全部產品
Search
文件中心

Web Application Firewall:透明接入

更新時間:Jul 01, 2024

透明接入模式只需將需要防護的網站資訊添加到WAF,無需修改網域名稱的DNS解析設定,即可實現WAF防護。如果您的來源站點伺服器為ECS伺服器或者部署在阿里雲公網SLB上,那麼除了使用CNAME接入模式,還可以選擇雲原生的透明接入模式。本文介紹如何使用透明接入模式接入WAF。

說明

如果您的執行個體已升級到WAF 3.0版本,您可以通過雲產品接入(包含WAF 2.0的透明接入)的方式,將您的ECS執行個體、CLB執行個體、ALB執行個體等接入WAF。更多資訊,請參見雲產品接入

使用限制

限制項類型

描述

雲端服務執行個體類型

透明接入不支援私網SLB和IPv6版本的公網SLB執行個體。

SLB和ECS地區

支援的地區包括:

  • 中國內地:西南1(成都)、華北2(北京)、華北3(張家口)、華東1(杭州)、華東2(上海)、華南1(深圳)

  • 非中國內地:中國(香港)、馬來西亞(吉隆坡)、印尼(雅加達)

由於歷史網路架構的原因,部分公網SLB不支援透明接入。

引流連接埠配置的數量

不同版本的WAF執行個體支援添加的引流連接埠配置的數量如下:

  • 進階版:不超過20條。

  • 企業版:不超過50條。

  • 旗艦版:不超過100條。

透明接入對指定來源站點伺服器的具體連接埠生效,即您可以針對某個來源站點伺服器(具有公網IP)的具體連接埠(例如80、443等)開啟透明接入。開啟透明接入後,該伺服器連接埠的流量被引流到WAF進行防護。

例如,您同時為SLB執行個體A的80、443連接埠,以及另一個SLB執行個體B的80、443連接埠開啟透明接入,則共添加了4個引流連接埠配置(SLB執行個體A的80連接埠、SLB執行個體A的443連接埠、SLB執行個體B的80連接埠、SLB執行個體B的443連接埠)。

支援的連接埠範圍

支援防護0~65535範圍內的任意標準連接埠和非標連接埠。更多資訊,請參見WAF支援的連接埠

說明

僅訂用帳戶企業版、旗艦版、獨享版執行個體支援使用非標連接埠。

業務同時接入DDoS高防和WAF

如果您的業務需要同時接入DDoS高防和WAF,則只有在業務通過網域名稱接入(即七層接入模式)接入DDoS高防時,該業務才支援通過透明接入模式接入WAF。

如果業務通過連接埠接入(即四層接入模式)接入DDoS高防,則該業務暫不支援通過透明接入模式接入WAF。針對這種情況,推薦您使用CNAME接入模式,將該業務接入WAF進行防護。更多資訊,請參見網站接入(CNAME接入)

前提條件

  • 已開通Web Application Firewall執行個體。

  • 已建立的雲端服務執行個體為IPv4公網的SLB執行個體,且該SLB執行個體擁有公網IP,連接埠未開啟雙向認證。

    說明

    如果您使用了私網SLB+EIP,也支援使用透明接入。

  • 託管在中國內地伺服器上的網站網域名稱,已完成阿里雲ICP備案。在阿里雲ICP代備案管理系統提交ICP備案訂單時,系統會根據您提交的基本資料自動識別本次提交訂單的ICP備案類型,自動為您匹配對應備案類型需進行的ICP備案流程。更多資訊,請參見ICP備案情境

  • 透明接入配置連接埠上使用的認證已按先後順序完成如下操作:

    1. 已上傳到數位憑證管理服務控制台統一管理,或直接從數位憑證管理服務控制台購買和申請認證。

    2. 已在Server Load Balancer控制台為該透明接入配置的連接埠配置監聽時,選擇該認證並完成配置。

    說明

    如果您要接入七層SLB執行個體上的Web流量,必須滿足該前提條件。接入四層SLB執行個體或ECS來源站點上的Web流量時,無需滿足該前提條件。

  • 已完成雲資源訪問授權。具體操作,請參見授權WAF訪問雲資源

步驟一:添加網域名稱

重要
  • 執行個體首次接入WAF時,Web業務可能會出現秒級閃斷。在用戶端可自動重連的情況下該閃斷會自動回復,不會對您的業務造成影響,請您關注業務並根據業務系統評估準備重連或回源等相關容災機制。

  • 執行個體接入WAF後,如果進行如下操作,監聽連接埠會自動取消接入。您需要重新添加連接埠,否則,業務流量將不會經過WAF防護。

    • 配置了七層監聽的CLB執行個體:更換執行個體上綁定的公網IP、監聽連接埠的認證更換為第三方認證、開啟雙向認證

    • ECS執行個體和配置了四層監聽的CLB執行個體:更換執行個體上綁定的公網IP、開啟雙向認證

  • ECS引流是對EIP或公網IP進行的引流。

  • ECS解除綁定EIP後引流會被自動刪除。

  1. 登入Web Application Firewall控制台,在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地非中國內地)。

  2. 在左側導覽列,選擇資產中心 > 網站接入

  3. 網域名稱列表頁簽,單擊網站接入

  4. 添加網域名稱頁面,選擇接入模式透明接入

  5. 添加網域名稱資訊模組,佈建網域名和來源站點服務連接埠等。

    配置項

    說明

    網域名稱

    填寫網站網域名稱。支援使用精確網域名稱(例如,www.aliyundoc.com)和泛網域名稱(例如,*.aliyundoc.com)格式。具體說明如下:

    • 使用泛網域名稱後,WAF將自動匹配該泛網域名稱對應的所有子網域名稱(例如,*.aliyundoc.com能夠匹配www.aliyundoc.comtest.aliyundoc.com等)。

      重要

      泛網域名稱不支援匹配對應的主網域名稱(例如,*.aliyundoc.com不能匹配aliyundoc.com)。如果您需要將主網域名稱接入WAF進行防護,您需要單獨添加對應的網域名稱配置(例如,單獨添加aliyundoc.com)。

    • 如果同時存在泛網域名稱和精確網域名稱配置,則精確網域名稱的轉寄規則和防護策略優先生效。

    來源站點服務連接埠

    選擇要接入WAF的來源站點伺服器連接埠。

    WAF支援ALB類型七層SLB類型四層SLB類型ECS類型執行個體的來源站點服務連接埠開啟透明接入。您可根據需要接入WAF的執行個體類型,在來源站點服務連接埠配置地區選取項目對應頁簽。例如,您部署了應用型負載平衡(ALB)執行個體作為Web服務的入口,需要為ALB執行個體監聽連接埠上的流量開啟WAF防護,單擊ALB類型頁簽。

    您可在相應頁簽進行如下操作:

    • 添加連接埠

      • ALB類型七層SLB類型的連接埠會自動同步到WAF,您需要選中要添加的連接埠即可。

      • 四層SLB類型ECS類型的連接埠需要手動添加,您可以單擊添加,為來源站點伺服器連接埠開啟引流。

        添加伺服器連接埠後,您可以在執行個體列表選中該連接埠。同時,您也可以在伺服器列表刪除或關閉引流。具體操作,請參見查看來源站點伺服器和管理引流連接埠

    • 選中執行個體的監聽連接埠,為連接埠開啟WAF防護。具體操作,請參見ALB執行個體連接埠引流

    WAF前是否有七層代理(高防/CDN等)

    選擇網站業務在接入WAF前是否開啟了其他七層代理服務(例如DDoS高防、CDN等)。可選項:

    • :表示WAF收到的業務請求來自發起請求的用戶端。WAF直接擷取與WAF建立串連的IP(來自REMOTE_ADDR欄位)作為用戶端IP。

    • :表示WAF收到的業務請求來自其他七層代理服務轉寄,而非直接來自發起請求的用戶端。為了保證WAF可以擷取真實的用戶端IP進行安全分析,您需要進一步設定用戶端IP判定方式

      WAF預設讀取請求Header欄位X-Forwarded-For(XFF)中的第一個IP地址作為用戶端IP。

      如果您的網站業務已通過其他代理服務的設定,規定將用戶端源IP放置在某個自訂的Header欄位(例如X-Client-IP、X-Real-IP),則您需要選擇取指定Header欄位中的第一個IP作為用戶端源IP,避免XFF偽造,並在指定Header欄位框中輸入對應的Header欄位。

      說明

      推薦您在業務中使用自訂Header存放用戶端IP,並在WAF中配置對應Header欄位。該方式可以避免攻擊者偽造XFF欄位,躲避WAF的檢測規則,提高業務的安全性。

      支援輸入多個Header欄位。每輸入完一個Header欄位,需要按半形逗號(,)確認。設定了多個Header時,WAF將按順序嘗試讀取用戶端IP。如果第一個Header不存在,則讀取第二個,以此類推。如果所有指定Header都不存在,則讀取XFF中第一個IP地址作為用戶端IP。

    啟用流量標記

    設定是否啟用WAF流量標記功能。

    流量標記表示WAF在轉寄用戶端請求到來源站點伺服器時,在要求標頭中添加或修改由您指定的自訂欄位,用於標記該請求經過WAF轉寄,記錄該請求的用戶端真實源IP或真實源連接埠。

    選中啟用流量標記後,您需要設定標記欄位。

    重要
    • 請不要填寫標準的HTTP頭部欄位(例如User-Agent等),否則會導致標準頭部欄位內容被自訂的欄位值覆蓋。

    • 如果攻擊者在網域名稱接入WAF前,已擷取來源站點IP資訊,並通過購買其他WAF執行個體,將請求回源到目標來源站點時,您可以啟用流量標記,並設定標記欄位。當來源站點接收到請求後,建議對該欄位進行校正。如果存在指定的標記欄位,則允許訪問。

    標記欄位分為以下類型:

      單擊新增標記,可以增加標記欄位。最多支援設定5個標記欄位。

      資源群組

      從資源群組列表中選擇該網域名稱所屬資源群組。

      說明

      您可以使用資源管理服務建立資源群組,根據業務部門、專案等維度對雲資源進行分組管理。更多資訊,請參見建立資源群組

    • 檢查並確認模組,檢查已配置的透明接入資訊,並單擊下一步

    • 添加完成模組,單擊完成,返回網站列表

      網域名稱添加完成後,您可以在網域名稱列表中查看已添加網域名稱及來源站點資訊,並可以根據需要編輯、刪除網域名稱配置。

      WAF預設對您在添加網域名稱資訊中開啟的來源站點服務連接埠上的流量進行檢測,並將處理後的正常請求返回到來源站點伺服器。您可以根據業務實際需要,在伺服器列表頁簽,修改來源站點服務連接埠的流量防護狀態。

    步驟二:查看和管理引流連接埠

    查看來源站點伺服器和管理引流連接埠

    完成網域名稱添加後,您可以查看來源站點伺服器的詳細防護資訊,以及在需要緊急容災的情況下強制關閉引流或刪除引流連接埠。

    1. 網站接入頁面,單擊伺服器列表頁簽。

    2. 單擊執行個體前的展開表徵圖,展開查看該執行個體下已添加到WAF防護的連接埠。

      防護狀態

      說明

      四層SLB類型ECS類型執行個體的連接埠不會自動同步到伺服器列表,您需要手動添加連接埠。具體操作,請參見添加連接埠

      Web流量狀態說明:

      • Web流量狀態(圖示①)表示該連接埠的流量目前是否經過WAF防護,可選項開啟關閉。您可以單擊操作列下的關閉引流開啟引流,修改連接埠引流狀態。

        說明

        關閉連接埠引流後,該伺服器連接埠的流量將不會經過WAF防護。

      • Web流量狀態(圖示②)表示該執行個體下連接埠接入WAF防護的整體狀態,可選項未防護部分防護運行中

    3. 可選:如果執行個體為四層SLB類型、ECS類型,您可以單擊連接埠操作列下的刪除,並在提示對話方塊中單擊確定,刪除某個不再需要流量防護的連接埠。

    更新引流連接埠配置的認證

    • ALB執行個體七層SLB執行個體:無需在WAF重新上傳認證。

      • 如果執行個體監聽連接埠配置的認證被更新,您只需要在SLB執行個體中更新認證,WAF會自動同步。同步時間長度約30分鐘。

        重要
        • 如果監聽連接埠認證更換為通過第三方平台(非阿里雲)購買的認證,您需要在更新認證後,重新將執行個體接入WAF。

        • 如果對應的Server Load Balancer執行個體關聯有到期認證,則WAF側無法同步最新認證,需要將到期認證刪除後再同步最新認證。

      • 如果WAF自動同步的認證未生效,您可以在伺服器列表頁簽,單擊更新表徵圖,手動更新執行個體監聽連接埠配置的認證。

    • ECS執行個體四層SLB執行個體:需要在WAF重新上傳認證。

      您可以在伺服器列表頁簽,定位到需要更新認證的執行個體,單擊目標連接埠操作列的編輯,通過手動上傳選擇已有認證的方式上傳認證。上傳認證

    後續步驟

    完成接入流程後,網站訪問流量將經過WAF並受到WAF的防護。WAF包含多種防護檢測模組,協助網站防禦不同類型的安全威脅,其中規則防護引擎CC安全防護模組預設開啟,分別用於防禦常見的Web應用攻擊(例如SQL注入、XSS跨站、WebShell上傳等)和CC攻擊,其他防護模組需要您手動開啟並配置具體防護規則。更多資訊,請參見網站防護配置概述

    相關文檔