全部產品
Search
文件中心

Web Application Firewall:接入管理概述

更新時間:Nov 30, 2024

如果要使用Web Application Firewall 3.0(Web Application Firewall,簡稱WAF 3.0)防護您的Web業務,您必須先將Web業務接入WAF 3.0執行個體。WAF 3.0支援雲產品接入、CNAME接入、混合雲接入三種接入方式,您可以根據Web業務的部署特徵,選擇合適的接入方式。本文通過對實現原理、推薦使用情境、接入對象以及接入步驟的對比,詳細介紹了雲產品接入、CNAME接入以及混合雲接入。

接入方式對比

類型

雲產品接入

CNAME接入

混合雲接入

SDK整合

反向 Proxy接入

實現原理

  • 通過SDK模組化的方式將WAF整合在雲產品的網關中,通過內嵌在網關中的SDK提取流量並進行檢測和防護。

  • 該過程中,WAF不參與流量轉寄,避免因額外引入一層轉寄而帶來各種相容性和穩定性問題。

  • 通過添加引流連接埠到WAF的方式,使雲產品網關自動改變路由,將Web業務引流到WAF。WAF會攔截攻擊請求並將正常業務請求轉寄回來源站點伺服器。

  • 該過程中,WAF作為反向 Proxy叢集,同時參與流量的轉寄和檢測防護。

  • 通過添加網域名稱,並將網域名稱的DNS解析指向WAF的CNAME地址,使網域名稱的Web業務引流到WAF。WAF會攔截攻擊請求並將正常業務請求轉寄回來源站點伺服器。

  • 該過程中,WAF作為反向 Proxy叢集,同時參與流量的轉寄和檢測防護。

  • 反向 Proxy接入模式:將網站網域名稱或IP接入WAF,並將DNS解析指向WAF的防護叢集地址。混合雲WAF叢集對所有代理的訪問請求進行安全檢測。

  • SDK整合模式:在統一接入網關上部署SDK外掛程式,SDK外掛程式將網關的業務流量複製一份到WAF防護叢集。該模式下,混合雲WAF防護叢集不參與流量轉寄,實現業務轉寄與檢測分離。

推薦情境

如果Web業務已啟用阿里雲應用型負載平衡(Application Load Balancer,簡稱ALB)、微服務引擎(Microservices Engine,簡稱MSE)、Function Compute(Function Compute,簡稱FC),建議您選擇該接入方式。

如果Web業務已啟用阿里雲傳統型負載平衡(Classic Load Balancer,簡稱CLB)上、雲端服務器(Elastic Compute Service,簡稱ECS),建議您選擇該接入方式。

如果Web業務不支援雲產品接入情境,可選擇CNAME接入方式。

  • 業務特殊,流量無法上公用雲的本地Web業務防護。

  • 業務同時部署在阿里雲、其他公用雲、私人雲端、線下IDC、VPC內網,需要統一的Web業務防護方案。

  • 對時延敏感、可靠性要求高,需要跨多網路環境做多活容災的統一防護。

接入對象

  • 部署在ALB或MSE上的執行個體,包含執行個體上的所有網域名稱。

  • 部署在FC上的自訂網域名。

部署在CLB或ECS上的執行個體,包含執行個體上的所有網域名稱。

網域名稱。

網域名稱/IP。

接入步驟

在WAF控制台,將NLB、CLB或ECS執行個體的引流連接埠添加到WAF。具體操作步驟,請參見為NLB開啟WAF防護為七層CLB(HTTP/HTTPS)開啟WAF防護為四層CLB(TCP)開啟WAF防護為ECS開啟WAF防護

  • 步驟一:添加網域名稱,將您的網域名稱添加到接入管理中。

  • 步驟二:本地驗證,驗證WAF的網站轉寄配置是否生效。

  • 步驟三:允許存取WAF回源IP段,如果來源站點伺服器安裝了其他防火牆應用,您需要將WAF IP地址添加到該應用的白名單,避免WAF轉寄回來源站點的正常業務請求被誤攔截。

  • 步驟四:修改網域名稱DNS解析設定,修改網域名稱DNS解析設定,將網域名稱的DNS解析地址設定為WAF提供的CNAME地址或WAF IP地址。

具體操作步驟,請參見混合雲接入