使用Web应用防火墙(Web Application Firewall,简称WAF)防护您的Web业务前,您必须将要防护的网站接入WAF。本文介绍如何接入WAF。
接入方式
WAF支持使用CNAME接入和透明接入两种方式,默认支持HTTP1.0、HTTP 1.1和HTTP 2.0。您可以根据实际业务场景,选择适当的接入方式。
如果您的网站支持HTTP 2.0协议,您可以勾选HTTP2开关,开启HTTP 2.0业务防护。
差异 | CNAME接入 | 透明接入 |
概念 | 通过将需要防护的网站信息添加到WAF,并修改网站域名的DNS解析设置,将源站的Web请求转发到WAF进行防护。 | 通过将需要防护的网站信息添加到WAF,无需修改域名的DNS解析设置,即可将源站的Web请求转发到WAF进行防护。 |
支持的源站 | 部署在阿里云上或云下的所有源站。 | 部署在ECS服务器或阿里云公网SLB上。 |
接入域名维度 | 一次只能接入一个域名。 | 可以按实例维度接入该实例下的所有域名。 |
是否需要设置回源 | 是 | 否 |
是否需要修改DNS解析 | 需要修改DNS解析。 | 无需修改DNS解析。 |
是否需要设置源站保护 | 源站存在直接被攻击的风险,需要设置源站保护。 | 无需设置源站保护。 |
使用限制 | 无。 |
关于透明接入使用限制的更多信息,请参见透明接入。 |
CNAME接入
接入流程
访问添加域名页面。
添加域名。您需要将网站域名等信息添加到WAF,并设置回源等信息。
配置项
说明
域名
填写要防护的网站域名。
防护资源
按实际情况选择要使用的防护资源类型。
协议类型
按实际情况选择网站支持的协议类型。支持设置开启HTTPS的强制跳转、开启HTTP回源、启用回源SNI。
服务器端口
根据已选择的协议类型,按实际情况设置源站提供对应服务的端口。
重要如果源站服务器使用HTTP 80端口、HTTPS 443端口以外的端口,您可以在WAF支持的端口范围中自定义服务器端口。更多信息,请参见WAF支持的端口。
服务器地址
设置WAF回源的源站服务器地址,支持:
IP地址:源站服务器对应的SLB公网IP、ECS公网IP或云外机房服务器的IP。
域名(如CNAME)地址:源站服务器回源域名不应与要防护的网站域名相同。仅支持IPv4回源。
负载均衡算法
当设置了多个源站服务器地址时,请根据实际情况选择多源站服务器间的负载均衡算法。
WAF前是否有七层代理(高防/CDN等)
选择网站业务在接入WAF前是否开启了其他七层代理服务(例如DDoS高防、CDN等)。
启用流量标记
设置是否启用WAF流量标记功能。
资源组
当需要根据业务部门、项目等维度对云资源进行分组管理时,从资源组列表中选择该域名所属资源组。
更多信息,请参见添加域名。
验证WAF的域名接入设置是否正确。避免转发设置未生效时修改域名的DNS解析设置,导致业务访问异常。更多信息,请参见本地验证。
修改域名DNS。手动修改域名的DNS解析设置,将网站流量解析到WAF进行防护。
以下操作以阿里云云解析DNS为例,介绍修改域名解析记录的方法。
获取WAF的CNAME地址或IP地址。具体操作,请参见获取WAF CNAME地址。
访问云解析DNS控制台的域名解析页面,定位到要修改的域名,单击操作列的解析设置,将CNAME记录中的记录值修改为WAF提供的CNAME地址。
更多信息,请参见修改域名DNS解析设置。
验证WAF防护是否生效。具体操作,请参见步骤6。
完成以上操作后,您的网站已成功接入WAF。为了实现更全面安全的防护效果,您还需要进行以下操作。
上传HTTPS证书
如果网站使用HTTPS协议,您需要在添加域名后上传正确、有效的HTTPS证书,保证WAF正常处理HTTPS协议流量。具体操作,请参见添加域名。
放行WAF回源IP段
网站接入WAF后,使用特定的回源IP段,将经过防护引擎检测后的正常流量转发回网站域名的源站服务器,从而使得回源IP访问更集中,频率更高。为避免WAF将该IP段认定为攻击IP,导致回源IP段被拉黑,您需要将回源IP段添加到源站安全软件的白名单中,放行该回源IP段。具体操作,请参见放行WAF回源IP段。
设置源站保护
出于安全性考虑,建议您设置源站服务器的访问控制策略,只允许WAF回源IP段的入方向流量,避免攻击者绕过WAF直接对源站服务器发起攻击。具体操作,请参见设置源站保护。
自定义TLS配置
已接入WAF防护的网站域名,如果网站使用的是HTTPS协议传输数据,WAF支持对该域名自定义TLS协议版本和加密套件。请参见配置自定义TLS。
接入视频
透明接入
接入流程
访问Web应用防火墙控制台的添加域名页面,选择接入方式为透明接入。
添加域名。
配置项
说明
域名
填写网站域名。
源站服务端口
选择实例类型和端口。WAF支持ALB类型、七层SLB类型、四层SLB类型、ECS类型实例的源站服务端口开启透明接入。
WAF前是否有七层代理(高防/CDN等)
选择网站业务在接入WAF前是否开启了其他七层代理服务(例如DDoS高防、CDN等)。
启用流量标记
设置是否启用WAF流量标记功能。
资源组
当需要根据业务部门、项目等维度对云资源进行分组管理时,从资源组列表中选择该域名所属资源组。
更多信息,请参见透明接入。
验证WAF防护是否生效。具体操作,请参见步骤6。
接入视频
云产品接入WAF
除了将网站单独接入WAF外,您还可以结合WAF和其他阿里云安全服务(例如DDoS、CDN等),共筑阿里云防护安全体系。
通过联合部署DDoS高防和WAF提升网站防护能力:网站需要同时防御Web应用攻击和DDoS攻击时,您可以在源站前依次部署DDoS高防和WAF。
部署WAF和CDN为开启内容加速的域名提供WAF防御:网站需要防御Web应用攻击,同时部署CDN加速时,您可以在源站前依次部署CDN和WAF。
后续操作
接入WAF后,网站的访问流量将经过WAF保护。WAF包含多种防护检测模块,帮助网站应对不同类型的安全威胁,其中规则防护引擎和CC安全防护模块默认开启,分别用于防御常见的Web应用攻击(例如SQL注入、XSS跨站、webShell上传等)和CC攻击,其他防护模块需要您手动开启并配置具体防护规则。更多信息,请参见网站防护配置概述。