為保護已綁定的自訂網域名的Function Compute(Function Compute,簡稱FC)函數免受Web攻擊,可為其開啟Web Application Firewall(Web Application Firewall,簡稱WAF)防護。該方案在不變更現有網路架構與DNS配置的前提下,為應用提供低延遲、高可用的Web安全防護能力。
接入原理
雲產品接入Function Compute自訂網域名時,通過 SDK 整合的方式。SDK 內嵌於雲產品,負責流量提取、檢測與防護。WAF 不參與流量轉寄,避免引入額外轉寄層導致的相容性與穩定性問題。
適用範圍
若Function Compute自訂網域名不滿足以下要求,請使用CNAME接入。
帳號要求:FC自訂網域名與WAF執行個體必須屬於同一阿里雲帳號(已配置企業多帳號統一管理除外)。
地區要求:僅支援為華東1(杭州)、華東2(上海)、華北2(北京)、華北3(張家口)和華南1(深圳)地區的FC自訂網域名開啟WAF防護。
操作步驟
進入控制台:
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地)。在左側導覽列,單擊接入管理。選擇雲產品接入頁簽,在左側雲產品類型列表,選擇函数计算 FC。
雲產品授權(僅限未完成授權使用者):
根據頁面提示,單擊立即授權,完成雲產品授權。可以在RAM控制台的頁面,查看建立的服務關聯角色AliyunServiceRoleForWAF。
接入FC自訂網域名:
單擊接入,頁面跳轉至Function Compute控制台。
在頂部功能表列,選擇地區為華東1(杭州)、華東2(上海)、華北2(北京)、華北3(張家口)和華南1(深圳),然後在左側導覽列,選擇,定位至已建立的自訂網域名,單擊其操作列的编辑。
在编辑自定义域名頁面,將Web应用防火墙配置為启用,然後單擊保存。
說明若尚未建立FC自訂網域名,請參見配置自訂網域名。
驗證防護效果:
回到域名管理介面,當目標自訂網域名的Web应用防火墙列顯示已开启時,表示接入成功。此時在瀏覽器輸入您的自訂網域名和Web攻擊代碼進行驗證(例如
<您的網域名稱>/alert(xss),alert(xss)為用作測試的跨站指令碼攻擊代碼),如果返回405攔截提示頁面,表示攻擊已被成功攔截,WAF防護已生效。
後續步驟
查看並配置防護規則
完成接入後,WAF將自動建立一個尾碼為-fc的防護對象,並為該防護對象預設啟用Web核心防護規則等模組的防護規則,可以在WAF控制台的頁面查看。如果預設的防護規則不滿足您的業務需求,可以建立或編輯防護規則。更多資訊,請參見防護配置概述。
接入復原(取消接入)
臨時關閉WAF防護:若在接入後出現問題,例如出現大量誤攔截,需要臨時關閉WAF防護時,可以在WAF控制台的防護對象頁面中,關閉WAF防護狀態開關。更多資訊,請參見一鍵關閉WAF防護功能。
取消接入:若不再希望使用WAF對FC自訂網域名進行防護,可以前往Function Compute控制台,選擇,定位至已建立的自訂網域名,單擊其操作列的编辑,在编辑自定义域名頁面,將Web应用防火墙配置為禁用,然後單擊保存。
重要取消接入後,業務流量將不再受WAF防護,安全報表中也不再包含相關業務流量的防護資料。
若您的WAF執行個體為隨用隨付,取消接入後不會產生請求處理費,但由於WAF執行個體本身及其他防護規則的存在,仍會產生功能費。若不再希望繼續使用WAF並停止WAF計費,請參見關閉WAF。
配額與限制
接入的執行個體數量:未超過 WAF 執行個體規格的上限。
WAF訂用帳戶執行個體:基礎版最多300個;進階版最多600個;企業版最多2,500個;旗艦版最多10,000個。
WAF隨用隨付執行個體:最多10,000個。
不支援的功能:通過Function Compute接入WAF的防護對象暫不支援網頁防篡改、資訊泄露防護、Bot管理和API安全功能。
常見問題
為什麼找不到Web应用防火墙的启用配置開關?
說明FC自訂網域名不滿足適用範圍,當前僅部分中國內地地區的自訂網域名支援通過雲產品接入方式接入 WAF。如需使用該接入方式,需購買中國內地 WAF 執行個體接入,或改用CNAME接入。
WAF的雲產品接入和CNAME接入有什麼區別?能否一起使用?
WAF 支援兩種接入方式:雲產品接入和 CNAME 接入。
雲產品接入(本文所述方式):快速接入本帳號阿里雲雲產品執行個體。
CNAME接入:接入網域名稱,適用情境廣泛,支援跨帳號、跨雲情境。
兩種方式不可同時使用。每個網域名稱僅可選擇其中一種接入方式,重複配置將導致流量轉寄衝突,使防護功能失效。詳細區別請參見接入概述文檔。