WAF独享集群在WAF公共集群防护能力的基础上,为您提供与实际业务特性相结合的定制化服务,包括非标准端口接入、SNI认证、自定义防护响应页面、HTTPS协议加密设置、长链接超时设置。
如果您的业务系统包含上述设计,您可以依据业务体系配置独享集群,并将网站业务接入独享集群进行防护。
独享集群和公共集群对比
对比项 | WAF公共集群 | WAF独享集群 |
集群地区 | 公共集群在全球共部署14个防护节点,分布在以下地区:北京、杭州、深圳、中国香港、新加坡、马来西亚、美西、澳洲、德国、印尼、迪拜、日本。 业务接入公共集群防护时,根据源站IP自动匹配最佳地区的防护资源。 | 独享集群包括主、备集群。使用独享集群时,您可以从支持的地区中指定独享集群主集群的地区,备集群地区不可选择。 重要 主集群地区一经设置,不可更改。 业务接入独享集群防护时,默认使用独享集群主集群地区的防护资源;备集群则提供备用服务,在主集群出故障时承担业务,或在发生攻击时进行防御。 |
集群端口 | 如果您的业务使用特殊端口,则在WAF添加网站配置时,您需要自定义端口。公共集群支持特定的非标准端口,具体内容,请参见WAF支持的端口。 | 独享集群比公共集群支持范围更广的非标准端口,理论上仅不支持22、53、9100、4431、4646、8301、6060、8600、56688、15001、4985、4986、4987等系统端口。 使用独享集群自定义端口时,您必须先在独享集群设置中开启服务器端口,然后在添加网站到独享集群防护时,选择已开启的端口。 说明 独享集群最多支持开启50个自定义端口,默认只开启了80和443端口。 |
SNI认证 | 业务接入WAF公共集群后,如果客户端不兼容SNI,则可能导致HTTPS业务访问异常。更多信息,请参见SNI兼容性导致HTTPS访问异常。 | 配置独享集群时,您可以上传默认SNI证书。这样,在业务接入独享集群后,即使暂不支持标准SNI协议的客户端设备也能正常访问网站。 |
防护响应页面 | WAF公共集群使用默认的防护响应页面,例如,异常访问被拦截时返回默认的拦截提示页面。 | 如果您希望防护响应页面与您的网站设计风格保持一致,您可以使用独享集群自定义防护响应页面。 您可以将设计好的静态页面上传到阿里云CDN,并配置静态页面URL作为WAF的防护响应页面,提升网站用户体验。 |
HTTPS协议加密设置 | 在公共集群配置中,您可以根据业务安全需求选择合适的TLS协议版本和加密套件。 | 在独享集群配置中,您可以根据业务安全需求选择合适的TLS协议版本和加密套件。 |
长链接超时限制 | 公共集群不支持该项配置。 | 在独享集群配置中,您可以根据业务需求设置长链接限制时长,减少网络连接问题占用资源。 |
业务接入WAF独享集群
前提条件
要使用WAF独享集群,您必须先购买WAF独享版或升级现有WAF版本到独享版。更多信息,请参见续费说明。
操作步骤
开通WAF独享版后,您可以参照以下步骤,接入网站业务到WAF独享集群进行防护。假设您的业务端口是90(该端口号不在公共集群支持的非标准端口范围内,要使用WAF防护该端口上的业务,必须接入WAF独享集群)。
配置独享集群。
登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择 。
在独享设置页面,根据您的业务特性配置独享集群。
本示例中,您需要定位到服务器端口区域,在HTTP协议下添加90端口。具体操作,请参见设置独享集群。
单击保存设置。
WAF将根据您添加的集群配置为您配置独享集群。
将具有定制化需求的业务(例如,端口是90的HTTP业务)接入独享集群进行防护。
已添加网站配置
在左侧导航栏,选择
。定位到要接入独享集群防护的网站域名,将快捷操作下的防护资源设置为独享集群。
说明只有独享版WAF实例才支持防护资源选项。
可选:根据需要编辑网站配置(例如,服务器端口修改为HTTP协议90端口)。更多信息,请参见添加域名。
新添加网站配置
在左侧导航栏,选择
。在域名列表页签,单击网站接入。
可选:在添加域名页面,选择接入模式为Cname接入。
如果当前页面已经自动选择了Cname接入,请跳过该步骤。
单击手动接入页签,在填写网站信息任务中,将防护资源设置为独享集群,并填写实际业务信息(例如,在服务器端口中添加HTTP协议90端口)。
说明选择独享集群防护后,服务器端口只能从独享集群设置中已开启的服务器端口范围内选择。更多信息,请参见配置独享集群。
更多配置说明,请参见添加域名。
单击下一步,并根据页面提示修改域名的DNS解析,将实际业务切换到WAF进行防护。
具体操作,请参见修改域名DNS解析设置。
业务接入WAF独享集群防护后,如果业务特性发生变化且涉及到独享集群配置,请参见步骤1(更新集群配置)、步骤2(编辑网站配置)进行调整。