为更好地支持个性化业务的应用防护需求,Web应用防火墙WAF(Web Application Firewall)提供独享版,即采用虚拟独享集群,支持基于业务特性的定制化接入和防护能力。

背景信息

为了特定的业务需求,网站业务可能使用非常规的设计方式实现。独享集群支持将具有定制化需求的业务系统接入WAF,为业务提供全面的应用层攻击防护。

购买WAF独享版后,您可以根据业务特性自定义独享集群的业务配置,具体包括:

  • 集群所在地区:支持自主选择集群地区。
  • 集群端口设置:支持更大范围的非标端口的接入防护,支持基于HTTP、HTTPSHTTP 2.0协议的自定义回源端口配置。
    说明 仅不支持22、53、9100、4431、4646、8301、6060、8600、56688、15001、4985、4986、4987这些特定的系统端口。
  • SNI认证:支持上传默认SNI证书,允许暂不支持标准SNI协议的客户端设备正常访问网站。
  • 防护响应页面:支持配置已上传至阿里云CDN的静态页面URL,WAF将使用该页面作为防护响应页面,提升网站用户体验。
  • TLS安全策略: 支持自主选择TLS协议版本与加密套件。
  • 长链接超时配置:支持自定义建立连接、请求、响应的超时时长。

创建独享集群

购买或升级至WAF独享版后,您可以选择使用虚拟独享防护集群和公共防护集群两种形式的防护资源对您的网站进行防护。使用独享集群前,需要根据您的业务特性创建独享集群。

  1. 登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。
  2. 在左侧导航栏,选择系统管理 > 独享设置
  3. 独享设置页面,根据业务特性设置集群配置。
    • 选择集群地区
      说明 独享集群创建完成后,集群地区无法变更。
    • 设置服务器端口范围:选择协议类型,单击自定义,填写服务器端口范围并单击保存。当您将网站域名配置接入独享集群时,可快速选择独享集群服务器端口范围中的端口。
    • 设置防护响应页面URL:填写已上传至阿里云CDN的静态页面URL,接入独享集群防护的网站业务将使用该页面作为WAF的防护响应页面。
    • 填写默认SNI证书文件私钥文件内容:上传默认SNI证书。
    • HTTPS协议加密设置。
      • TLS协议版本:默认为支持TLS1.0及以上版本,兼容性最高,安全性较低。您可以根据安全需要选择仅支持TLS1.1TLS1.2以上版本。
      • 加密套件
        • 选择协议版本的自定义加密套件、请谨慎选择,避免影响业务,支持基于域名维度自定义TLS版本和加密套件。TLS支持单独自定义,加密套件支持强加密、弱加密以及单个算法的自定义。
        • 选择强加密套件,兼容性较低,安全性较高,仅支持以下强加密套件:
          • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
          • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
          • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
          • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
          • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
          • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
          • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
          • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
          • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
          • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
        • 选择全部加密套件,兼容性较高,安全性较低,则除上述强加密套件外还支持以下弱加密套件:
          • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
          • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
          • TLS_RSA_WITH_AES_128_GCM_SHA256
          • TLS_RSA_WITH_AES_256_GCM_SHA384
          • TLS_RSA_WITH_AES_128_CBC_SHA256
          • TLS_RSA_WITH_AES_256_CBC_SHA256
          • TLS_RSA_WITH_AES_128_CBC_SHA
          • TLS_RSA_WITH_AES_256_CBC_SHA
          • SSL_RSA_WITH_3DES_EDE_CBC_SHA
    • 设置长连接超时时长。
      • 链接超时时长:设置建立链接的超时时长,可设置5~3600秒间的值。
      • 读链接超时时长:设置读取类链接的超时时长,可设置120~3600秒间的值。
      • 写链接超时时长:设置写入类链接的超时时长,可设置120~3600秒间的值。
  4. 单击立即创建
    系统将根据所设定的集群配置为您创建独享集群,创建集群大约需要20分钟。独享集群创建完成后,您可以在页面查看和修改独享集群的相关设置。

后续步骤

独享集群创建完成后,您就可以将具有定制化需求的业务接入独享集群进行防护。具体分为以下场景:
  • 您可以在新添加网站域名配置时,将业务接入独享集群进行防护。更多信息,请参见添加域名
  • 对于已添加的网站域名配置,您可以在网站接入页面将该域名配置记录的防护资源修改为独享集群,将业务接入独享集群进行防护。
    您也可以使用该方法将已接入独享集群的域名配置切换至公共集群。
    注意 由于独享集群和公共集群的自定义端口范围存在差异,切换时请务必确认网站域名的自定义端口配置的兼容性。