如果您將為或者已為阿里雲Function Compute(Function Compute,簡稱FC)上的Web應用綁定自訂網域名,並通過自訂網域名訪問該應用時,您可以在Function Compute控制台,為該自訂網域名開啟Web Application Firewall(Web Application Firewall,簡稱WAF)功能,將Web應用業務流量引流到WAF進行安全防護。本文介紹如何為FC自訂網域名開啟WAF防護。
背景資訊
Function Compute是Serverless架構的一種形態,面向函數編程,基於事件驅動提供阿里雲服務之間端到端的解決方案。藉助Function Compute,您可以快速構建多種類型的應用和服務。更多資訊,請參見什麼是Function Compute。
WAF通過SDK模組化的方式與Function Compute原生架構整合,支援為Function Compute上的Web應用綁定的自訂網域名開啟安全防護,通過識別應用或者應用中函數的業務流量惡意特徵,將正常和安全的流量回源至後端函數,避免函數被惡意侵入。
使用限制
雲產品接入適用於快速將阿里雲ALB、MSE、FC、CLB、ECS、NLB資源接入WAF防護。如需防護非阿里雲資源的Web應用,請通過CNAME接入方式將網域名稱下業務接入WAF,具體操作請參見添加網域名稱。
僅支援為華東1(杭州)、華東2(上海)、華北2(北京)、華北3(張家口)和華南1(深圳)地區的FC自訂網域名開啟WAF防護。
通過Function Compute接入WAF的防護對象暫不支援網頁防篡改、資訊泄露防護、Bot管理和API安全功能。
前提條件
已開通中国内地地區的WAF 3.0服務。具體操作,請參見開通訂用帳戶WAF 3.0、開通隨用隨付WAF 3.0。
如果您開通的是訂用帳戶執行個體,請確認您的執行個體還可以添加防護對象。否則,將無法進行雲產品接入。
您可以訪問防護對象頁面,查看執行個體還可以添加的防護對象數。
操作步驟
您可以在為應用建立自訂網域名的同時開啟WAF防護,也可以為已有自訂網域名開啟WAF防護。
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地)。
在左側導覽列,單擊接入管理。
選擇雲產品接入頁簽,在左側雲產品類型列表,選擇FC。
根據頁面提示,單擊立即授权,完成雲產品授權。
完成後,阿里雲將自動為您建立WAF服務關聯角色AliyunServiceRoleForWAF。您可以在RAM控制台的頁面,查看阿里雲為WAF自動建立的服務關聯角色。
說明如果您已經完成雲產品授權,則授權頁面不會出現,您可以直接執行後續步驟。
單擊接入,頁面將跳轉到Function ComputeFC控制台。
在Function Compute控制台的網域名稱管理頁面,為FC自訂網域名開啟WAF防護。
建立自訂網域名並開啟WAF防護
在頂部功能表列,選擇地區為華東1(杭州)、華東2(上海)、華北2(北京)、華北3(張家口)和華南1(深圳),單擊添加自訂網域名。
在添加自訂網域名頁面,完成如下配置後,單擊建立。
配置項
操作
網域名稱
填寫已在阿里雲備案或接入備案的自訂網域名名稱。支援單網域名稱(例如
www.aliyun.com)或萬用字元網域名稱(例如*.aliyun.com)。HTTPS
根據需要啟用或禁用HTTPS協議訪問自訂網域名的功能。取值如下:
啟用:開啟通過HTTPS協議訪問自訂網域名的功能。表示支援使用HTTP或HTTPS協議訪問該自訂網域名。
說明您還可以選中強制HTTPS複選框,此時僅支援使用HTTPS協議訪問該自訂網域名,Function Compute會將所有使用HTTP協議訪問該自訂網域名的請求重新導向至HTTPS協議。
禁用:關閉通過HTTPS協議訪問自訂網域名功能。表示僅支援使用HTTP協議訪問該自訂網域名,使用HTTPS協議將無法訪問該自訂網域名。
認證類型
選擇要上傳的認證類型。當您啟用HTTPS協議訪問自訂網域名的功能時,需設定此配置項。取值說明如下:
阿里雲 SSL 憑證:選擇您的阿里雲SSL認證。如果認證名稱下拉式清單為空白,則說明您尚未購買阿里雲SSL認證,您可以登入SSL認證管理主控台購買。
手動上傳:手動輸入認證名稱,並填寫PEM 認證內容和PEM 認證密鑰。
說明上傳的認證的大小不能超過20 KB,認證密鑰的大小不能超過4 KB。
TLS 協議版本
選擇函數使用的TLS協議版本。
說明選擇以上TLS協議版本後,您還可以選中開啟支援TLS 1.3複選框,表示同時支援TLS 1.3協議。
加密套件
選擇TLS密碼編譯演算法套件,如果不配置,預設選擇全部加密套件。取值說明如下:
全部加密套件,相容性最高,安全性較低:選擇全部加密套件。Function Compute支援的加密套件列表請參見強加密和弱加密套件列表。
協議版本的自訂加密套件,請謹慎選擇,避免影響業務:選擇部分支援的加密套件。下拉式清單中顯示所有加密套件,您可以單擊加密套件右側的
表徵圖,刪除安全性較弱的弱加密套件,保留您選擇的TLS協議版本支援的加密套件。
重要請謹慎選擇自訂加密套件,確保服務端和用戶端套件的正確匹配。
關於TLS協議版本和其支援的加密套件,請參見TLS協議版本與加密套件對應關係。
Function Compute對加密套件的命名使用RFC命名規範。同一個加密套件,使用不同命名規範的命名會存在差異。關於RFC和OpenSSL命名的加密套件名稱差異點,請參見RFC與OpenSSL加密套件命名對照表。
CDN 加速
根據需要啟用或禁用CDN加速開關。為網域名稱設定CDN加速功能後,終端使用者將通過CDN加速網域名稱快速讀取所需內容。
啟用:開啟CDN加速功能。需要填寫自訂的CDN 加速網域名稱。然後登入CDN控制台為加速網域名稱配置CNAME。更多資訊,請參見步驟四:開啟CDN加速(可選)。
禁用:關閉CDN加速功能。
Web Application Firewall
根據需要啟用或者禁用Web Application Firewall開關。為自訂網域名開啟Web Application Firewall安全防護之後,Web Application Firewall將對該網域名稱上的業務流量進行惡意特徵識別和防護,避免函數被惡意侵入。具體資訊,請參見開啟Web Application Firewall。
啟用:開啟Web Application Firewall安全防護功能。
禁用:關閉Web Application Firewall安全防護功能。
路由配置
設定路徑與函數的對應關係,即不同的請求路徑可以觸發不同的函數執行。您需要設定以下欄位:
路徑:可以觸發指定服務下的指定函數的請求路徑。
服務名稱:來自指定路徑的請求觸發的對應服務。
函數名稱:來自指定路徑的請求觸發的指定服務下的對應函數。
版本或別名:來自指定路徑的請求觸發的指定服務下的對應函數版本或別名。
重寫策略:將匹配指定路徑的請求的URI根據規則進行重寫。具體操作,請參見操作步驟。
您可以根據需要添加多個路由。更多路由資訊,請參見路由匹配規則。
為已有自訂網域名開啟WAF防護
在頂部功能表列,選擇地區後,定位到目標自訂網域名,單擊操作列的編輯。
在編輯自訂網域名頁面,將Web Application Firewall配置為啟用,然後單擊儲存。
完成接入後,WAF會自動產生一個命名為“網域名稱-fc”的防護對象,並為該防護對象預設開啟Web核心防護規則。您可以在接入列表,單擊已接入的網域名稱,在防護對象頁面,查看自動添加的防護對象,並為其配置防護規則。具體操作,請參見防護配置概述。
