全部产品
Search

搜索本产品

    负载均衡:为 ALB 开启 WAF 防护

    文档中心

    负载均衡:为 ALB 开启 WAF 防护

    更新时间:Feb 02, 2026

    为 ALB 实例开启 WAF 防护,可抵御 Web 恶意攻击。WAF 增强版 ALB 实例采用 WAF 3.0 服务化接入架构,将安全检测与流量转发分离,避免传统 WAF 接入模式带来的网络延迟、配置复杂及单点故障等问题。

    工作原理

    WAF 增强版 ALB 实例采用 WAF 3.0 服务化接入架构,WAF 不作为独立的网络节点(网关)参与流量转发,仅负责流量提取、检测与防护。这避免了透明接入模式下,引入额外转发网关带来的网络延迟、配置复杂性(如证书同步)和潜在的单点故障风险。

    可参考WAF 3.0与WAF 2.0对比,了解更多区别。
    image

    1. 请求接收:客户端请求到达 ALB 实例,由 ALB 负责流量接收。

    2. 旁路检测:在请求转发给后端服务器之前,ALB 通过内嵌 SDK,同步将流量提取并发送至 WAF 3.0 安全检测集群。

    3. 安全分析:WAF 3.0 根据配置的防护规则(如Web核心防护、恶意IP惩罚等)对请求内容进行实时分析,将检测结果(放行或拦截)返回给 ALB。

    4. 决策执行:ALB 根据从 WAF 集群收到的检测结果,执行最终动作:

      • 放行:ALB 将原始请求正常转发至后端服务器。

      • 拦截:ALB 直接阻断该请求,并向客户端返回一个拦截页面(通常是405状态码),请求不会到达后端服务器。

    适用范围

    针对 WAF 增强版 ALB 实例:

    • 支持的地域:

      区域

      地域

      中国

      西南1(成都)、华北1(青岛)、华北2(北京)、华南3(广州)、华东1(杭州)、华北6(乌兰察布)、华东2(上海)、华南1(深圳)、华北3(张家口)、中国香港

      亚太

      菲律宾(马尼拉)、印度尼西亚(雅加达)、日本(东京)、马来西亚(吉隆坡)、新加坡、泰国(曼谷)、韩国(首尔)

      欧洲与美洲

      德国(法兰克福)、美国(硅谷)、美国(弗吉尼亚)、墨西哥

      中东

      沙特(利雅得)- 合作伙伴运营

    • 采用 WAF 3.0 服务化接入架构。如果账号下已有 WAF 2.0 实例,需先释放WAF 2.0实例迁移至WAF 3.0

      ALB 默认不开启 X-Forwarded-Proto 头字段。释放 WAF 2.0 实例后,直接访问 ALB 可能会因后端服务无法正确识别协议(HTTP/HTTPS)而导致业务异常(例如,无限重定向)。为避免此问题,务必在 ALB 监听配置中手动开启X-Forwarded-Proto请求头。

    • 支持的功能:开通后,WAF 的以下功能将不受支持:信息泄露防护、Bot 管理网页防爬场景化防护中的自动集成 Web SDK。

    为 ALB 开启 WAF 防护

    开启后,将自动接入已开通的 WAF 实例。未开通 WAF 实例时,将自动开通 WAF 按量付费实例。

    WAF 实例部署地域为中国内地、非中国内地。将根据 ALB 实例所属地域是否归属于中国内地,确定接入中国内地/非中国内地的 WAF 实例。

    创建 WAF 增强型 ALB 实例

    控制台

    前往ALB 购买页功能版本(实例费)选择WAF增强版。其余参数配置可参考创建 ALB 实例

    API

    调用CreateLoadBalancer,配置LoadBalancerEditionStandardWithWaf,创建 WAF 增强版 ALB 实例。

    为已创建的 ALB 开启 WAF 防护

    基础版或标准版 ALB 实例均支持开启 WAF 防护,升级为 WAF 增强版。

    • 开启时,需确保实例处于运行中状态。

    • 不同功能版本的实例费单价不同,实际购买价格以购买页为准。

    控制台

    1. 前往ALB 实例列表页

    2. 将鼠标悬停在目标实例 ID 后的未开启图标,在Web应用安全防护区域,单击开启防护

    API

    调用UpdateLoadBalancerEdition,配置LoadBalancerEditionStandardWithWaf,将 ALB 实例版本变更为 WAF 增强版。

    了解防护记录

    为 ALB 开启 WAF 防护后,WAF 将自动创建一个后缀为-alb的防护对象,并默认启用 Web 核心防护规则。该规则默认启用安全报表,展示对应规则的防护记录。

    如需满足其他安全防护需求,可配置安全防护规则
    若多个域名解析指向了同一 ALB 实例,且需要为不同域名配置不同的防护规则,则需要将域名添加为防护对象

    控制台

    1. 前往ALB 实例列表页

    2. 将鼠标悬停在目标实例 ID 后的未开启图标,在Web应用安全防护区域,单击查看WAF安全报表

    关闭 WAF 防护

    关闭 WAF 防护后,ALB 实例的业务流量将不再受 WAF 防护,安全报表不再包含相关业务流量的防护数据,WAF 侧不再产生请求处理费。

    但由于 WAF 实例本身及防护规则的存在,仍会产生功能费,需关闭WAF完全停止计费。

    • 关闭 WAF 防护:关闭 WAF 防护后,ALB 实例将从 WAF 增强版降配到标准版,变配过程对业务无影响。

    • 临时关闭 WAF:若业务出现大量误拦截,可临时关闭 WAF 防护,最快速度恢复业务。

      • 临时关闭后,ALB 实例仍为 WAF 增强版。流量依然会流经ALB 内嵌的WAF SDK,但不再转发至 WAF 集群检测,直接由 ALB 转发至后端。

      • 临时停用 WAF,将影响 WAF 实例下所有防护对象,请谨慎操作。

    控制台

    关闭 WAF 防护

    1. 前往ALB 实例列表页

    2. 将鼠标悬停在目标实例 ID 后的未开启图标,在Web应用安全防护区域,单击关闭WAF防护

    临时关闭 WAF

    1. 前往WAF控制台 - 防护对象页面

    2. 在页面右上角,关闭WAF防护状态,即置为停用

    API

    调用UpdateLoadBalancerEdition,配置LoadBalancerEditionStandard,将 ALB 实例版本变更为标准版。

    应用于生产环境

    • 灰度发布:优先在业务低峰期、非生产环境中,为与生产环境配置类似的 ALB 实例开启 WAF 防护,确认业务正常后,再为生产环境的 ALB 实例开启。

    • 持续监控:开启防护后,关注业务监控指标和网络性能指标。关注安全报表,并配置云监控通知,及时了解攻击事件与安全事件。

    • 规则调优:定期回顾 WAF 拦截日志,分析误拦截情况,调整防护规则优化防护精度。

    计费说明

    image

    • 实例费实例费=实例单价(美元/小时)×计费时长(小时)

    • LCU费每小时LCU费=max{新建连接数LCU值,并发连接数LCU值,处理数据量LCU值,规则评估数LCU值}×LCU单价

    • 公网网络费:

      • 仅公网 ALB 实例收取公网网络费,私网 ALB 实例不收取。

      • 公网 ALB 实例通过 EIP 或 Anycast EIP 提供公网能力,由绑定的 EIPAnycast EIP收取费用。

    • WAF 3.0 计费:支持包年包月按量付费两种计费方式。

      • 未开通 WAF 实例时,创建 WAF 增强版 ALB 实例,将自动开通 WAF 按量付费实例并按使用量计费。

      • 已有 WAF 3.0 包年包月实例时,创建 WAF 增强版 ALB 实例后,不会产生额外的 WAF 费用。

    常见问题

    ALB 是否支持接入 WAF 2.0 防护?

    • 账号已有WAF 2.0实例:公网基础版和标准版 ALB 实例支持透明化接入 WAF 2.0 防护,支持的地域:华东1(杭州)、华东2(上海)、华南1(深圳)、西南1(成都)、华北2(北京)、华北3(张家口)。私网 ALB 实例不支持接入 WAF 2.0 防护。

    • 账号没有WAF 2.0实例或未开启 WAF 时,公网和私网 ALB 实例均支持服务化接入WAF 3.0,即创建 WAF 增强型 ALB 实例。