为ALB开启WAF防护 - 负载均衡

如果您的ALB Web业务经常面临恶意入侵或需要更高的安全防护，您可以通过为ALB实例开通ALB WAF增强版，将ALB Web业务流量引流到WAF进行安全防护。ALB WAF增强版采用WAF 3.0服务化接入，相比之前的WAF 2.0透明化接入，服务化接入方式中WAF不参与流量转发，业务监听与转发由ALB负责，实现转发与防护的完全分离，避免了WAF转发额外带来的各种兼容性和稳定性问题。本文主要介绍ALB WAF增强版的优势及如何开通和管理ALB WAF增强版。

ALB WAF增强版优势

一站式安全防护
ALB WAF增强版中WAF 3.0与ALB深度集成，WAF 3.0为ALB提供一站式安全防护，可以有效识别Web业务流量的恶意特征。ALB WAF增强版实例可避免网站服务器被恶意入侵导致的性能异常等问题，从而保障业务安全和数据安全。
无转发兼容性问题
ALB WAF增强版采用WAF 3.0服务化接入的方式，WAF只负责安全防护，不参与请求转发。由ALB负责业务监听与请求转发，实现请求转发与防护的完全分离，避免WAF引入一层转发而额外带来的各种兼容性和稳定性问题。
支持更多的功能特性
与标准版相比，ALB WAF增强版增加了WAF应用安全防护功能。关于ALB功能特性差异，请参见功能特性。
对实例网络类型和协议版本无限制
ALB WAF增强版对网络类型和协议版本无限制。即公网和私网ALB实例均支持WAF增强版，IPv4和双栈协议版本的ALB实例也均支持WAF增强版。
拥有足够的资源配额
ALB WAF增强版拥有的资源配额与标准版相同，对比基础版有足够的资源配额。关于资源配额差异，请参见使用限制。
可一键开启或关闭WAF防护
ALB WAF增强版配置简单，可基于ALB实例一键开启或关闭WAF防护。支持在ALB控制台新购ALB WAF增强版实例、升级存量的基础版和标准版实例为WAF增强版。

ALB WAF增强版的使用限制

购买ALB WAF增强版实例前，请先完成实名认证。

目前支持售卖WAF增强版ALB实例的地域：

区域	地域
中国	西南1（成都）、华北1（青岛）、华北2（北京）、华南3（广州）、华东1（杭州）、华北6（乌兰察布）、华东2（上海）、华南1（深圳）、华北3（张家口）、中国香港
亚太	菲律宾（马尼拉）、印度尼西亚（雅加达）、日本（东京）、马来西亚（吉隆坡）、新加坡、泰国（曼谷）
欧洲与美洲	德国（法兰克福）、美国（硅谷）、美国（弗吉尼亚）
中东	沙特（利雅得）

仅支持状态为运行中的ALB基础版、标准版实例升级为WAF增强版。
请确保您的当前阿里云账号没有开通WAF或者已经开通WAF 3.0。
- 若您的当前账号未开通任何版本的WAF实例，您购买ALB WAF增强版实例后，开通的为按量付费WAF 3.0实例。
- 若您的当前账号已有WAF3.0包年包月实例，您购买ALB WAF增强版实例后，不会产生额外的WAF费用。
- 若您的当前账号已有WAF 2.0实例，请先释放WAF 2.0实例或者迁移至WAF 3.0。
  - 关于释放WAF 2.0实例的操作，请参见关闭WAF。
  - 关于迁移至WAF3.0的操作，请参见如何将WAF 2.0实例升级到WAF 3.0。

计费说明

创建或升级为ALB WAF增强版实例后，会产生WAF 3.0的防护费用。ALB WAF增强版实例的计费组成及相关说明如下。

收费项	计费公式	相关文档
实例费	`实例费=实例单价(美元/小时)×计费时长(小时)`	实例费
LCU费	`每小时LCU费=max{新建连接数LCU值，并发连接数LCU值，处理数据量LCU值，规则评估数LCU值}×LCU单价`	性能容量单位LCU费
公网网络费	私网ALB不收取公网网络费用，只有当您购买公网ALB才会收取公网网络费用。公网ALB通过弹性公网IP（Elastic IP Address，简称EIP）或任播弹性公网IP（ Anycast Elastic IP Address，简称Anycast EIP）提供公网能力。新创建的公网ALB默认绑定EIP，ALB实例关联的EIP将会产生EIP实例的配置费和流量费。更多信息，请参见按量付费。 ALB实例绑定Anycast EIP后，ALB实例关联的Anycast EIP将会产生Anycast EIP实例的配置费、公网费和流量传输费。更多信息，请参见计费说明。
WAF 3.0费用	WAF 3.0支持包年包月和按量付费两种计费方式。更多信息，请参见WAF 3.0包年包月计费说明和WAF 3.0按量付费计费说明。若您的当前账号没有WAF实例，购买ALB WAF增强版实例后，开通的是按量付费WAF 3.0实例。若您的当前账号已有WAF3.0包年包月实例，购买ALB WAF增强版实例后，不会产生额外的WAF费用。

为ALB实例开启WAF

新购一个WAF增强版ALB实例

登录应用型负载均衡ALB控制台。
在顶部菜单栏，选择实例所属的地域。
在实例页面，单击创建应用型负载均衡。
在应用型负载均衡（按量付费）购买页面，完成参数的配置，然后单击立即购买并根据提示完成支付。
本文仅列出强相关项，其余参数的配置请参见创建应用型负载均衡。
功能版本（实例费）：选择WAF增强版。

为已创建的ALB实例开启WAF防护

您可以为已创建的基础版或标准版ALB实例开启WAF防护。

通过应用型负载均衡ALB控制台开启WAF防护：

登录应用型负载均衡ALB控制台。
在顶部菜单栏，选择实例所属的地域。
在实例页面，找到目标实例，选择以下任意一种方式开启WAF防护。
- 方式一：
  1. 单击目标实例ID，然后单击集成服务页签。找到Web应用防火墙区域，然后单击开启防护。
  2. 在开启防护会话框，单击确定完成支付并开启WAF防护。
- 方式二：
  1. 将鼠标悬停在目标实例名称后的图标，然后在气泡框中单击Web应用安全防护区域的开启防护。
  2. 在开启防护会话框，单击确定完成支付并开启WAF防护。
- 方式三：
  1. 单击目标实例ID，在实例详情页签，找到基本信息区域中的WAF安全防护，然后单击开启防护。
  2. 在开启防护会话框，单击确定完成支付并开启WAF防护。
- 方式四：
  1. 在操作列选择 > 变配功能版本。
  2. 在应用型负载均衡（按量付费）| 变配页面，选择功能版本（实例费）为WAF增强版，单击立即购买并完成支付。

通过负载均衡SLB概览页面开启WAF防护：

登录负载均衡管理控制台。
在安全概览区域，单击立即开启防护。
在开启Web安全防护会话框，实例类型选择为应用型负载均衡（ALB），选择目标实例对应的地域，找到目标实例，然后在操作列单击开启防护。
在开启防护会话框，单击确定完成支付并开启WAF防护。

管理WAF

在ALB侧管理WAF防护

登录应用型负载均衡ALB控制台。
在顶部菜单栏，选择实例所属的地域。

管理WAF防护。

操作	步骤
查看实例是否开启WAF防护	选择以下任意一种方式查看实例是否开启WAF防护。显示防护中，表示已开启WAF防护。方式一：在实例页面，找到目标实例，单击实例ID。单击集成服务页签，在Web应用防火墙区域查看防护状态。方式二：在实例页面，找到目标实例，将鼠标悬停在实例名称后的图标。在气泡框的Web应用安全防护区域，查看防护状态。方式三：在实例页面，找到目标实例，单击实例ID。在实例详情页签，在基本信息区域查看WAF安全防护的状态。
查看WAF安全报表	查看WAF安全报表，请确保您的ALB实例已开启WAF防护。方式一：在实例页面，找到目标实例，单击实例ID。单击集成服务页签，在Web应用防火墙区域单击查看WAF安全报表进入WAF 3.0控制台的安全报表页面查看。方式二：在实例页面，找到目标实例，将鼠标悬停在实例名称后的图标。在气泡框的Web应用安全防护区域，单击查看WAF安全报表进入WAF 3.0控制台的安全报表页面查看。方式三：在实例页面，找到目标实例，单击实例ID。在实例详情页签，在基本信息区域单击安全防护右侧的查看WAF安全报表进入WAF 3.0控制台的安全报表页面查看。更多信息，请参见安全报表。
关闭WAF防护	关闭WAF防护后，ALB实例上的业务流量将不再受WAF防护，安全报表中也不再包含相关业务流量的防护数据。重要 ALB实例上的业务流量不受WAF防护后，WAF侧不会产生请求处理费。但您已经配置的防护规则仍会产生对应的功能费。建议您在取消业务接入前，先删除已配置的防护规则，避免产生额外计费。更多信息，请参见计费项、防护模块概览。方式一：在实例页面，找到目标实例，单击实例ID。单击集成服务页签，在Web应用防火墙区域，单击解除WAF防护。在关闭防护会话框，单击确定关闭WAF防护。方式二：在实例页面，找到目标实例，将鼠标悬停在目标实例名称后的图标，在气泡框的Web应用安全防护区域，单击关闭WAF防护。在关闭防护会话框，单击确定关闭WAF防护。方式三：在实例页面，找到目标实例，单击实例ID。在实例详情页签，在基本信息区域单击WAF安全防护右侧的关闭WAF防护。在关闭防护会话框，单击确定关闭WAF防护。方式四：在实例页面，找到目标实例，在操作列选择 > 变配功能版本。在应用型负载均衡（按量付费）\| 变配页面，选择功能版本（实例费）为标准版，单击立即购买并完成支付。

在WAF侧管理WAF防护

登录Web应用防火墙3.0控制台。在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）
在左侧导航栏，单击接入管理
管理WAF防护。
- 查看已接入的ALB实例
  选择云产品接入页签，从左侧云产品类型列表中选择ALB。
- 设置防护对象和防护规则
  单击目标ALB实例ID，前往防护对象页面，查看ALB实例的防护对象及其防护规则。更多信息，请参见防护配置概述。
  说明
  通过云产品接入自动添加的防护对象，资产类型为对应云产品的简称（例如ALB）且域名为空。
- 取消接入
  取消接入后，ALB实例上的业务流量将不再受WAF防护，安全报表中也不再包含相关业务流量的防护数据。
  重要
  ALB实例上的业务流量不受WAF防护后，WAF侧不会产生请求处理费。但您已经配置的防护规则仍会产生对应的功能费。建议您在取消业务接入前，先删除已配置的防护规则，避免产生额外计费。更多信息，请参见计费项、防护模块概览。
  1. 选择云产品接入页签，找到目标实例，在操作列单击取消接入。
  2. 在弹出的对话框中，查看提示信息并单击取消接入。
  3. 在取消接入面板，选择功能版本（实例费）为标准版，单击立即购买并完成支付。

常见问题

WAF 2.0透明化接入和WAF 3.0服务化接入的区别？
简单总结两者的区别：
- WAF 2.0透明化接入：客户端请求需先经过WAF检测后，再去往ALB或CLB。WAF 2.0透明化接入时请求需经过两道网关，因此WAF侧与负载均衡侧都需维护超时时间和证书等配置。
- WAF 3.0服务化接入：WAF旁路接入，客户端请求直接前往ALB，请求在转发至后端服务器之前，ALB会提取并发送请求内容至WAF侧进行检测。WAF 3.0服务化接入时请求只经过一道网关，省去了网关间证书和配置同步的步骤，不会出现证书和配置不同步等问题。
更多信息，请参见WAF 3.0与WAF 2.0对比。
ALB接入WAF的使用说明？
ALB支持WAF 3.0服务化接入，即开通ALB WAF增强版。ALB接入WAF防护时，请注意：
- 阿里云账号没有WAF 2.0实例或未开启WAF：公网和私网ALB实例均支持通过服务化接入的方式开启WAF 3.0防护，即开通WAF增强版。目前支持售卖WAF增强版ALB实例的地域，请参见ALB WAF增强版的使用限制。
- 阿里云账号已有WAF 2.0实例：公网基础版ALB实例和公网标准版ALB实例支持通过透明化接入的方式开启WAF 2.0防护，私网ALB实例不支持开启WAF 2.0防护。
  仅华东1（杭州）、华东2（上海）、华南1（深圳）、西南1（成都）、华北2（北京）、华北3（张家口）地域的ALB实例支持WAF 2.0透明化接入。
  说明
  如果您需要为ALB接入WAF 3.0防护，请先释放WAF 2.0实例或者迁移至WAF 3.0。
  - 释放WAF 2.0实例时，ALB默认不开启X-Forwarded-Proto头字段，此时直接访问ALB，可能会造成业务异常。您需要在ALB监听中开启X-Forwarded-Proto头字段。具体操作，请参见管理监听。
  - 关于释放WAF 2.0实例的操作，请参见关闭WAF。
  - 关于迁移至WAF3.0的操作，请参见如何将WAF 2.0实例升级到WAF 3.0。

CLB和ALB对透明化接入WAF 2.0和服务化接入WAF 3.0的支持情况？

产品

透明化接入WAF 2.0

服务化接入WAF 3.0

CLB

支持

关于CLB如何透明化接入WAF 2.0的相关指导，请参见：

不支持

ALB

阿里云账号已有WAF 2.0实例，ALB支持透明化接入WAF 2.0。具体操作，请参见ALB实例端口引流。
阿里云账号没有WAF 2.0实例或未开启WAF时，ALB仅支持服务化接入WAF 3.0，即购买ALB WAF增强版。

支持

支持的地域及相关操作，请参见开通和管理ALB WAF增强版。

WAF 2.0透明化接入出现超时时间和证书不同步等配置问题的原因？
WAF 2.0透明化接入时，客户端请求需先经过WAF检测后，再去往ALB或CLB，客户端请求需经过两道网关，导致WAF侧和负载均衡侧需要同步多个配置，尤其超时时间和证书变更操作容易引发配置同步的延时问题。
在使用WAF 2.0透明化接入时，如遇证书更新不及时，或调整超时时间不生效等问题，请加入钉群（钉群号：21715946），联系产品技术专家进行咨询。