文档

使用教程

使用Web应用防火墙(Web Application Firewall,简称WAF)防护您的Web业务前,您必须将要防护的网站接入WAF。本文介绍如何接入WAF。

接入方式

WAF支持使用CNAME接入和透明接入两种方式,默认支持HTTP1.0、HTTP 1.1和HTTP 2.0。您可以根据实际业务场景,选择适当的接入方式。

说明

如果您的网站支持HTTP 2.0协议,您可以勾选HTTP2开关,开启HTTP 2.0业务防护。

差异

CNAME接入

透明接入

概念

通过将需要防护的网站信息添加到WAF,并修改网站域名的DNS解析设置,将源站的Web请求转发到WAF进行防护。

通过将需要防护的网站信息添加到WAF,无需修改域名的DNS解析设置,即可将源站的Web请求转发到WAF进行防护。

支持的源站

部署在阿里云上或云下的所有源站。

部署在ECS服务器或阿里云公网SLB上。

接入域名维度

一次只能接入一个域名。

可以按实例维度接入该实例下的所有域名。

是否需要设置回源

是否需要修改DNS解析

需要修改DNS解析。

无需修改DNS解析。

是否需要设置源站保护

源站存在直接被攻击的风险,需要设置源站保护。

无需设置源站保护。

使用限制

无。

  • 由于网络底层架构限制,仅部分地区支持透明接入。

  • 透明接入不支持私网SLB实例。

  • 透明接入不支持IPv6,引流端口配置的数量也存在一定限制。

  • 透明接入存在默认防护且无法修改,必须要配置域名后才能编辑域名级别的防护规则。

关于透明接入使用限制的更多信息,请参见透明接入

CNAME接入

接入流程

  1. 访问添加域名页面

  2. 添加域名。您需要将网站域名等信息添加到WAF,并设置回源等信息。

    配置项

    说明

    域名

    填写要防护的网站域名。

    防护资源

    按实际情况选择要使用的防护资源类型。

    协议类型

    按实际情况选择网站支持的协议类型。支持设置开启HTTPS的强制跳转开启HTTP回源启用回源SNI

    服务器端口

    根据已选择的协议类型,按实际情况设置源站提供对应服务的端口。

    重要

    如果源站服务器使用HTTP 80端口、HTTPS 443端口以外的端口,您可以在WAF支持的端口范围中自定义服务器端口。更多信息,请参见WAF支持的端口

    服务器地址

    设置WAF回源的源站服务器地址,支持:

    • IP地址:源站服务器对应的SLB公网IP、ECS公网IP或云外机房服务器的IP。

    • 域名(如CNAME)地址:源站服务器回源域名不应与要防护的网站域名相同。仅支持IPv4回源。

    负载均衡算法

    当设置了多个源站服务器地址时,请根据实际情况选择多源站服务器间的负载均衡算法。

    WAF前是否有七层代理(高防/CDN等)

    选择网站业务在接入WAF前是否开启了其他七层代理服务(例如DDoS高防、CDN等)。

    启用流量标记

    设置是否启用WAF流量标记功能。

    资源组

    当需要根据业务部门、项目等维度对云资源进行分组管理时,从资源组列表中选择该域名所属资源组。

    更多信息,请参见添加域名

  3. 验证WAF的域名接入设置是否正确。避免转发设置未生效时修改域名的DNS解析设置,导致业务访问异常。更多信息,请参见本地验证

  4. 修改域名DNS。手动修改域名的DNS解析设置,将网站流量解析到WAF进行防护。

    以下操作以阿里云云解析DNS为例,介绍修改域名解析记录的方法。

    1. 获取WAF的CNAME地址或IP地址。具体操作,请参见获取WAF CNAME地址

    2. 访问云解析DNS控制台的域名解析页面,定位到要修改的域名,单击操作列解析设置,将CNAME记录中的记录值修改为WAF提供的CNAME地址。

    更多信息,请参见修改域名DNS解析设置

  5. 验证WAF防护是否生效。具体操作,请参见步骤6

完成以上操作后,您的网站已成功接入WAF。为了实现更全面安全的防护效果,您还需要进行以下操作。

  • 上传HTTPS证书

    如果网站使用HTTPS协议,您需要在添加域名后上传正确、有效的HTTPS证书,保证WAF正常处理HTTPS协议流量。具体操作,请参见添加域名

  • 放行WAF回源IP段

    网站接入WAF后,使用特定的回源IP段,将经过防护引擎检测后的正常流量转发回网站域名的源站服务器,从而使得回源IP访问更集中,频率更高。为避免WAF将该IP段认定为攻击IP,导致回源IP段被拉黑,您需要将回源IP段添加到源站安全软件的白名单中,放行该回源IP段。具体操作,请参见放行WAF回源IP段

  • 设置源站保护

    出于安全性考虑,建议您设置源站服务器的访问控制策略,只允许WAF回源IP段的入方向流量,避免攻击者绕过WAF直接对源站服务器发起攻击。具体操作,请参见设置源站保护

  • 自定义TLS配置

    已接入WAF防护的网站域名,如果网站使用的是HTTPS协议传输数据,WAF支持对该域名自定义TLS协议版本和加密套件。请参见配置自定义TLS

接入视频

透明接入

接入流程

  1. 访问Web应用防火墙控制台的添加域名页面,选择接入方式透明接入

  2. 添加域名。

    配置项

    说明

    域名

    填写网站域名。

    源站服务端口

    选择实例类型和端口。WAF支持ALB类型七层SLB类型四层SLB类型ECS类型实例的源站服务端口开启透明接入。

    WAF前是否有七层代理(高防/CDN等)

    选择网站业务在接入WAF前是否开启了其他七层代理服务(例如DDoS高防、CDN等)。

    启用流量标记

    设置是否启用WAF流量标记功能。

    资源组

    当需要根据业务部门、项目等维度对云资源进行分组管理时,从资源组列表中选择该域名所属资源组。

    更多信息,请参见透明接入

  3. 验证WAF防护是否生效。具体操作,请参见步骤6

接入视频

云产品接入WAF

除了将网站单独接入WAF外,您还可以结合WAF和其他阿里云其他安全服务(例如DDos、CDN等),共筑阿里云防护安全体系。

后续操作

接入WAF后,网站的访问流量将经过WAF保护。WAF包含多种防护检测模块,帮助网站应对不同类型的安全威胁,其中规则防护引擎CC安全防护模块默认开启,分别用于防御常见的Web应用攻击(例如SQL注入、XSS跨站、webShell上传等)和CC攻击,其他防护模块需要您手动开启并配置具体防护规则。更多信息,请参见网站防护配置概述

  • 本页导读 (1)