Web Application Firewall：接入管理概述

類型

雲產品接入

CNAME接入

SDK整合

反向 Proxy接入

實現原理

• 通過SDK模組化的方式將WAF整合在雲產品的網關中，通過內嵌在網關中的SDK提取流量並進行檢測和防護。

• 該過程中，WAF不參與流量轉寄，避免因額外引入一層轉寄而帶來各種相容性和穩定性問題。

• 通過添加引流連接埠到WAF的方式，使雲產品網關自動改變路由，將Web業務引流到WAF。WAF會攔截攻擊請求並將正常業務請求轉寄回來源站點伺服器。

• 該過程中，WAF作為反向 Proxy叢集，同時參與流量的轉寄和檢測防護。

• 通過添加網域名稱，並將網域名稱的DNS解析指向WAF的CNAME地址，使網域名稱的Web業務引流到WAF。WAF會攔截攻擊請求並將正常業務請求轉寄回來源站點伺服器。

• 該過程中，WAF作為反向 Proxy叢集，同時參與流量的轉寄和檢測防護。

推薦情境

如果Web業務已啟用阿里雲應用型負載平衡（Application Load Balancer，簡稱ALB）、微服務引擎（Microservices Engine，簡稱MSE）、Function Compute（Function Compute，簡稱FC），建議您選擇該接入方式。

如果Web業務已啟用阿里雲傳統型負載平衡（Classic Load Balancer，簡稱CLB）上、雲端服務器（Elastic Compute Service，簡稱ECS），建議您選擇該接入方式。

如果Web業務不支援雲產品接入情境，可選擇CNAME接入方式。

接入對象

• 部署在ALB或MSE上的執行個體，包含執行個體上的所有網域名稱。

• 部署在FC上的自訂網域名。

部署在CLB或ECS上的執行個體，包含執行個體上的所有網域名稱。

網域名稱。

接入方式

• 在ALB或MSE控制台，為執行個體或網域名稱開啟WAF防護。具體操作，請參見為ALB執行個體開啟WAF防護、為MSE雲原生網關執行個體開啟WAF防護。

• 在FC控制台，為自訂網域名開啟WAF防護。具體操作，請參見為FC自訂網域名開啟WAF防護。

在WAF控制台，將CLB或ECS執行個體的引流連接埠添加到WAF。具體操作，請參見將七層CLB（HTTP/HTTPS）執行個體接入WAF、將四層CLB（TCP）執行個體接入WAF或將ECS執行個體接入WAF。

1. 接入網域名稱並完成監聽配置、轉寄配置。具體操作，請參見操作步驟。

2. 修改網域名稱的DNS解析記錄。具體操作，請參見修改網域名稱DNS解析設定。

3. 允許存取WAF回源IP。具體操作，請參見允許存取WAF回源IP段。