如果您的ALB Web業務經常面臨惡意入侵或需要更高的安全防護,您可以通過為ALB執行個體開通ALB WAF增強版,將ALB Web業務流量引流到WAF進行安全防護。ALB WAF增強版採用WAF 3.0服務化接入,相比之前的WAF 2.0透明化接入,服務化接入方式中WAF不參與流量轉寄,業務監聽與轉寄由ALB負責,實現轉寄與防護的完全分離,避免了WAF轉寄額外帶來的各種相容性和穩定性問題。本文主要介紹ALB WAF增強版的優勢及如何開通和管理ALB WAF增強版。
ALB WAF增強版優勢
一站式安全防護
ALB WAF增強版中WAF 3.0與ALB深度整合,WAF 3.0為ALB提供一站式安全防護,可以有效識別Web業務流量的惡意特徵。ALB WAF增強版執行個體可避免網站伺服器被惡意入侵導致的效能異常等問題,從而保障業務安全和資料安全。
無轉寄相容性問題
ALB WAF增強版採用WAF 3.0服務化接入的方式,WAF只負責安全防護,不參與請求轉寄。由ALB負責業務監聽與請求轉寄,實現請求轉寄與防護的完全分離,避免WAF引入一層轉寄而額外帶來的各種相容性和穩定性問題。
支援更多的功能特性
與標準版相比,ALB WAF增強版增加了WAF應用安全防護功能。關於ALB功能特性差異,請參見功能特性。
對執行個體網路類型和協議版本無限制
ALB WAF增強版對網路類型和協議版本無限制。即公網和私網ALB執行個體均支援WAF增強版,IPv4和雙棧協議版本的ALB執行個體也均支援WAF增強版。
擁有足夠的資源配額
ALB WAF增強版擁有的資源配額與標準版相同,對比基礎版有足夠的資源配額。關於資源配額差異,請參見使用限制。
可一鍵開啟或關閉WAF防護
ALB WAF增強版配置簡單,可基於ALB執行個體一鍵開啟或關閉WAF防護。支援在ALB控制台新購ALB WAF增強版執行個體、升級存量的基礎版和標準版執行個體為WAF增強版。
ALB WAF增強版的使用限制
購買ALB WAF增強版執行個體前,請先完成實名認證。
目前支援售賣WAF增強版ALB執行個體的地區:
地區
地區
中國
西南1(成都)、華北1(青島)、華北2(北京)、華南3(廣州)、華東1(杭州)、華北6(烏蘭察布)、華東2(上海)、華南1(深圳)、華北3(張家口)、中國香港
亞太地區
菲律賓(馬尼拉)、印尼(雅加達)、日本(東京)、馬來西亞(吉隆坡)、新加坡、泰國(曼穀)
歐美地區
德國(法蘭克福)、美國(矽谷)、美國(維吉尼亞)
中東
沙特(利雅得)
僅支援狀態為運行中的ALB基礎版、標準版執行個體升級為WAF增強版。
請確保您的當前阿里雲帳號沒有開通WAF或者已經開通WAF 3.0。
若您的當前帳號未開通任何版本的WAF執行個體,您購買ALB WAF增強版執行個體後,開通的為隨用隨付WAF 3.0執行個體。
若您的當前帳號已有WAF3.0訂用帳戶執行個體,您購買ALB WAF增強版執行個體後,不會產生額外的WAF費用。
若您的當前帳號已有WAF 2.0執行個體,請先釋放WAF 2.0執行個體或者遷移至WAF 3.0。
關於釋放WAF 2.0執行個體的操作,請參見關閉WAF。
關於遷移至WAF3.0的操作,請參見如何將WAF 2.0執行個體升級到WAF 3.0。
計費說明
建立或升級為ALB WAF增強版執行個體後,會產生WAF 3.0的防護費用。ALB WAF增強版執行個體的計費組成及相關說明如下。
收費項 | 計費公式 | 相關文檔 |
執行個體費 |
| |
LCU費 |
| |
公網網路費 | 私網ALB不收取公網網路費用,只有當您購買公網ALB才會收取公網網路費用。公網ALB通過Elastic IP Address(Elastic IP Address,簡稱EIP)或任播Elastic IP Address( Anycast Elastic IP Address,簡稱Anycast EIP)提供公網能力。 | |
WAF 3.0費用 | WAF 3.0支援訂用帳戶和隨用隨付兩種計費方式。更多資訊,請參見WAF 3.0訂用帳戶計費說明和WAF 3.0隨用隨付計費說明。
| |
為ALB執行個體開啟WAF
新購一個WAF增強版ALB執行個體
在頂部功能表列,選擇執行個體所屬的地區。
在執行個體頁面,單擊建立應用型負載平衡。
在應用型負載平衡(隨用隨付)購買頁面,完成參數的配置,然後單擊立即購買並根據提示完成支付。
本文僅列出強相關項目,其餘參數的配置請參見建立應用型負載平衡。
功能版本(執行個體費):選擇WAF增強版。
為已建立的ALB執行個體開啟WAF防護
您可以為已建立的基礎版或標準版ALB執行個體開啟WAF防護。
通過應用型負載平衡ALB控制台開啟WAF防護:
在頂部功能表列,選擇執行個體所屬的地區。
在執行個體頁面,找到目標執行個體,選擇以下任意一種方式開啟WAF防護。
方式一:
單擊目標執行個體ID,然後單擊整合服務頁簽。找到Web Application Firewall地區,然後單擊開啟防護。
在開啟防護會話框,單擊確定完成支付並開啟WAF防護。
方式二:
將滑鼠移至上方在目標執行個體名稱後的
表徵圖,然後在氣泡框中單擊Web應用安全防護地區的開啟防護。在開啟防護會話框,單擊確定完成支付並開啟WAF防護。
方式三:
單擊目標執行個體ID,在執行個體詳情頁簽,找到基本資料地區中的WAF安全防護,然後單擊開啟防護。
在開啟防護會話框,單擊確定完成支付並開啟WAF防護。
方式四:
在操作列選擇
> 變更配置功能版本。在應用型負載平衡(隨用隨付)| 變更配置頁面,選擇功能版本(執行個體費)為WAF增強版,單擊立即購買並完成支付。
通過Server Load Balancer概覽頁面開啟WAF防護:
登入負載平衡管理主控台。
在安全概覽地區,單擊立即開啟防護。
在開啟Web安全防護會話框,執行個體類型選擇為應用型負載平衡(ALB),選擇目標執行個體對應的地區,找到目標執行個體,然後在操作列單擊開啟防護。
在開啟防護會話框,單擊確定完成支付並開啟WAF防護。
管理WAF
在ALB側管理WAF防護
在頂部功能表列,選擇執行個體所屬的地區。
管理WAF防護。
操作
步驟
查看執行個體是否開啟WAF防護
選擇以下任意一種方式查看執行個體是否開啟WAF防護。顯示防護中,表示已開啟WAF防護。
方式一:
在執行個體頁面,找到目標執行個體,單擊執行個體ID。
單擊整合服務頁簽,在Web Application Firewall地區查看防護狀態。
方式二:
在執行個體頁面,找到目標執行個體,將滑鼠移至上方在執行個體名稱後的
表徵圖。在氣泡框的Web應用安全防護地區,查看防護狀態。
方式三:
在執行個體頁面,找到目標執行個體,單擊執行個體ID。
在執行個體詳情頁簽,在基本資料地區查看WAF安全防護的狀態。
查看WAF安全報表
查看WAF安全報表,請確保您的ALB執行個體已開啟WAF防護。
方式一:
在執行個體頁面,找到目標執行個體,單擊執行個體ID。
單擊整合服務頁簽,在Web Application Firewall地區單擊查看WAF安全報表進入WAF 3.0控制台的安全報表頁面查看。
方式二:
在執行個體頁面,找到目標執行個體,將滑鼠移至上方在執行個體名稱後的
表徵圖。在氣泡框的Web應用安全防護地區,單擊查看WAF安全報表進入WAF 3.0控制台的安全報表頁面查看。
方式三:
在執行個體頁面,找到目標執行個體,單擊執行個體ID。
在執行個體詳情頁簽,在基本資料地區單擊安全防護右側的查看WAF安全報表進入WAF 3.0控制台的安全報表頁面查看。
更多資訊,請參見安全報表。
關閉WAF防護
關閉WAF防護後,ALB執行個體上的業務流量將不再受WAF防護,安全報表中也不再包含相關業務流量的防護資料。
方式一:
在執行個體頁面,找到目標執行個體,單擊執行個體ID。
單擊整合服務頁簽,在Web Application Firewall地區,單擊解除WAF防護。
在關閉防護會話框,單擊確定關閉WAF防護。
方式二:
在執行個體頁面,找到目標執行個體,將滑鼠移至上方在目標執行個體名稱後的
表徵圖,在氣泡框的Web應用安全防護地區,單擊關閉WAF防護。在關閉防護會話框,單擊確定關閉WAF防護。
方式三:
在執行個體頁面,找到目標執行個體,單擊執行個體ID。
在執行個體詳情頁簽,在基本資料地區單擊WAF安全防護右側的關閉WAF防護。
在關閉防護會話框,單擊確定關閉WAF防護。
方式四:
在執行個體頁面,找到目標執行個體,在操作列選擇
> 變更配置功能版本。在應用型負載平衡(隨用隨付)| 變更配置頁面,選擇功能版本(執行個體費)為標準版,單擊立即購買並完成支付。
在WAF側管理WAF防護
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)
在左側導覽列,單擊接入管理
管理WAF防護。
查看已接入的ALB執行個體
選擇雲產品接入頁簽,從左側雲產品類型列表中選擇ALB。
設定防護對象和防護規則
單擊目標ALB執行個體ID,前往防護對象頁面,查看ALB執行個體的防護對象及其防護規則。更多資訊,請參見防護配置概述。
說明通過雲產品接入自動添加的防護對象,資產類型為對應雲產品的簡稱(例如ALB)且網域名稱為空白。
取消接入
常見問題
WAF 2.0透明化接入和WAF 3.0服務化接入的區別?
簡單總結兩者的區別:
WAF 2.0透明化接入:用戶端請求需先經過WAF檢測後,再去往ALB或CLB。WAF 2.0透明化接入時請求需經過兩道網關,因此WAF側與負載平衡側都需維護逾時時間和認證等配置。
WAF 3.0服務化接入:WAF旁路接入,用戶端請求直接前往ALB,請求在轉寄至後端伺服器之前,ALB會提取並發送請求內容至WAF側進行檢測。WAF 3.0服務化接入時請求只經過一道網關,省去了網關間認證和配置同步的步驟,不會出現認證和配置不同步等問題。
更多資訊,請參見WAF 3.0與WAF 2.0對比。
ALB接入WAF的使用說明?
ALB支援WAF 3.0服務化接入,即開通ALB WAF增強版。ALB接入WAF防護時,請注意:
阿里雲帳號沒有WAF 2.0執行個體或未開啟WAF:公網和私網ALB執行個體均支援通過服務化接入的方式開啟WAF 3.0防護,即開通WAF增強版。目前支援售賣WAF增強版ALB執行個體的地區,請參見ALB WAF增強版的使用限制。
阿里雲帳號已有WAF 2.0執行個體:公網基礎版ALB執行個體和公網標準版ALB執行個體支援通過透明化接入的方式開啟WAF 2.0防護,私網ALB執行個體不支援開啟WAF 2.0防護。
僅華東1(杭州)、華東2(上海)、華南1(深圳)、西南1(成都)、華北2(北京)、華北3(張家口)地區的ALB執行個體支援WAF 2.0透明化接入。
說明如果您需要為ALB接入WAF 3.0防護,請先釋放WAF 2.0執行個體或者遷移至WAF 3.0。
釋放WAF 2.0執行個體時,ALB預設不開啟X-Forwarded-Proto頭欄位,此時直接存取ALB,可能會造成業務異常。您需要在ALB監聽中開啟X-Forwarded-Proto頭欄位。具體操作,請參見管理監聽。
關於釋放WAF 2.0執行個體的操作,請參見關閉WAF。
關於遷移至WAF3.0的操作,請參見如何將WAF 2.0執行個體升級到WAF 3.0。
CLB和ALB對透明化接入WAF 2.0和服務化接入WAF 3.0的支援情況?
產品
透明化接入WAF 2.0
服務化接入WAF 3.0
CLB
支援
關於CLB如何透明化接入WAF 2.0的相關指導,請參見:
不支援
ALB
阿里雲帳號已有WAF 2.0執行個體,ALB支援透明化接入WAF 2.0。具體操作,請參見ALB執行個體連接埠引流。
阿里雲帳號沒有WAF 2.0執行個體或未開啟WAF時,ALB僅支援服務化接入WAF 3.0,即購買ALB WAF增強版。
支援
支援的地區及相關操作,請參見開通和管理ALB WAF增強版。
WAF 2.0透明化接入出現逾時時間和認證不同步等配置問題的原因?
WAF 2.0透明化接入時,用戶端請求需先經過WAF檢測後,再去往ALB或CLB,用戶端請求需經過兩道網關,導致WAF側和負載平衡側需要同步多個配置,尤其逾時時間和認證變更操作容易引發配置同步的延時問題。
在使用WAF 2.0透明化接入時,如遇認證更新不及時,或調整逾時時間不生效等問題,請加入釘群(釘群號:21715946),聯絡產品技術專家進行諮詢。
相關文檔
ALB側文檔
如需新購一個ALB WAF增強版執行個體,請參見建立應用型負載平衡。
如需瞭解ALB基礎版、標準版和WAF增強版本的功能差異,請參見功能特性。
如需查看並提升ALB WAF增強版的配額,請參見使用限制。
如需通過控制台變更配置ALB執行個體功能版本,請參見變更配置執行個體功能版本。
如需通過API變更ALB執行個體功能版本,請參見UpdateLoadBalancerEdition - 變更負載平衡版本。
WAF側文檔
關於購買WAF 3.0訂用帳戶的操作,請參見購買WAF 3.0訂用帳戶執行個體。
關於購買WAF 3.0隨用隨付的操作,請參見開通WAF 3.0隨用隨付執行個體。
如需瞭解WAF 3.0和WAF 2.0差異及WAF 3.0主要最佳化點,請參見WAF 3.0與WAF 2.0對比。