接入管理概述

类型

云产品接入

CNAME接入

混合云接入

SDK集成

反向代理接入

实现原理

• 通过SDK模块化的方式将WAF集成在云产品的网关中，通过内嵌在网关中的SDK提取流量并进行检测和防护。

• 该过程中，WAF不参与流量转发，避免因额外引入一层转发而带来各种兼容性和稳定性问题。

• 通过添加引流端口到WAF的方式，使云产品网关自动改变路由，将Web业务引流到WAF。WAF会拦截攻击请求并将正常业务请求转发回源站服务器。

• 该过程中，WAF作为反向代理集群，同时参与流量的转发和检测防护。

• 通过添加域名，并将域名的DNS解析指向WAF的CNAME地址，使域名的Web业务引流到WAF。WAF会拦截攻击请求并将正常业务请求转发回源站服务器。

• 该过程中，WAF作为反向代理集群，同时参与流量的转发和检测防护。

• 反向代理接入模式：将网站域名或IP接入WAF，并将DNS解析指向WAF的防护集群地址。混合云WAF集群对所有代理的访问请求进行安全检测。

• SDK集成模式：在统一接入网关上部署SDK插件，SDK插件将网关的业务流量复制一份到WAF防护集群。该模式下，混合云WAF防护集群不参与流量转发，实现业务转发与检测分离。

推荐场景

如果Web业务已启用阿里云应用型负载均衡（Application Load Balancer，简称ALB）、微服务引擎（Microservices Engine，简称MSE）、函数计算（Function Compute，简称FC）、Serverless 应用引擎（Serverless App Engine，简称SAE）或云原生API网关（简称APIG），建议您选择该接入方式。

如果Web业务已启用阿里云传统型负载均衡（Classic Load Balancer，简称CLB）上、云服务器（Elastic Compute Service，简称ECS），建议您选择该接入方式。

如果Web业务不支持云产品接入场景，可选择CNAME接入方式。

• 业务特殊，流量无法上公共云的本地Web业务防护。

• 业务同时部署在阿里云、其他公共云、私有云、线下IDC、VPC内网，需要统一的Web业务防护方案。

• 对时延敏感、可靠性要求高，需要跨多网络环境做多活容灾的统一防护。

接入对象

• 部署在ALB、MSE或APIG上的实例，包含实例上的所有域名。

• 部署在FC或SAE上的自定义域名。

部署在CLB或ECS上的实例，包含实例上的所有域名。

域名。

域名/IP。

接入步骤

• 在ALB或MSE控制台，为实例或域名开启WAF防护。具体操作步骤，请参见为ALB实例开启WAF防护、为MSE云原生网关实例开启WAF防护

• 在ALB、MSE或APIG控制台，为实例或域名开启WAF防护。具体操作步骤，请参见为ALB实例开启WAF防护、为MSE云原生网关实例开启WAF防护、为APIG实例开启WAF防护。

• 在FC控制台，为自定义域名开启WAF防护。具体操作步骤，请参见为FC自定义域名开启WAF防护。

• 在SAE 2.0控制台，为应用绑定的域名开启WAF防护。具体操作步骤，请参见为SAE 2.0自定义域名开启WAF防护。

在WAF控制台，将NLB、CLB或ECS实例的引流端口添加到WAF。具体操作步骤，请参见为NLB开启WAF防护、为七层CLB（HTTP/HTTPS）开启WAF防护、为四层CLB（TCP）开启WAF防护或为ECS开启WAF防护。

• 步骤一：添加域名，将您的域名添加到接入管理中。

• 步骤二：本地验证，验证WAF的网站转发配置是否生效。

• 步骤三：放行WAF回源IP段，如果源站服务器安装了其他防火墙应用，您需要将WAF IP地址添加到该应用的白名单，避免WAF转发回源站的正常业务请求被误拦截。

• 步骤四：修改域名DNS解析设置，修改域名DNS解析设置，将域名的DNS解析地址设置为WAF提供的CNAME地址或WAF IP地址。

具体操作步骤，请参见混合云接入。