为MSE云原生网关实例开启WAF防护

如果您的Web业务启用了阿里云微服务引擎(Microservices Engine,简称MSE)服务,您可以为MSE的云原生网关实例开启Web应用防火墙(Web Application Firewall,简称WAF)防护,将Web业务流量引流到WAF 3.0进行安全防护。本文介绍如何为MSE云原生网关实例开启WAF防护。

背景信息

MSE是一个面向业界主流开源微服务生态的一站式微服务平台,提供注册配置中心(原生支持Nacos/ZooKeeper/Eureka)、云原生网关(原生支持Ingress/Envoy)、微服务治理(原生支持Spring Cloud/Dubbo/Sentinel,遵循OpenSergo服务治理规范)的能力。WAF 3.0可通过云原生网关,与MSE原生架构集成,为您提供更高的安全运维效率、更流畅的交互体验。

使用限制

云产品接入适用于快速将阿里云ALB、MSE、FC、CLB、ECS、NLB、SAE 2.0APIG资源接入WAF防护。如需防护非阿里云资源的Web应用,请通过CNAME接入方式将域名下业务接入WAF,具体操作请参见添加域名

  • 仅支持为华东1(杭州)华东2(上海)华北2(北京)华北6(乌兰察布)中国香港新加坡马来西亚(吉隆坡)华北3(张家口)华南1(深圳)日本(东京)德国(法兰克福)美国(硅谷)地域的MSE实例开启WAF防护。

  • 接入WAFMSE实例暂不支持如下功能:

    • 网页防篡改

    • 信息泄露防护

    • Bot管理网页防爬场景化防护中的自动集成Web SDK

前提条件

  • 已创建云原生网关实例。具体操作,请参见新建云原生网关

  • 如果您开通的是包年包月实例,请确认您的实例还可以添加防护对象。否则,将无法进行云产品接入。

    您可以访问防护对象页面,查看实例还可以添加的防护对象数。image.png

开启WAF防护

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地

  2. 在左侧导航栏,单击接入管理

  3. 选择云产品接入页签,在左侧云产品类型列表,选择MSE

  4. 单击接入

  5. 根据页面提示,单击立即授权,完成云产品授权。

    完成后,阿里云将自动为您创建WAF服务关联角色AliyunServiceRoleForWAF。您可以在RAM控制台身份管理 > 角色页面,查看阿里云为WAF自动创建的服务关联角色。

    说明

    如果您已经完成云产品授权,则授权页面不会出现,您可以直接执行后续步骤。

    此时,页面将跳转到微服务引擎MSE控制台

  6. 在顶部菜单栏选择地域为华东1(杭州)华东2(上海)华北2(北京)华北6(乌兰察布)中国香港新加坡马来西亚(吉隆坡)华北3(张家口)华南1(深圳)日本(东京)德国(法兰克福)美国(硅谷)

  7. 开启WAF防护。

    • 开启实例级别防护

      单击目标网关WAF安全防护列的未开启图标后,单击开启网关实例防护,或单击目标网关操作列的更多 > 开启WAF防护,单击确定

    • 开启路由级别防护

      1. 单击目标实例名称 ,在基本信息页面的左侧导航栏,选择路由管理 > 路由配置,或单击目标网关操作列的路由配置

      2. 单击目标路由操作列的更多 > 开启路由防护,单击确定

MSE侧管理WAF防护

  1. 登录MSE网关管理控制台。在左侧导航栏,选择云原生网关 > 网关列表

  2. 在顶部菜单栏选择地域为华东1(杭州)华东2(上海)华北2(北京)华北6(乌兰察布)中国香港新加坡马来西亚(吉隆坡)华北3(张家口)华南1(深圳)日本(东京)德国(法兰克福)美国(硅谷)

  3. 管理WAF防护。

    • 查看已接入的实例

      在实例列表查看已开启WAF防护的实例。实例名称后显示已开启图标,表示该实例已开启WAF防护。

    • 关闭已接入的实例

      关闭WAF防护后,MSE实例上的业务流量将不再受WAF防护,安全报表中也不再包含相关业务流量的防护数据。

      重要

      MSE实例上的业务流量不受WAF防护后,不会产生请求处理费。但您已经配置的防护规则仍会产生对应的功能费。建议您在取消业务接入前,先删除已配置的防护规则,避免产生额外计费。更多信息,请参见计费说明防护模块概览

      • 关闭实例级别防护

        单击目标网关WAF安全防护列的已开启图标后,单击关闭网关实例防护,或单击目标网关操作列的更多 > 关闭WAF防护,单击确定

      • 关闭路由级别防护

        1. 单击目标实例名称 ,在基本信息页面的左侧导航栏,选择路由管理 > 路由配置,或单击目标网关操作列的路由配置

        2. 单击目标路由操作列的更多 > 关闭路由防护,单击确定

WAF侧管理WAF防护

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地

  2. 在左侧导航栏,单击接入管理

  3. 管理WAF防护。

    • 查看已接入的MSE实例

      云产品接入页签,从左侧云产品类型列表中选择MSE

    • 设置防护对象和防护规则

      开启WAF防护后,WAF会自动生成一个后缀为-mse的防护对象,并为该防护对象默认开启基础防护规则。您可以在接入列表,单击已接入的实例ID,在防护对象页面,查看自动添加的防护对象,并为其配置防护规则。具体操作,请参见防护配置概述防护对象

    • 取消接入

      取消接入后,MSE实例上的业务流量将不再受WAF防护,安全报表中也不再包含相关业务流量的防护数据。

      重要

      MSE实例上的业务流量不受WAF防护后,不会产生请求处理费。但您已经配置的防护规则仍会产生对应的功能费。建议您在取消业务接入前,先删除已配置的防护规则,避免产生额外计费。更多信息,请参见计费说明防护模块概览

      1. 单击目标实例名称操作列的取消接入

        页面将跳转到微服务引擎MSE控制台的网关列表页面

      2. MSE侧关闭WAF防护。具体操作,请参见关闭已接入的实例