如果您的Web业务启用了阿里云微服务引擎(Microservices Engine,简称MSE)服务,您可以为MSE的云原生网关实例开启Web应用防火墙(Web Application Firewall,简称WAF)防护,将Web业务流量引流到WAF 3.0进行安全防护。本文介绍如何为MSE云原生网关实例开启WAF防护。
背景信息
MSE是一个面向业界主流开源微服务生态的一站式微服务平台,提供注册配置中心(原生支持Nacos/ZooKeeper/Eureka)、云原生网关(原生支持Ingress/Envoy)、微服务治理(原生支持Spring Cloud/Dubbo/Sentinel,遵循OpenSergo服务治理规范)的能力。WAF 3.0可通过云原生网关,与MSE原生架构集成,为您提供更高的安全运维效率、更流畅的交互体验。
使用限制
云产品接入适用于快速将阿里云ALB、MSE、FC、CLB、ECS、NLB资源接入WAF防护。如需防护非阿里云资源的Web应用,请通过CNAME接入方式将域名下业务接入WAF,具体操作请参见添加域名。
仅支持为华东1(杭州)、华东2(上海)、华北2(北京)、华北6(乌兰察布)、中国香港、新加坡、马来西亚(吉隆坡)、华北3(张家口)、华南1(深圳)、日本(东京)、德国(法兰克福)、美国(硅谷)地域的MSE实例开启WAF防护。
接入WAF的MSE实例暂不支持如下功能:
网页防篡改
信息泄露防护
Bot管理网页防爬场景化防护中的自动集成Web SDK
前提条件
开启WAF防护
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,单击接入管理。
选择云产品接入页签,在左侧云产品类型列表,选择MSE。
单击接入。
根据页面提示,单击立即授权,完成云产品授权。
完成后,阿里云将自动为您创建WAF服务关联角色AliyunServiceRoleForWAF。您可以在RAM控制台的页面,查看阿里云为WAF自动创建的服务关联角色。
说明如果您已经完成云产品授权,则授权页面不会出现,您可以直接执行后续步骤。
此时,页面将跳转到微服务引擎MSE控制台。
在顶部菜单栏选择地域为华东1(杭州)、华东2(上海)、华北2(北京)、华北6(乌兰察布)、中国香港、新加坡、马来西亚(吉隆坡)、华北3(张家口)、华南1(深圳)、日本(东京)、德国(法兰克福)、美国(硅谷)。
开启WAF防护。
开启实例级别防护
单击目标网关WAF安全防护列的
图标后,单击开启网关实例防护,或单击目标网关操作列的,单击确定。开启路由级别防护
单击目标实例名称 ,在基本信息页面的左侧导航栏,选择,或单击目标网关操作列的路由配置。
单击目标路由操作列的,单击确定。
在MSE侧管理WAF防护
登录MSE网关管理控制台。在左侧导航栏,选择。
在顶部菜单栏选择地域为华东1(杭州)、华东2(上海)、华北2(北京)、华北6(乌兰察布)、中国香港、新加坡、马来西亚(吉隆坡)、华北3(张家口)、华南1(深圳)、日本(东京)、德国(法兰克福)、美国(硅谷)。
管理WAF防护。
查看已接入的实例
在实例列表查看已开启WAF防护的实例。实例名称后显示
图标,表示该实例已开启WAF防护。关闭已接入的实例
关闭WAF防护后,MSE实例上的业务流量将不再受WAF防护,安全报表中也不再包含相关业务流量的防护数据。
关闭实例级别防护
单击目标网关WAF安全防护列的
图标后,单击关闭网关实例防护,或单击目标网关操作列的,单击确定。关闭路由级别防护
单击目标实例名称 ,在基本信息页面的左侧导航栏,选择,或单击目标网关操作列的路由配置。
单击目标路由操作列的,单击确定。
在WAF侧管理WAF防护
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,单击接入管理。
管理WAF防护。
查看已接入的MSE实例
在云产品接入页签,从左侧云产品类型列表中选择MSE。
设置防护对象和防护规则
开启WAF防护后,WAF会自动生成一个后缀为
-mse的防护对象,并为该防护对象默认开启基础防护规则。您可以在接入列表,单击已接入的实例ID,在防护对象页面,查看自动添加的防护对象,并为其配置防护规则。具体操作,请参见防护配置概述。
取消接入
取消接入后,MSE实例上的业务流量将不再受WAF防护,安全报表中也不再包含相关业务流量的防护数据。
单击目标实例名称操作列的取消接入。
页面将跳转到微服务引擎MSE控制台的网关列表页面。
在MSE侧关闭WAF防护。具体操作,请参见关闭已接入的实例。