為 ALB 執行個體開啟 WAF 防護,可抵禦 Web 惡意攻擊。WAF 增強版 ALB 執行個體採用 WAF 3.0 服務化接入架構,將安全檢測與流量轉寄分離,避免傳統 WAF 接入模式帶來的網路延遲、配置複雜及單點故障等問題。
工作原理
WAF 增強版 ALB 執行個體採用 WAF 3.0 服務化接入架構,WAF 不作為獨立的網路節點(網關)參與流量轉寄,僅負責流量提取、檢測與防護。這避免了透明接入模式下,引入額外轉寄網關帶來的網路延遲、配置複雜性(如認證同步)和潛在的單點故障風險。
可參考WAF 3.0與WAF 2.0對比,瞭解更多區別。
請求接收:用戶端請求到達 ALB 執行個體,由 ALB 負責流量接收。
旁路檢測:在請求轉寄給後端伺服器之前,ALB 通過內嵌 SDK,同步將流量提取並發送至 WAF 3.0 安全檢測叢集。
安全分析:WAF 3.0 根據配置的防護規則(如Web核心防護、惡意IP懲罰等)對請求內容進行即時分析,將檢測結果(允許存取或攔截)返回給 ALB。
決策執行:ALB 根據從 WAF 叢集收到的檢測結果,執行最終動作:
允許存取:ALB 將原始請求正常轉寄至後端伺服器。
攔截:ALB 直接阻斷該請求,並向用戶端返回一個攔截頁面(通常是405狀態代碼),請求不會到達後端伺服器。
適用範圍
針對 WAF 增強版 ALB 執行個體:
支援的地區:
地區
地區
中國
西南1(成都)、華北1(青島)、華北2(北京)、華南3(廣州)、華東1(杭州)、華北6(烏蘭察布)、華東2(上海)、華南1(深圳)、華北3(張家口)、中國香港
亞太地區
菲律賓(馬尼拉)、印尼(雅加達)、日本(東京)、馬來西亞(吉隆坡)、新加坡、泰國(曼穀)、韓國(首爾)
歐美地區
德國(法蘭克福)、美國(矽谷)、美國(維吉尼亞)、墨西哥
中東
沙特(利雅得)- 夥伴營運
採用 WAF 3.0 服務化接入架構。如果帳號下已有 WAF 2.0 執行個體,需先釋放WAF 2.0執行個體或遷移至WAF 3.0。
ALB 預設不開啟 X-Forwarded-Proto 頭欄位。釋放 WAF 2.0 執行個體後,直接存取 ALB 可能會因後端服務無法正確識別協議(HTTP/HTTPS)而導致業務異常(例如,無限重新導向)。為避免此問題,務必在 ALB 監聽配置中手動開啟X-Forwarded-Proto要求標頭。
支援的功能:開通後,WAF 的以下功能將不受支援:資訊泄露防護、Bot 管理網頁防爬情境化防護中的自動整合 Web SDK。
為 ALB 開啟 WAF 防護
開啟後,將自動接入已開通的 WAF 執行個體。未開通 WAF 執行個體時,將自動開通 WAF 隨用隨付執行個體。
WAF 執行個體部署地區為中國內地、非中國內地。將根據 ALB 執行個體所屬地區是否歸屬於中國內地,確定接入中國內地/非中國內地的 WAF 執行個體。
建立 WAF 增強型 ALB 執行個體
控制台
前往ALB 購買頁,功能版本(執行個體費)選擇WAF增強版。其餘參數配置可參考建立 ALB 執行個體。
API
調用CreateLoadBalancer,配置LoadBalancerEdition為StandardWithWaf,建立 WAF 增強版 ALB 執行個體。
為已建立的 ALB 開啟 WAF 防護
基礎版或標準版 ALB 執行個體均支援開啟 WAF 防護,升級為 WAF 增強版。
開啟時,需確保執行個體處於運行中狀態。
不同功能版本的執行個體費單價不同,實際購買價格以購買頁為準。
控制台
前往ALB 執行個體列表頁。
將滑鼠移至上方在目標執行個體 ID 後的
表徵圖,在Web應用安全防護地區,單擊開啟防護。
API
調用UpdateLoadBalancerEdition,配置LoadBalancerEdition為StandardWithWaf,將 ALB 執行個體版本變更為 WAF 增強版。
瞭解防護記錄
為 ALB 開啟 WAF 防護後,WAF 將自動建立一個尾碼為-alb的防護對象,並預設啟用 Web 核心防護規則。該規則預設啟用安全報表,展示對應規則的防護記錄。
如需滿足其他安全防護需求,可配置安全防護規則。
若多個網域名稱解析指向了同一 ALB 執行個體,且需要為不同網域名稱配置不同的防護規則,則需要將網域名稱添加為防護對象。
控制台
前往ALB 執行個體列表頁。
將滑鼠移至上方在目標執行個體 ID 後的
表徵圖,在Web應用安全防護地區,單擊查看WAF安全報表。
關閉 WAF 防護
關閉 WAF 防護後,ALB 執行個體的業務流量將不再受 WAF 防護,安全報表不再包含相關業務流量的防護資料,WAF 側不再產生請求處理費。
但由於 WAF 執行個體本身及防護規則的存在,仍會產生功能費,需關閉WAF完全停止計費。
關閉 WAF 防護:關閉 WAF 防護後,ALB 執行個體將從 WAF 增強版降配到標準版,變更配置過程對業務無影響。
臨時關閉 WAF:若業務出現大量誤攔截,可臨時關閉 WAF 防護,最快速度恢複業務。
臨時關閉後,ALB 執行個體仍為 WAF 增強版。流量依然會流經ALB 內嵌的WAF SDK,但不再轉寄至 WAF 叢集檢測,直接由 ALB 轉寄至後端。
臨時停用 WAF,將影響 WAF 執行個體下所有防護對象,請謹慎操作。
控制台
關閉 WAF 防護
前往ALB 執行個體列表頁。
將滑鼠移至上方在目標執行個體 ID 後的
表徵圖,在Web應用安全防護地區,單擊關閉WAF防護。
臨時關閉 WAF
在頁面右上方,關閉WAF防護狀態,即置為停用。
API
調用UpdateLoadBalancerEdition,配置LoadBalancerEdition為Standard,將 ALB 執行個體版本變更為標準版。
應用於生產環境
灰階發布:優先在業務低峰期、非生產環境中,為與生產環境配置類似的 ALB 執行個體開啟 WAF 防護,確認業務正常後,再為生產環境的 ALB 執行個體開啟。
持續監控:開啟防護後,關注業務監控指標和網路效能指標。關注安全報表,並配置CloudMonitor通知,及時瞭解攻擊事件與安全事件。
規則調優:定期追溯 WAF 攔截日誌,分析誤攔截情況,調整防護規則最佳化防護精度。
計費說明
執行個體費:
執行個體費=執行個體單價(美元/小時)×計費時間長度(小時)LCU費:
每小時LCU費=max{建立串連數LCU值,並發串連數LCU值,處理資料量LCU值,規則評估數LCU值}×LCU單價公網網路費:
僅公網 ALB 執行個體收取公網網路費,私網 ALB 執行個體不收取。
公網 ALB 執行個體通過 EIP 或 Anycast EIP 提供公網能力,由綁定的 EIP 或 Anycast EIP收取費用。
未開通 WAF 執行個體時,建立 WAF 增強版 ALB 執行個體,將自動開通 WAF 隨用隨付執行個體並按使用量計費。
已有 WAF 3.0 訂用帳戶執行個體時,建立 WAF 增強版 ALB 執行個體後,不會產生額外的 WAF 費用。
常見問題
ALB 是否支援接入 WAF 2.0 防護?
帳號已有WAF 2.0執行個體:公網基礎版和標準版 ALB 執行個體支援透明化接入 WAF 2.0 防護,支援的地區:華東1(杭州)、華東2(上海)、華南1(深圳)、西南1(成都)、華北2(北京)、華北3(張家口)。私網 ALB 執行個體不支援接入 WAF 2.0 防護。
帳號沒有WAF 2.0執行個體或未開啟 WAF 時,公網和私網 ALB 執行個體均支援服務化接入WAF 3.0,即建立 WAF 增強型 ALB 執行個體。