全部產品
Search

搜尋本產品

    Web Application Firewall:為MSE雲原生網關執行個體開啟WAF防護

    文件中心

    Web Application Firewall:為MSE雲原生網關執行個體開啟WAF防護

    更新時間:Jan 21, 2025

    如果您的Web業務啟用了阿里雲微服務引擎(Microservices Engine,簡稱MSE)服務,您可以為MSE的雲原生網關執行個體開啟Web Application Firewall(Web Application Firewall,簡稱WAF)防護,將Web業務流量引流到WAF 3.0進行安全防護。本文介紹如何為MSE雲原生網關執行個體開啟WAF防護。

    背景資訊

    MSE是一個面向業界主流開源微服務生態的一站式微服務平台,提供註冊配置中心(原生支援Nacos/ZooKeeper/Eureka)、雲原生網關(原生支援Ingress/Envoy)、微服務治理(原生支援Spring Cloud/Dubbo/Sentinel,遵循OpenSergo服務治理規範)的能力。WAF 3.0可通過雲原生網關,與MSE原生架構整合,為您提供更高的安全營運效率、更流暢的互動體驗。

    使用限制

    雲產品接入適用於快速將阿里雲ALB、MSE、FC、CLB、ECS、NLB資源接入WAF防護。如需防護非阿里雲資源的Web應用,請通過CNAME接入方式將網域名稱下業務接入WAF,具體操作請參見添加網域名稱

    • 僅支援為華東1(杭州)華東2(上海)華北2(北京)華北6(烏蘭察布)中國香港新加坡馬來西亞(吉隆坡)華北3(張家口)華南1(深圳)日本(東京)德國(法蘭克福)美國(矽谷)美國(維吉尼亞)地區的MSE執行個體開啟WAF防護。

    • 接入WAF的MSE執行個體暫不支援如下功能:

      • 網頁防篡改

      • 資訊泄露防護

      • Bot管理網頁防爬情境化防護中的自動整合Web SDK和合法Bot管理

      • Bot威脅情報

    前提條件

    • 已建立雲原生網關執行個體。具體操作,請參見建立雲原生網關

    • 如果您開通的是訂用帳戶執行個體,請確認您的執行個體還可以添加防護對象。否則,將無法進行雲產品接入。

      您可以訪問防護對象頁面,查看執行個體還可以添加的防護對象數。image.png

    開啟WAF防護

    1. 登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地非中国内地

    2. 在左側導覽列,單擊接入管理

    3. 選擇雲產品接入頁簽,在左側雲產品類型列表,選擇MSE

    4. 根據頁面提示,單擊立即授权,完成雲產品授權。

      完成後,阿里雲將自動為您建立WAF服務關聯角色AliyunServiceRoleForWAF。您可以在RAM控制台身份管理 > 角色頁面,查看阿里雲為WAF自動建立的服務關聯角色。

      說明

      如果您已經完成雲產品授權,則授權頁面不會出現,您可以直接執行後續步驟。

    5. 單擊接入,頁面將跳轉到微服務引擎MSE控制台

    6. 在頂部功能表列選擇地區為華東1(杭州)華東2(上海)華北2(北京)華北6(烏蘭察布)中國香港新加坡馬來西亞(吉隆坡)華北3(張家口)華南1(深圳)日本(東京)德國(法蘭克福)美國(矽谷)美國(維吉尼亞)

    7. 開啟WAF防護。

      • 開啟執行個體層級防護

        單擊目標網關WAF安全防護列的未開啟表徵圖後,單擊開啟網關執行個體防護,或單擊目標網關操作列的更多 > 開啟WAF防護,單擊確定

      • 開啟路由層級防護

        1. 單擊目標執行個體名稱 ,在基本資料頁面的左側導覽列,選擇路由管理 > 路由配置,或單擊目標網關操作列的路由配置

        2. 單擊目標路由操作列的更多 > 開啟路由防護,單擊確定

    在MSE側管理WAF防護

    1. 登入MSE網關管理主控台。在左側導覽列,選擇雲原生網關 > 網關列表

    2. 在頂部功能表列選擇地區為華東1(杭州)華東2(上海)華北2(北京)華北6(烏蘭察布)中國香港新加坡馬來西亞(吉隆坡)華北3(張家口)華南1(深圳)日本(東京)德國(法蘭克福)美國(矽谷)美國(維吉尼亞)

    3. 管理WAF防護。

      • 查看已接入的執行個體

        在執行個體列表查看已開啟WAF防護的執行個體。執行個體名稱後顯示已開啟表徵圖,表示該執行個體已開啟WAF防護。

      • 關閉已接入的執行個體

        關閉WAF防護後,MSE執行個體上的業務流量將不再受WAF防護,安全報表中也不再包含相關業務流量的防護資料。

        重要

        MSE執行個體上的業務流量不受WAF防護後,不會產生請求處理費。但您已經配置的防護規則仍會產生對應的功能費。建議您在取消業務接入前,先刪除已配置的防護規則,避免產生額外計費。更多資訊,請參見計費說明防護模組概覽

        • 關閉執行個體層級防護

          單擊目標網關WAF安全防護列的已開啟表徵圖後,單擊關閉網關執行個體防護,或單擊目標網關操作列的更多 > 關閉WAF防護,單擊確定

        • 關閉路由層級防護

          1. 單擊目標執行個體名稱 ,在基本資料頁面的左側導覽列,選擇路由管理 > 路由配置,或單擊目標網關操作列的路由配置

          2. 單擊目標路由操作列的更多 > 關閉路由防護,單擊確定

    在WAF側管理WAF防護

    1. 登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地非中国内地

    2. 在左側導覽列,單擊接入管理

    3. 管理WAF防護。

      • 查看已接入的MSE執行個體

        雲產品接入頁簽,從左側雲產品類型列表中選擇MSE

      • 設定防護對象和防護規則

        開啟WAF防護後,WAF會自動產生一個尾碼為-mse的防護對象,並為該防護對象預設開啟Web核心防護規則。您可以在接入列表,單擊已接入的執行個體ID,在防護對象頁面,查看自動添加的防護對象,並為其配置防護規則。具體操作,請參見防護配置概述防護對象

      • 取消接入

        取消接入後,MSE執行個體上的業務流量將不再受WAF防護,安全報表中也不再包含相關業務流量的防護資料。

        重要

        MSE執行個體上的業務流量不受WAF防護後,不會產生請求處理費。但您已經配置的防護規則仍會產生對應的功能費。建議您在取消業務接入前,先刪除已配置的防護規則,避免產生額外計費。更多資訊,請參見計費說明防護模組概覽

        1. 單擊目標執行個體名稱操作列的取消接入

          頁面將跳轉到微服務引擎MSE控制台的網關列表頁面

        2. 在MSE側關閉WAF防護。具體操作,請參見關閉已接入的執行個體