全部產品
Search

搜尋本產品

    Web Application Firewall:為ALB執行個體開啟WAF防護

    文件中心

    Web Application Firewall:為ALB執行個體開啟WAF防護

    更新時間:Dec 27, 2024

    如果您的Web業務啟用了阿里雲應用型負載平衡(Application Load Balancer,簡稱ALB),您可以為ALB執行個體開啟Web Application Firewall(Web Application Firewall,簡稱WAF)防護,將Web業務流量引流到WAF進行安全防護。本文介紹如何為ALB執行個體開啟WAF防護。

    背景資訊

    ALB是阿里雲推出的專門面向HTTP、HTTPS和QUIC等應用程式層負載情境的負載平衡服務,具備超強彈性及大規模應用程式層流量處理能力。更多資訊,請參見什麼是應用型負載平衡ALB

    WAF通過SDK模組化的方式,與ALB原生架構整合,通過內嵌在網關中的SDK提取並檢測流量。該過程中,WAF只進行業務監聽,不再參與流量轉寄,實現防護與流量轉寄的完全分離,為您提供更高的安全營運效率、更流暢的互動體驗。

    具體網路架構如下圖所示:

    使用限制

    雲產品接入適用於快速將阿里雲ALB、MSE、FC、SAE 2.0、CLB或ECS資源接入WAF防護。如需防護非阿里雲資源的Web應用,請通過CNAME接入方式將網域名稱下業務接入WAF,具體操作請參見添加網域名稱

    • 購買ALB WAF增強版執行個體前,請先完成實名認證。

    • 僅如下地區支援WAF增強版ALB執行個體:

      地區

      地區

      中國

      西南1(成都)、華北1(青島)、華北2(北京)、華南3(廣州)、華東1(杭州)、華北6(烏蘭察布)、華東2(上海)、華南1(深圳)、華北3(張家口)、中國香港

      亞太地區

      菲律賓(馬尼拉)、印尼(雅加達)、日本(東京)、馬來西亞(吉隆坡)、新加坡、泰國(曼穀)

      歐美地區

      德國(法蘭克福)、美國(矽谷)、美國(維吉尼亞)

      中東

      沙特(利雅得)

    • 僅支援狀態為運行中ALB基礎版、標準版執行個體,升級為WAF增強版。

    • 接入WAF的ALB執行個體暫不支援如下功能:

      • 資訊泄露防護

      • Bot管理網頁防爬情境化防護中的自動整合Web SDK

    前提條件

    • 您的阿里雲帳號未開通任何版本的WAF,或已開通WAF 3.0。

      說明

      • 如果您的帳號未開通任何版本的WAF執行個體,您購買ALB WAF增強版後,開通的WAF 3.0執行個體為隨用隨付版。

      • 如果您的阿里雲帳號下已開通WAF 2.0執行個體,您可以將WAF 2.0執行個體遷移到WAF 3.0。具體操作,請參見如何將WAF 2.0執行個體升級到WAF 3.0

    • 如果您開通的是訂用帳戶執行個體,請確認您的執行個體還可以添加防護對象。否則,將無法進行雲產品接入。

      您可以訪問防護對象頁面,查看執行個體還可以添加的防護對象數。image.png

    開啟WAF防護

    1. 登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地非中国内地

    2. 在左側導覽列,單擊接入管理

    3. 選擇雲產品接入頁簽,在左側雲產品類型列表,選擇ALB

    4. 根據頁面提示,單擊立即授权,完成雲產品授權。

      完成後,阿里雲將自動為您建立WAF服務關聯角色AliyunServiceRoleForWAF。您可以在RAM控制台身份管理 > 角色頁面,查看阿里雲為WAF自動建立的服務關聯角色。

      說明

      如果您已經完成雲產品授權,則授權頁面不會出現,您可以直接執行後續步驟。

    5. 單擊接入,頁面將跳轉到應用型負載平衡ALB控制台

    6. 在應用型負載平衡ALB控制台,為ALB執行個體開啟WAF防護。

      • 新購一個WAF增強版ALB執行個體

        1. 登入應用型負載平衡ALB控制台

        2. 在頂部功能表列,選擇執行個體所屬的地區。

        3. 執行個體頁面,單擊建立應用型負載平衡

        4. 應用型負載平衡(隨用隨付)購買頁面,完成參數的配置,然後單擊立即購買並根據提示完成支付。

          本文僅列出強相關項目,其餘參數的配置請參見建立和管理ALB執行個體

          功能版本(執行個體費):選擇WAF增強版

      • 為已建立的ALB執行個體開啟WAF防護

        1. 登入應用型負載平衡ALB控制台

        2. 在頂部功能表列,選擇執行個體所屬的地區。

        3. 執行個體頁面,找到目標執行個體,選擇以下任意一種方式開啟WAF防護。

          • 方式一

            1. 單擊目標執行個體ID,然後單擊整合服務頁簽。找到Web Application Firewall地區,然後單擊開啟防護

            2. 開啟防護會話框,單擊確定完成支付並開啟WAF防護。

          • 方式二

            1. 將滑鼠移至上方在目標執行個體名稱後的未開啟表徵圖,然後在氣泡框中單擊Web應用安全防護地區的開啟防護

            2. 開啟防護會話框,單擊確定完成支付並開啟WAF防護。

          • 方式三

            1. 單擊目標執行個體ID,在執行個體詳情頁簽,找到基本資料地區中的WAF安全防護,然後單擊開啟防護

            2. 開啟防護會話框,單擊確定完成支付並開啟WAF防護。

          • 方式四

            1. 操作列選擇選擇 > 變更配置功能版本

            2. 應用型負載平衡(隨用隨付)| 變更配置頁面,選擇功能版本(執行個體費)WAF增強版,單擊立即購買並完成支付。

    管理WAF

    在WAF側管理WAF防護

    1. 登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地非中国内地

    2. 在左側導覽列,單擊接入管理

    3. 管理WAF防護。

      • 雲產品接入頁簽,從左側雲產品類型列表中選擇ALB,查看已接入的ALB執行個體。

      • 設定防護對象和防護規則

        開啟WAF防護後,WAF會自動產生一個尾碼為-alb的防護對象,並為該防護對象預設開啟Web核心防護規則。您可以在接入列表,單擊已接入的執行個體ID,在防護對象頁面,查看自動添加的防護對象,並為其配置防護規則。具體操作,請參見防護配置概述

        image

      • 取消接入

        取消接入後,ALB執行個體上的業務流量將不再受WAF防護,安全報表中也不再包含相關業務流量的防護資料。

        重要

        ALB執行個體上的業務流量不受WAF防護後,不會產生請求處理費。但您已經配置的防護規則仍會產生對應的功能費。建議您在取消業務接入前,先刪除已配置的防護規則,避免產生額外計費。更多資訊,請參見計費說明防護模組概覽

        1. 單擊目標執行個體名稱操作列的取消接入,在提示對話方塊,單擊取消接入

        2. 取消接入面板,選擇功能版本(執行個體費)標準版單擊立即購買並完成支付

    在ALB側管理WAF防護

    1. 登入應用型負載平衡ALB控制台

    2. 在頂部功能表列,選擇執行個體所屬的地區。

    3. 管理WAF防護。

      操作

      步驟

      查看執行個體是否開啟WAF防護

      選擇以下任意一種方式查看執行個體是否開啟WAF防護。顯示防護中,表示已開啟WAF防護。

      方式一

      1. 執行個體頁面,找到目標執行個體,單擊執行個體ID。

      2. 單擊整合服務頁簽,在Web Application Firewall地區查看防護狀態。

      方式二

      1. 執行個體頁面,找到目標執行個體,將滑鼠移至上方在執行個體名稱後的未開啟表徵圖。

      2. 在氣泡框的Web應用安全防護地區,查看防護狀態。

      方式三

      1. 執行個體頁面,找到目標執行個體,單擊執行個體ID。

      2. 執行個體詳情頁簽,在基本資料地區查看WAF安全防護的狀態。

      查看WAF安全報表

      查看WAF安全報表,請確保您的ALB執行個體已開啟WAF防護。

      方式一

      1. 執行個體頁面,找到目標執行個體,單擊執行個體ID。

      2. 單擊整合服務頁簽,在Web Application Firewall地區單擊查看WAF安全報表進入WAF 3.0控制台的安全報表頁面查看。

      方式二

      1. 執行個體頁面,找到目標執行個體,將滑鼠移至上方在執行個體名稱後的未開啟表徵圖。

      2. 在氣泡框的Web應用安全防護地區,單擊查看WAF安全報表進入WAF 3.0控制台的安全報表頁面查看。

      方式三

      1. 執行個體頁面,找到目標執行個體,單擊執行個體ID。

      2. 執行個體詳情頁簽,在基本資料地區單擊安全防護右側的查看WAF安全報表進入WAF 3.0控制台的安全報表頁面查看。

      更多資訊,請參見安全報表

      關閉WAF防護

      關閉WAF防護後,ALB執行個體上的業務流量將不再受WAF防護,安全報表中也不再包含相關業務流量的防護資料。

      重要

      ALB執行個體上的業務流量不受WAF防護後,WAF側不會產生請求處理費。但您已經配置的防護規則仍會產生對應的功能費。建議您在取消業務接入前,先刪除已配置的防護規則,避免產生額外計費。更多資訊,請參見計費說明防護模組概覽

      方式一

      1. 執行個體頁面,找到目標執行個體,單擊執行個體ID。

      2. 單擊整合服務頁簽,在Web Application Firewall地區,單擊解除WAF防護

      3. 關閉防護會話框,單擊確定關閉WAF防護。

      方式二

      1. 執行個體頁面,找到目標執行個體,將滑鼠移至上方在目標執行個體名稱後的未開啟表徵圖,在氣泡框的Web應用安全防護地區,單擊關閉WAF防護

      2. 關閉防護會話框,單擊確定關閉WAF防護。

      方式三

      1. 執行個體頁面,找到目標執行個體,單擊執行個體ID。

      2. 執行個體詳情頁簽,在基本資料地區單擊WAF安全防護右側的關閉WAF防護

      3. 關閉防護會話框,單擊確定關閉WAF防護。

      方式四

      1. 執行個體頁面,找到目標執行個體,在操作列選擇選擇 > 變更配置功能版本

      2. 應用型負載平衡(隨用隨付)| 變更配置頁面,選擇功能版本(執行個體費)標準版,單擊立即購買並完成支付。

    常見問題

    驗證ALB是否成功接入WAF

    1. 在瀏覽器中輸入欄位名進行訪問測試,如果網站可以正常訪問,則表示WAF接入成功。

    2. 在網域名稱後輸入SQL惡意攻擊代碼驗證防護效果,例如xxx.xxxx.com?id=1 and 1=1,返回如下 405 攔截提示頁面,則表示攻擊被攔截。

      image.png

    WAF 2.0透明化接入和WAF 3.0 SDK整合的區別

    兩者的區別:

    • WAF 2.0透明化接入:通過添加引流連接埠到WAF的方式,使雲產品網關自動改變路由,將Web業務引流到WAF。WAF會攔截攻擊請求並將正常業務請求轉寄回來源站點伺服器。該過程中,WAF作為反向 Proxy叢集,同時參與流量的轉寄和檢測防護。WAF 2.0透明化接入時請求需經過兩道網關,因此WAF側與負載平衡側都需維護逾時時間和認證等配置。

    • WAF 3.0 SDK整合:WAF 3.0通過SDK模組化的方式整合在雲產品的網關中,通過內嵌在網關中的SDK提取流量並進行檢測和防護。該過程中,WAF不參與流量轉寄,避免因額外引入一層轉寄而帶來各種相容性和穩定性問題。WAF 3.0 SDK整合時請求只經過一道網關,省去了網關間認證和配置同步的步驟,不會出現認證和配置不同步等問題。

    更多資訊,請參見WAF 3.0與WAF 2.0對比

    相關文檔

    ALB側文檔

    WAF側文檔