防护对象和防护对象组都是防护规则的生效单元。您可以将防护对象或防护对象组关联到防护模板,实现Web应用防火墙(Web Application Firewall,简称WAF)防护。本文介绍如何添加、管理防护对象和防护对象组。
背景信息
防护对象
防护对象是接入WAF防护的域名或云产品实例,是防护规则的最小生效单元。
防护对象可通过如下两种方式生成:
自动添加:云产品接入的实例或CNAME接入的域名会自动被添加为防护对象。
手动添加:如果您需要为云产品接入的ALB实例、CLB实例、ECS实例和NLB实例中的某一个或多个域名单独配置防护规则时,您可以手动将域名添加为防护对象。具体操作,请参见手动添加防护对象。
不同接入方式自动添加的防护对象、手动添加防护对象的支持情况,以及防护对象规格限制说明,如下表所示。
接入方式 | 自动添加的防护对象 | 是否支持手动添加防护对象 | 规格限制 |
云产品接入(为ALB实例开启WAF防护) | ALB实例 | 支持将实例中的域名手动添加为防护对象 |
|
云产品接入(为MSE云原生网关实例开启WAF防护) | MSE实例(包括实例下的路由) | 不支持 | |
云产品接入(为FC自定义域名开启WAF防护) | 域名 | 不支持 | |
CLB实例、ECS实例和NLB实例 | 支持将实例中的域名手动添加为防护对象 | ||
域名 | 不支持 | ||
不支持 | 支持将接入的域名手动添加为防护对象 |
防护对象组
防护对象组是防护对象的合集,也是防护规则的生效单元。您可以将多个防护对象加入到一个防护对象组,通过为防护对象组配置防护规则,实现为组内所有防护对象批量配置防护规则。
一个防护对象只能归属于一个防护对象组。
前提条件
已开通包年包月版WAF 3.0或按量付费版WAF 3.0服务。
已在接入管理页面完成Web业务接入。
如果您需要手动添加CLB实例、ECS实例和NLB实例中的域名,且域名托管在中国内地服务器上,需完成阿里云ICP备案关于阿里云ICP备案的具体操作,请参见如何进行ICP备案。
说明在阿里云ICP代备案管理系统提交ICP备案订单时,系统会根据您提交的基本信息自动识别本次提交订单的ICP备案类型,自动为您匹配对应备案类型需进行的ICP备案流程。
手动添加防护对象
如果您需要单独为如下域名配置防护规则,您需要手动将域名添加为防护对象:
通过云产品接入WAF的ALB实例、CLB实例、ECS实例或NLB实例中的域名。
通过混合云SDK集成模式接入WAF的域名。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择。
在防护对象页签,单击添加防护对象。
在添加防护对象对话框,根据防护对象接入类型完成以下配置,单击确定。
云产品
如果您需要将ALB实例、CLB实例、ECS实例和NLB实例中的域名添加为防护对象,选择防护对象接入类型为云产品,并完成如下配置。
配置项
说明
域名
填写要防护的域名。支持填写精确域名(例如,
www.aliyundoc.com)或通配符域名(例如,*.aliyundoc.com)。说明通配符域名不能匹配对应的主域名,例如,
*.aliyundoc.com不能匹配aliyundoc.com。通配符域名不能匹配不同级别的子域名,例如,
*.aliyundoc.com不能匹配www.example.aliyundoc.com。通配符域名能够匹配所有同级别的子域名,例如,
*.aliyundoc.com能够匹配www.aliyundoc.com、example.aliyundoc.com等。如果防护对象中同时存在精确域名和能够匹配该精确域名的通配符域名,精确域名的防护规则优先生效。
云产品
选择域名服务器对应的云产品类型。可选项:
ALB:表示应用负载均衡ALB服务。
CLB4:表示四层传统型负载均衡CLB服务。
CLB7:表示七层传统型负载均衡CLB服务。
ECS:表示云服务器ECS服务。
NLB:表示网络型负载均衡NLB服务。
实例
选择域名服务器对应的实例ID。仅云产品类型为ALB时,需配置该项。
说明如果ALB实例不在列表中,请先完成云产品接入。具体操作,请参见为ALB实例开启WAF防护。
加入防护对象组
根据需要,将防护对象加入到指定的防护对象组,方便为多个防护对象批量配置防护规则。
防护对象加入对象组后,只支持通过防护对象组来配置防护规则,不再支持单独为防护对象配置防护规则。如果您希望单独为防护对象配置防护规则,可跳过该设置。
说明如果要加入的防护对象组不存在,您可以跳过该设置,在创建防护对象组后,再将防护对象加入到防护对象组。关于创建防护对象组的具体操作,请参见创建防护对象组。
混合云SDK集成
如果需要将通过混合云SDK集成模式接入WAF 3.0的域名添加为防护对象,选择防护对象接入类型为混合云SDK集成,并完成如下配置。
配置项
说明
防护对象名称
填写要添加的防护对象名称。
域名/IP
填写要防护的域名。支持填写精确域名(例如,
www.aliyundoc.com)或通配符域名(例如,*.aliyundoc.com)。说明通配符域名不能匹配对应的主域名,例如,
*.aliyundoc.com不能匹配aliyundoc.com。通配符域名不能匹配不同级别的子域名,例如,
*.aliyundoc.com不能匹配www.example.aliyundoc.com。通配符域名能够匹配所有同级别的子域名,例如,
*.aliyundoc.com能够匹配www.aliyundoc.com、example.aliyundoc.com等。如果防护对象中同时存在精确域名和能够匹配该精确域名的通配符域名,精确域名的防护规则优先生效。
URL
填写要防护的URL路径。
加入防护对象组
根据需要,将防护对象加入到指定的防护对象组,方便为多个防护对象批量配置防护规则。
防护对象加入对象组后,只支持通过防护对象组来配置防护规则,不再支持单独为防护对象配置防护规则。如果您希望单独为防护对象配置防护规则,可跳过该设置。
说明如果要加入的防护对象组不存在,您可以跳过该设置,在创建防护对象组后,再将防护对象加入到防护对象组。关于创建防护对象组的具体操作,请参见创建防护对象组。
成功添加防护对象后,您可以防护对象列表,查看并管理防护对象。具体操作,请参见管理防护对象。
创建防护对象组
您可以创建防护对象组,并关联防护对象,批量为防护对象配置防护规则。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择。
在防护对象组页签,单击新建对象组。
在新建防护对象组对话框,填写防护对象组名称、选择关联防护对象、添加备注信息后,单击确定。
说明关联防护对象中的待选择对象列表只包含当前未加入任何防护对象组,并且只应用了默认防护模板或没有应用任何防护模板的防护对象。
如果防护对象已经归属于其他防护对象组,您必须先将该防护对象从原有防护对象组中移出,然后才能将该防护对象加入到当前防护对象组。具体操作,请参见编辑防护对象组。
成功添加防护对象组后,您可以在防护对象组页签,管理防护对象组。具体操作,请参见管理防护对象组。
管理防护对象
您可以在防护对象页签,查看和管理防护对象。
设置防护对象,单击目标对象名称操作列的设置。
功能
说明
WAF链路设置
客户端IP设置
如果WAF前存在高防或CDN等反向代理设备,您可以设置客户端IP判定方式,指定字段识别真实的客户端IP,以供WAF识别并进行防护规则匹配(如IP黑名单)和报表展示(如攻击源IP)。
单击目标防护对象操作列的设置,配置WAF前是否有七层代理(高防/CDN等)、客户端IP判定方式。更多信息,请参见WAF前是否有七层代理配置信息。
说明CNAME接入的域名、CLB实例、ECS实例:如果在接入时已完成该配置,则无需重复配置。
ALB实例、MSE实例、FC自定义域名、混合云SDK集成模式接入的域名:可根据业务需要进行该配置。
cookie设置
跟踪cookie
使用CC防护、扫描防护等功能时,Cookie中不包含
acw_tc的请求,WAF默认会在响应中插入acw_tc来识别和统计不同的客户端访问,通过分析客户端携带的Cookie信息,结合您配置的CC防护规则、统计对象为session的扫描防护规则、统计对象为session的自定义频率设置规则和统计结果判断业务流量中是否存在CC攻击行为。您可以通过下发状态开关,开启或关闭跟踪cookie。如果您只允许该cookie被下发到HTTPS请求中,您可以开启cookie的secure属性。
重要建议您开启跟踪cookie的下发状态开关。否则,将影响CC防护、扫描防护等功能的使用。
加入某个防护对象组的防护对象默认开启跟踪cookie,且不支持关闭跟踪cookie、开启secure属性。
MSE实例、FC自定义域名不支持设置secure属性。
生效规则:如果请求命中多个防护对象时,任意一个防护对象开启跟踪cookie或secure属性,所有被命中的防护对象都会同步开启相同的功能。
滑块cookie
滑块验证通过后,WAF会默认下发滑块cookie
acw_sc__v3,标记该验证动作。如果您只允许该cookie被下发到HTTPS站点,您可以开启cookie的secure属性。重要开启secure属性后,将影响HTTP站点滑块功能的正常使用。
加入某个防护对象组的防护对象默认关闭secure属性,且不支持开启。
MSE实例、FC自定义域名不支持设置secure属性。
账号提取配置
配置账号的提取规则后,可以在扫描防护、BOT管理、自定义规则中进行引用,每个防护对象最多配置5条,按照优先级排序。
账号提取的位置可选择:
Query String
Body
Cookie
Header
账号格式:
明文:如email***@qq.com。
jwt认证:通常在Header中,可以携带用户信息,通常格式为Authorization : Bearer {Token},如果是JWT格式,需要额外指定解开后的账号字段。
basic认证:通常在Header中,通常格式为Authorization : Basic {Token}。
单击目标对象名称操作列的查看防护规则,在Web 核心防护页面,查看防护对象已配置的防护规则。
说明您也可以在防护规则页面,为防护对象配置更多的防护规则。具体操作,请参见Web核心防护。
单击目标对象名称操作列的
。功能
说明
加入对象组
如需将多个防护对象加入到同一个对象组,可以选中多个防护对象,单击列表下方的加入防护组。
查看防护日志
为防护对象开启日志采集、查询相关日志数据。具体操作,请参见开启或关闭日志服务。
单击目标对象名称操作列的删除,即可删除防护对象。
说明只有手动添加的域名防护对象支持删除操作。
如果您需要删除CLB实例、ECS实例,您需要访问接入管理页面,定位到目标实例或引流端口,单击操作列的取消接入,取消端口引流后,再删除防护对象。
为防护对象绑定或解除标签,将鼠标悬停在目标防护对象标签列的
图标上,单击绑定,在编辑标签对话框,选择或输入标签键,并填写标签值。说明一次最多绑定20个标签键,允许标签值为空。
输入标签键和标签值时,最多支持128个字符,不支持以
aliyun或acs:开头,且不能包含http://和https://。您可以分别在防护对象列表或接入列表为防护对象绑定或修改标签,且通过任意一种方式修改标签都会在防护对象列表和接入列表同步生效。
您也可以选中多个防护对象,批量增加或删除标签。
管理防护对象组
您可以在防护对象组页签,查看和管理防护对象组。
功能 | 说明 | |
编辑防护对象组 | 单击目标防护对象组操作列的编辑,将防护对象从待选择对象移入已选择对象组,或将防护对象移出已选择对象组。 说明
| |
查看并配置防护规则 | 单击目标防护对象操作列的配置规则,在防护规则页面,为防护对象组配置防护规则。为防护对象组配置的规则将对对象组中的所有防护对象生效。 | |
删除防护对象组 | 定位到目标防护对象组,单击操作列的删除。 | |