有足够的资源配额

    ALB WAF增强版拥有的资源配额与标准版相同,对比基础版有足够的资源配额。关于资源配额差异,请参见使用限制

  • 可一键开启或关闭WAF防护

    ALB WAF增强版配置简单,可基于ALB实例一键开启或关闭WAF防护。支持在ALB控制台新购ALB WAF增强版实例、升级存量的基础版和标准版实例为WAF增强版。

ALB WAF增强版的使用限制

  • 购买ALB WAF增强版实例前,请先完成实名认证。具体操作,请参见如何选择实名认证方式

  • 目前支持售卖WAF增强版ALB实例的地域:

    区域

    地域

    中国

    西南1(成都)、华北1(青岛)、华北2(北京)、华南3(广州)、华东1(杭州)、华北6(乌兰察布)、华东2(上海)、华南1(深圳)、华北3(张家口)、中国香港、华东6(福州-本地地域)

    亚太

    菲律宾(马尼拉)、印度尼西亚(雅加达)、日本(东京)、马来西亚(吉隆坡)、澳大利亚(悉尼)、新加坡、印度(孟买)关停中、泰国(曼谷)

    欧洲与美洲

    德国(法兰克福)、美国(硅谷)、美国(弗吉尼亚)

  • 仅支持状态为运行中ALB基础版、标准版实例升级为WAF增强版。

  • 请确保您的当前阿里云账号没有开通WAF或者已经开通WAF 3.0。

    • 若您的当前账号未开通任何版本的WAF实例,您购买ALB WAF增强版实例后,开通的为按量付费WAF 3.0实例。

    • 若您的当前账号已有WAF3.0包年包月实例,您购买ALB WAF增强版实例后,不会产生额外的WAF费用。

    • 若您的当前账号已有WAF 2.0实例,请先释放WAF 2.0实例或者迁移至WAF 3.0。

计费说明

创建或升级为ALB WAF增强版实例后,会产生WAF 3.0的防护费用。ALB WAF增强版实例的计费组成及相关说明如下。

image

收费项

计费公式

相关文档

实例费

实例费=实例单价(元/小时)×计费时长(小时)

实例费

LCU费

每小时LCU费=max{新建连接数LCU值,并发连接数LCU值,处理数据量LCU值,规则评估数LCU值}×LCU单价

性能容量单位LCU费

公网网络费

私网ALB不收取公网网络费用,只有当您购买公网ALB才会收取公网网络费用。公网ALB通过弹性公网IP(Elastic IP Address,简称EIP)或任播弹性公网IP( Anycast Elastic IP Address,简称Anycast EIP)提供公网能力。

  • 新创建的公网ALB默认绑定EIP,ALB实例关联的EIP将会产生EIP实例的实例费、流量费。更多信息,请参见按量付费

  • ALB实例绑定Anycast EIP后,ALB实例关联的Anycast EIP将会产生Anycast EIP实例的配置费、公网费和流量传输费。更多信息,请参见计费说明

WAF 3.0费用

WAF 3.0支持包年包月和按量付费两种计费方式。更多信息,请参见WAF 3.0包年包月计费说明WAF 3.0按量付费计费说明

  • 若您的当前账号没有WAF实例,购买ALB WAF增强版实例后,开通的是按量付费WAF 3.0实例。

  • 若您的当前账号已有WAF3.0包年包月实例,购买ALB WAF增强版实例后,不会产生额外的WAF费用。

为ALB实例开启WAF

新购一个WAF增强版ALB实例

  1. 登录应用型负载均衡ALB控制台
  2. 在顶部菜单栏,选择实例所属的地域。

  3. 实例页面,单击创建应用型负载均衡

  4. 应用型负载均衡(按量付费)购买页面,完成参数的配置,然后单击立即购买并根据提示完成支付。

    本文仅列出强相关项,其余参数的配置请参见创建应用型负载均衡

    功能版本(实例费):选择WAF增强版

为已创建的ALB实例开启WAF防护

您可以将已创建的基础版或标准版ALB实例升级为WAF增强版。

  1. 登录应用型负载均衡ALB控制台
  2. 在顶部菜单栏,选择实例所属的地域。

  3. 实例页面,找到目标实例,选择以下任意一种方式开启WAF防护。

    • 方式一:将鼠标悬停在目标实例名称后的未开启图标,然后在气泡框中单击Web应用安全防护区域的开启防护

    • 方式二:在操作列选择选择 > 变配功能版本

    • 方式三:单击目标实例ID,在实例详情页签,找到基本信息区域中的WAF安全防护,然后单击开启防护

    • 方式四:单击目标实例ID,然后单击集成服务页签。找到Web应用防火墙区域,然后单击开启防护

  4. 应用型负载均衡(按量付费) | 变配页面,选择功能版本(实例费)WAF增强版,选中服务协议,单击立即购买并完成支付。

管理WAF

在ALB侧管理WAF防护

  1. 登录应用型负载均衡ALB控制台
  2. 在顶部菜单栏,选择实例所属的地域。

  3. 管理WAF防护。

    操作

    步骤

    查看实例是否开启WAF防护

    选择以下任意一种方式查看实例是否开启WAF防护。显示防护中,表示已开启WAF防护。

    方式一:在实例页面,找到目标实例,将鼠标悬停在实例名称后的未开启图标,在气泡框的Web应用安全防护区域,查看防护状态。

    方式二

    1. 实例页面,找到目标实例,单击实例ID。

    2. 实例详情页签,在基本信息区域查看WAF安全防护的状态。

    方式三

    1. 实例页面,找到目标实例,单击实例ID。

    2. 单击集成服务页签,在Web应用防火墙区域查看防护状态。

    查看WAF安全报表

    查看WAF安全报表,请确保您的ALB实例已开启WAF防护。

    方式一:在实例页面,找到目标实例,将鼠标悬停在实例名称后的未开启图标,在气泡框的Web应用安全防护区域,单击查看WAF安全报表进入WAF 3.0控制台的安全报表页面查看。

    方式二

    1. 实例页面,找到目标实例,单击实例ID。

    2. 实例详情页签,在基本信息区域单击安全防护右侧的查看WAF安全报表进入WAF 3.0控制台的安全报表页面查看。

    方式三

    1. 实例页面,找到目标实例,单击实例ID。

    2. 单击集成服务页签,在Web应用防火墙区域单击查看WAF安全报表进入WAF 3.0控制台的安全报表页面查看。

    更多信息,请参见安全报表

    关闭WAF防护

    关闭WAF防护后,ALB实例上的业务流量将不再受WAF防护,安全报表中也不再包含相关业务流量的防护数据。

    重要

    ALB实例上的业务流量不受WAF防护后,WAF侧不会产生请求处理费。但您已经配置的防护规则仍会产生对应的功能费。建议您在取消业务接入前,先删除已配置的防护规则,避免产生额外计费。更多信息,请参见计费项防护模块概览

    方式一

    1. 实例页面,找到目标实例,将鼠标悬停在目标实例名称后的未开启图标,在气泡框的Web应用安全防护区域,单击关闭WAF防护

    2. 应用型负载均衡(按量付费)| 变配页面,选择功能版本(实例费)标准版,单击立即购买并完成支付。

    方式二

    1. 实例页面,找到目标实例,在操作列选择选择 > 变配功能版本

    2. 应用型负载均衡(按量付费)| 变配页面,选择功能版本(实例费)标准版,单击立即购买并完成支付。

    方式三

    1. 实例页面,找到目标实例,单击实例ID。

    2. 实例详情页签,在基本信息区域单击WAF安全防护右侧的关闭WAF防护

    3. 应用型负载均衡(按量付费)| 变配页面,选择功能版本(实例费)标准版,单击立即购买并完成支付。

    方式四

    1. 实例页面,找到目标实例,单击实例ID。

    2. 单击集成服务页签,在Web应用防火墙区域,单击关闭WAF防护

    3. 应用型负载均衡(按量付费)| 变配页面,选择功能版本(实例费)标准版,单击立即购买并完成支付。

在WAF侧管理WAF防护

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏,单击接入管理

  3. 管理WAF防护。

    • 查看已接入的ALB实例

      选择云产品接入页签,从左侧云产品类型列表中选择ALB

    • 设置防护对象和防护规则

      单击目标ALB实例ID,前往防护对象页面,查看ALB实例的防护对象及其防护规则。更多信息,请参见防护配置概述

      说明

      通过云产品接入自动添加的防护对象,资产类型为对应云产品的简称(例如ALB)且域名为空。

    • 取消接入

      取消接入后,ALB实例上的业务流量将不再受WAF防护,安全报表中也不再包含相关业务流量的防护数据。

      重要

      ALB实例上的业务流量不受WAF防护后,WAF侧不会产生请求处理费。但您已经配置的防护规则仍会产生对应的功能费。建议您在取消业务接入前,先删除已配置的防护规则,避免产生额外计费。更多信息,请参见计费项防护模块概览

      1. 选择云产品接入页签,找到目标实例,在操作列单击取消接入

      2. 在弹出的对话框中,查看提示信息并单击取消接入

      3. 取消接入面板,选择功能版本(实例费)标准版,单击立即购买并完成支付。

常见问题

  1. WAF 2.0透明化接入和WAF 3.0服务化接入的区别?

    简单总结两者的区别:

    • WAF 2.0透明化接入:客户端请求需先经过WAF检测后,再去往ALB或CLB。WAF 2.0透明化接入时请求需经过两道网关,因此WAF侧与负载均衡侧都需维护超时时间和证书等配置。

    • WAF 3.0服务化接入:WAF旁路接入,客户端请求直接前往ALB,请求在转发至后端服务器之前,ALB会提取并发送请求内容至WAF侧进行检测。WAF 3.0服务化接入时请求只经过一道网关,省去了网关间证书和配置同步的步骤,不会出现证书和配置不同步等问题。

    更多信息,请参见WAF 3.0与WAF 2.0对比

  2. ALB接入WAF的使用说明?

    ALB支持WAF 3.0服务化接入,即开通ALB WAF增强版。ALB接入WAF防护时,请注意:

    • 阿里云账号没有WAF 2.0实例或未开启WAF:公网和私网ALB实例均支持通过服务化接入的方式开启WAF 3.0防护,即开通WAF增强版。目前支持售卖WAF增强版ALB实例的地域,请参见ALB WAF增强版的使用限制

    • 阿里云账号已有WAF 2.0实例:公网基础版ALB实例和公网标准版ALB实例支持通过透明化接入的方式开启WAF 2.0防护,私网ALB实例不支持开启WAF 2.0防护。

      仅华东1(杭州)、华东2(上海)、华南1(深圳)、西南1(成都)、华北2(北京)、华北3(张家口)地域的ALB实例支持WAF 2.0透明化接入。

      说明

      如果您需要为ALB接入WAF 3.0防护,请先释放WAF 2.0实例或者迁移至WAF 3.0。

      • 释放WAF 2.0实例时,ALB默认不开启X-Forwarded-Proto头字段,此时直接访问ALB,可能会造成业务异常。您需要在ALB监听中开启X-Forwarded-Proto头字段。具体操作,请参见管理监听

      • 关于释放WAF 2.0实例的操作,请参见关闭WAF

      • 关于迁移至WAF3.0的操作,请参见如何将WAF 2.0实例升级到WAF 3.0

  3. CLB和ALB对透明化接入WAF 2.0和服务化接入WAF 3.0的支持情况?

    产品

    透明化接入WAF 2.0

    服务化接入WAF 3.0

    CLB

    支持

    关于CLB如何透明化接入WAF 2.0的相关指导,请参见:

    不支持

    ALB

    • 阿里云账号已有WAF 2.0实例,ALB支持透明化接入WAF 2.0。具体操作,请参见ALB实例端口引流

    • 阿里云账号没有WAF 2.0实例或未开启WAF时,ALB仅支持服务化接入WAF 3.0,即购买ALB WAF增强版。

    支持

    支持的地域及相关操作,请参见开通和管理ALB WAF增强版

  4. WAF 2.0透明化接入出现超时时间和证书不同步等配置问题的原因?

    WAF 2.0透明化接入时,客户端请求需先经过WAF检测后,再去往ALB或CLB,客户端请求需经过两道网关,导致WAF侧和负载均衡侧需要同步多个配置,尤其超时时间和证书变更操作容易引发配置同步的延时问题。

    在使用WAF 2.0透明化接入时,如遇证书更新不及时,或调整超时时间不生效等问题,请加入钉群(钉群号:21715946),联系产品技术专家进行咨询。

相关文档

ALB侧文档

WAF侧文档