独享集群最佳实践

WAF独享集群在WAF公共集群防护能力的基础上,为您提供与实际业务特性相结合的定制化服务,包括非标准端口接入、SNI认证、自定义防护响应页面、HTTPS协议加密设置、长链接超时设置。

如果您的业务系统包含上述设计,您可以依据业务体系配置独享集群,并将网站业务接入独享集群进行防护。

独享集群和公共集群对比

对比项

WAF公共集群

WAF独享集群

集群地区

公共集群在全球共部署14个防护节点,分布在以下地区:北京、杭州、深圳、中国香港、新加坡、马来西亚、美西、澳洲、德国、印尼、迪拜、日本。

业务接入公共集群防护时,根据源站IP自动匹配最佳地区的防护资源。

独享集群包括主、备集群。使用独享集群时,您可以从支持的地区中指定独享集群主集群的地区,备集群地区不可选择。

重要

主集群地区一经设置,不可更改。

业务接入独享集群防护时,默认使用独享集群主集群地区的防护资源;备集群则提供备用服务,在主集群出故障时承担业务,或在发生攻击时进行防御。

集群端口

如果您的业务使用特殊端口,则在WAF添加网站配置时,您需要自定义端口。公共集群支持特定的非标准端口,具体内容,请参见WAF支持的端口

独享集群比公共集群支持范围更广的非标准端口,理论上仅不支持22、53、9100、4431、4646、8301、6060、8600、56688、15001、4985、4986、4987等系统端口。

使用独享集群自定义端口时,您必须先在独享集群设置中开启服务器端口,然后在添加网站到独享集群防护时,选择已开启的端口。

说明

独享集群最多支持开启50个自定义端口,默认只开启了80443端口。

SNI认证

业务接入WAF公共集群后,如果客户端不兼容SNI,则可能导致HTTPS业务访问异常。更多信息,请参见SNI兼容性导致HTTPS访问异常

配置独享集群时,您可以上传默认SNI证书。这样,在业务接入独享集群后,即使暂不支持标准SNI协议的客户端设备也能正常访问网站。

防护响应页面

WAF公共集群使用默认的防护响应页面,例如,异常访问被拦截时返回默认的拦截提示页面。

如果您希望防护响应页面与您的网站设计风格保持一致,您可以使用独享集群自定义防护响应页面。

您可以将设计好的静态页面上传到阿里云CDN,并配置静态页面URL作为WAF的防护响应页面,提升网站用户体验。

HTTPS协议加密设置

在公共集群配置中,您可以根据业务安全需求选择合适的TLS协议版本和加密套件。

在独享集群配置中,您可以根据业务安全需求选择合适的TLS协议版本和加密套件。

长链接超时限制

公共集群不支持该项配置。

在独享集群配置中,您可以根据业务需求设置长链接限制时长,减少网络连接问题占用资源。

业务接入WAF独享集群

前提条件

要使用WAF独享集群,您必须先购买WAF独享版或升级现有WAF版本到独享版。更多信息,请参见续费说明

操作步骤

开通WAF独享版后,您可以参照以下步骤,接入网站业务到WAF独享集群进行防护。假设您的业务端口是90(该端口号不在公共集群支持的非标准端口范围内,要使用WAF防护该端口上的业务,必须接入WAF独享集群)。

  1. 配置独享集群。

    1. 登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

    2. 在左侧导航栏,选择系统管理 > 独享设置

    3. 独享设置页面,根据您的业务特性配置独享集群。

      本示例中,您需要定位到服务器端口区域,在HTTP协议下添加90端口。具体操作,请参见设置独享集群

    4. 单击保存设置

      WAF将根据您添加的集群配置为您配置独享集群。

  2. 将具有定制化需求的业务(例如,端口是90HTTP业务)接入独享集群进行防护。

    • 已添加网站配置

      1. 在左侧导航栏,选择资产中心 > 网站接入

      2. 定位到要接入独享集群防护的网站域名,将快捷操作下的防护资源设置为独享集群

        说明

        只有独享版WAF实例才支持防护资源选项。

        防护资源,独享集群

      3. 可选:根据需要编辑网站配置(例如,服务器端口修改为HTTP协议90端口)。更多信息,请参见添加域名

    • 新添加网站配置

      1. 在左侧导航栏,选择资产中心 > 网站接入

      2. 域名列表页签,单击网站接入

      3. 可选:添加域名页面,选择接入模式Cname接入

        如果当前页面已经自动选择了Cname接入,请跳过该步骤。添加域名(Cname接入)

      4. 单击手动接入页签,在填写网站信息任务中,将防护资源设置为独享集群,并填写实际业务信息(例如,在服务器端口中添加HTTP协议90端口)。

        说明

        选择独享集群防护后,服务器端口只能从独享集群设置中已开启的服务器端口范围内选择。更多信息,请参见配置独享集群

        网站信息

        更多配置说明,请参见添加域名

      5. 单击下一步,并根据页面提示修改域名的DNS解析,将实际业务切换到WAF进行防护。

        具体操作,请参见修改域名DNS解析设置

  3. 业务接入WAF独享集群防护后,如果业务特性发生变化且涉及到独享集群配置,请参见步骤1(更新集群配置)步骤2(编辑网站配置)进行调整。