全部產品
Search
文件中心

Web Application Firewall:使用教程

更新時間:Jul 01, 2024

使用Web Application Firewall(Web Application Firewall,簡稱WAF)防護您的Web業務前,您必須將要防護的網站接入WAF。本文介紹如何接入WAF。

接入方式

WAF支援使用CNAME接入和透明接入兩種方式,預設支援HTTP1.0、HTTP 1.1和HTTP 2.0。您可以根據實際業務情境,選擇適當的接入方式。

說明

如果您的網站支援HTTP 2.0協議,您可以勾選HTTP2開關,開啟HTTP 2.0業務防護。

差異

CNAME接入

透明接入

概念

通過將需要防護的網站資訊添加到WAF,並修改網站網域名稱的DNS解析設定,將來源站點的Web請求轉寄到WAF進行防護。

通過將需要防護的網站資訊添加到WAF,無需修改網域名稱的DNS解析設定,即可將來源站點的Web請求轉寄到WAF進行防護。

支援的來源站點

部署在阿里雲上或雲下的所有來源站點。

部署在ECS伺服器或阿里雲公網SLB上。

接入網域名稱維度

一次只能接入一個網域名稱。

可以按執行個體維度接入該執行個體下的所有網域名稱。

是否需要設定回源

是否需要修改DNS解析

需要修改DNS解析。

無需修改DNS解析。

是否需要設定來源站點保護

來源站點存在直接被攻擊的風險,需要設定來源站點保護。

無需設定來源站點保護。

使用限制

無。

  • 由於網路底層架構限制,僅部分地區支援透明接入。

  • 透明接入不支援私網SLB執行個體。

  • 透明接入不支援IPv6,引流連接埠配置的數量也存在一定限制。

  • 透明接入存在預設防護且無法修改,必須要佈建網域名後才能編輯網域名稱層級的防護規則。

關於透明接入使用限制的更多資訊,請參見透明接入

CNAME接入

  1. 訪問添加網域名稱頁面

  2. 添加網域名稱。您需要將網站網域名稱等資訊添加到WAF,並設定回源等資訊。

    配置項

    說明

    網域名稱

    填寫要防護的網站網域名稱。

    防護資源

    按實際情況選擇要使用的防護資源類型。

    協議類型

    按實際情況選擇網站支援的協議類型。支援設定開啟HTTPS的強制跳轉開啟HTTP回源啟用回源SNI

    伺服器連接埠

    根據已選擇的協議類型,按實際情況設定來源站點提供對應服務的連接埠。

    重要

    如果來源站點伺服器使用HTTP 80連接埠、HTTPS 443連接埠以外的連接埠,您可以在WAF支援的連接埠範圍中自訂伺服器連接埠。更多資訊,請參見WAF支援的連接埠

    伺服器位址

    設定WAF回源的來源站點伺服器位址,支援:

    • IP地址:來源站點伺服器對應的SLB公網IP、ECS公網IP或雲外機房伺服器的IP。

    • 網域名稱(如CNAME)地址:來源站點伺服器回源網域名稱不應與要防護的網站網域名稱相同。僅支援IPv4回源。

    負載平衡演算法

    當設定了多個來源站點伺服器位址時,請根據實際情況選擇多來源站點伺服器間的負載平衡演算法。

    WAF前是否有七層代理(高防/CDN等)

    選擇網站業務在接入WAF前是否開啟了其他七層代理服務(例如DDoS高防、CDN等)。

    啟用流量標記

    設定是否啟用WAF流量標記功能。

    資源群組

    當需要根據業務部門、專案等維度對雲資源進行分組管理時,從資源群組列表中選擇該網域名稱所屬資源群組。

    更多資訊,請參見添加網域名稱

  3. 驗證WAF的網域名稱接入設定是否正確。避免轉寄設定未生效時修改網域名稱的DNS解析設定,導致業務訪問異常。更多資訊,請參見本地驗證

  4. 修改網域名稱DNS。手動修改網域名稱的DNS解析設定,將網站流量解析到WAF進行防護。

    以下操作以阿里雲Alibaba Cloud DNS為例,介紹修改網域名稱解析記錄的方法。

    1. 擷取WAF的CNAME地址或IP地址。具體操作,請參見擷取WAF CNAME地址

    2. 訪問Alibaba Cloud DNS控制台的網域名稱解析頁面,定位到要修改的網域名稱,單擊操作列解析設定,將CNAME記錄中的記錄值修改為WAF提供的CNAME地址。

    更多資訊,請參見修改網域名稱DNS解析設定

  5. 驗證WAF防護是否生效。具體操作,請參見步驟6

完成以上操作後,您的網站已成功接入WAF。為了實現更全面安全的防護效果,您還需要進行以下操作。

  • 上傳HTTPS認證

    如果網站使用HTTPS協議,您需要在添加網域名稱後上傳正確、有效HTTPS認證,保證WAF正常處理HTTPS協議流量。具體操作,請參見添加網域名稱

  • 允許存取WAF回源IP段

    網站接入WAF後,使用特定的回源IP段,將經過防護引擎檢測後的正常流量轉寄回網站網域名稱的來源站點伺服器,從而使得回源IP訪問更集中,頻率更高。為避免WAF將該IP段認定為攻擊IP,導致回源IP段被拉黑,您需要將回源IP段添加到來源站點安全軟體的白名單中,允許存取該回源IP段。具體操作,請參見允許存取WAF回源IP段

  • 設定來源站點保護

    出於安全性考慮,建議您設定來源站點伺服器的存取控制策略,只允許WAF回源IP段的入方向流量,避免攻擊者繞過WAF直接對來源站點伺服器發起攻擊。具體操作,請參見設定來源站點保護

  • 自訂TLS配置

    已接入WAF防護的網站網域名稱,如果網站使用的是HTTPS協議傳輸資料,WAF支援對該網域名稱自訂TLS協議版本和加密套件。請參見配置自訂TLS

透明接入

  1. 訪問Web Application Firewall控制台的添加網域名稱頁面,選擇接入方式透明接入

  2. 添加網域名稱。

    配置項

    說明

    網域名稱

    填寫網站網域名稱。

    來源站點服務連接埠

    選擇執行個體類型和連接埠。WAF支援ALB類型七層SLB類型四層SLB類型ECS類型執行個體的來源站點服務連接埠開啟透明接入。

    WAF前是否有七層代理(高防/CDN等)

    選擇網站業務在接入WAF前是否開啟了其他七層代理服務(例如DDoS高防、CDN等)。

    啟用流量標記

    設定是否啟用WAF流量標記功能。

    資源群組

    當需要根據業務部門、專案等維度對雲資源進行分組管理時,從資源群組列表中選擇該網域名稱所屬資源群組。

    更多資訊,請參見透明接入

  3. 驗證WAF防護是否生效。具體操作,請參見步驟6

雲產品接入WAF

除了將網站單獨接入WAF外,您還可以結合WAF和其他阿里雲其他安全服務(例如DDos、CDN等),共築阿里雲防護安全體系。

後續操作

接入WAF後,網站的訪問流量將經過WAF保護。WAF包含多種防護檢測模組,協助網站應對不同類型的安全威脅,其中規則防護引擎CC安全防護模組預設開啟,分別用於防禦常見的Web應用攻擊(例如SQL注入、XSS跨站、webShell上傳等)和CC攻擊,其他防護模組需要您手動開啟並配置具體防護規則。更多資訊,請參見網站防護配置概述