全部產品
Search
文件中心

Web Application Firewall:接入管理概述

更新時間:Oct 24, 2024

如果要使用Web Application Firewall(Web Application Firewall,簡稱WAF)防護您的Web業務,您必須先將Web業務接入WAF。WAF 3.0支援雲產品接入和CNAME接入兩種接入方式,您可以根據Web業務的部署特徵,選擇合適的接入方式。本文通過實現原理、推薦情境、接入對象和接入方式的對比,介紹雲產品接入和CNAME接入。

接入方式對比

類型

雲產品接入

CNAME接入

SDK整合

反向 Proxy接入

實現原理

  • 通過SDK模組化的方式將WAF整合在雲產品的網關中,通過內嵌在網關中的SDK提取流量並進行檢測和防護。

  • 該過程中,WAF不參與流量轉寄,避免因額外引入一層轉寄而帶來各種相容性和穩定性問題。

  • 通過添加引流連接埠到WAF的方式,使雲產品網關自動改變路由,將Web業務引流到WAF。WAF會攔截攻擊請求並將正常業務請求轉寄回來源站點伺服器。

  • 該過程中,WAF作為反向 Proxy叢集,同時參與流量的轉寄和檢測防護。

  • 通過添加網域名稱,並將網域名稱的DNS解析指向WAF的CNAME地址,使網域名稱的Web業務引流到WAF。WAF會攔截攻擊請求並將正常業務請求轉寄回來源站點伺服器。

  • 該過程中,WAF作為反向 Proxy叢集,同時參與流量的轉寄和檢測防護。

推薦情境

如果Web業務已啟用阿里雲應用型負載平衡(Application Load Balancer,簡稱ALB)、微服務引擎(Microservices Engine,簡稱MSE)、Function Compute(Function Compute,簡稱FC),建議您選擇該接入方式。

如果Web業務已啟用阿里雲傳統型負載平衡(Classic Load Balancer,簡稱CLB)上、雲端服務器(Elastic Compute Service,簡稱ECS),建議您選擇該接入方式。

如果Web業務不支援雲產品接入情境,可選擇CNAME接入方式。

接入對象

  • 部署在ALB或MSE上的執行個體,包含執行個體上的所有網域名稱。

  • 部署在FC上的自訂網域名。

部署在CLB或ECS上的執行個體,包含執行個體上的所有網域名稱。

網域名稱。

接入方式

在WAF控制台,將CLB或ECS執行個體的引流連接埠添加到WAF。具體操作,請參見為七層CLB(HTTP/HTTPS)開啟WAF防護為四層CLB(TCP)開啟WAF防護為ECS開啟WAF防護

  1. 接入網域名稱並完成監聽配置、轉寄配置。具體操作,請參見操作步驟

  2. 修改網域名稱的DNS解析記錄。具體操作,請參見修改網域名稱DNS解析設定

  3. 允許存取WAF回源IP。具體操作,請參見允許存取WAF回源IP段