防护对象和防护对象组都是防护规则的生效单元。您可以将防护对象或防护对象组关联到防护模板,实现Web应用防火墙(Web Application Firewall,简称WAF)防护。本文介绍如何添加、管理防护对象和防护对象组。
背景信息
防护对象
防护对象是接入WAF防护的域名或云产品实例,是防护规则的最小生效单元。
防护对象可通过如下两种方式生成:
自动添加:云产品接入的实例或CNAME接入的域名会自动被添加为防护对象。
手动添加:如果您需要为云产品接入的ALB实例、CLB实例或ECS实例中的某一个或多个域名单独配置防护规则时,您可以手动将域名添加为防护对象。具体操作,请参见手动添加防护对象。
不同接入方式自动添加的防护对象、手动添加防护对象的支持情况,以及防护对象规格限制说明,如下表所示。
接入方式 | 自动添加的防护对象 | 是否支持手动添加防护对象 | 规格限制 |
云产品接入(为ALB实例开启WAF防护) | ALB实例 | 支持将实例中的域名手动添加为防护对象 |
|
云产品接入(为MSE云原生网关实例开启WAF防护) | MSE实例(包括实例下的路由) | 不支持 | |
云产品接入(为FC自定义域名开启WAF防护) | 域名 | 不支持 | |
云产品接入(为七层CLB(HTTP/HTTPS)开启WAF防护、为四层CLB(TCP)开启WAF防护、为ECS开启WAF防护) | CLB实例或ECS实例 | 支持将实例中的域名手动添加为防护对象 | |
域名 | 不支持 | ||
不支持 | 支持将接入的域名手动添加为防护对象 |
防护对象组
防护对象组是防护对象的合集,也是防护规则的生效单元。您可以将多个防护对象加入到一个防护对象组,通过为防护对象组配置防护规则,实现为组内所有防护对象批量配置防护规则。
一个防护对象只能归属于一个防护对象组。
前提条件
已开通WAF 3.0服务。具体操作,请参见开通包年包月WAF 3.0、开通按量付费WAF 3.0。
已在接入管理页面完成Web业务接入。具体操作,请参见接入管理概述。
如果您需要手动添加CLB实例、ECS实例中的域名,且域名托管在中国内地服务器上,需完成阿里云ICP备案。
说明在阿里云ICP代备案管理系统提交ICP备案订单时,系统会根据您提交的基本信息自动识别本次提交订单的ICP备案类型,自动为您匹配对应备案类型需进行的ICP备案流程。
手动添加防护对象
如果您需要单独为如下域名配置防护规则,您需要手动将域名添加为防护对象:
通过云产品接入WAF的ALB实例、CLB实例或ECS实例中的域名。
通过混合云SDK集成模式接入WAF的域名。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)
在左侧导航栏,选择
在防护对象页签,单击添加防护对象。
在添加防护对象对话框,根据防护对象接入类型完成以下配置,单击确定。
云产品
如果您需要将ALB实例、CLB实例或ECS实例中的域名添加为防护对象,选择防护对象接入类型为云产品,并完成如下配置。
配置项
说明
域名
填写要防护的域名。支持填写精确域名(例如,
www.aliyundoc.com
)或通配符域名(例如,*.aliyundoc.com
)。说明通配符域名不能匹配对应的主域名,例如,
*.aliyundoc.com
不能匹配aliyundoc.com
。通配符域名不能匹配不同级别的子域名,例如,
*.aliyundoc.com
不能匹配www.example.aliyundoc.com
。通配符域名能够匹配所有同级别的子域名,例如,
*.aliyundoc.com
能够匹配www.aliyundoc.com
、example.aliyundoc.com
等。如果防护对象中同时存在精确域名和能够匹配该精确域名的通配符域名,精确域名的防护规则优先生效。
云产品
选择域名服务器对应的云产品类型。可选项:
ALB:表示应用负载均衡ALB服务。
CLB4:表示四层传统型负载均衡CLB服务。
CLB7:表示七层传统型负载均衡CLB服务。
ECS:表示云服务器ECS服务。
实例
选择域名服务器对应的实例ID。仅云产品类型为ALB时,需配置该项。
说明如果ALB实例不在列表中,请先完成云产品接入。具体操作,请参见为ALB实例开启WAF防护。
加入防护对象组
根据需要,将防护对象加入到指定的防护对象组,方便为多个防护对象批量配置防护规则。
防护对象加入对象组后,只支持通过防护对象组来配置防护规则,不再支持单独为防护对象配置防护规则。如果您希望单独为防护对象配置防护规则,可跳过该设置。
说明如果要加入的防护对象组不存在,您可以跳过该设置,在创建防护对象组后,再将防护对象加入到防护对象组。关于创建防护对象组的具体操作,请参见创建防护对象组。
混合云SDK集成
如果需要将通过混合云SDK集成模式接入WAF 3.0的域名添加为防护对象,选择防护对象接入类型为混合云SDK集成,并完成如下配置。
配置项
说明
防护对象名称
填写要添加的防护对象名称。
域名/IP
填写要防护的域名。支持填写精确域名(例如,
www.aliyundoc.com
)或通配符域名(例如,*.aliyundoc.com
)。说明通配符域名不能匹配对应的主域名,例如,
*.aliyundoc.com
不能匹配aliyundoc.com
。通配符域名不能匹配不同级别的子域名,例如,
*.aliyundoc.com
不能匹配www.example.aliyundoc.com
。通配符域名能够匹配所有同级别的子域名,例如,
*.aliyundoc.com
能够匹配www.aliyundoc.com
、example.aliyundoc.com
等。如果防护对象中同时存在精确域名和能够匹配该精确域名的通配符域名,精确域名的防护规则优先生效。
URL
填写要防护的URL路径。
加入防护对象组
根据需要,将防护对象加入到指定的防护对象组,方便为多个防护对象批量配置防护规则。
防护对象加入对象组后,只支持通过防护对象组来配置防护规则,不再支持单独为防护对象配置防护规则。如果您希望单独为防护对象配置防护规则,可跳过该设置。
说明如果要加入的防护对象组不存在,您可以跳过该设置,在创建防护对象组后,再将防护对象加入到防护对象组。关于创建防护对象组的具体操作,请参见创建防护对象组。
成功添加防护对象后,您可以防护对象列表,查看并管理防护对象。具体操作,请参见管理防护对象。
创建防护对象组
您可以创建防护对象组,并关联防护对象,批量为防护对象配置防护规则。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)
在左侧导航栏,选择
在防护对象组页签,单击新建对象组。
在新建防护对象组对话框,填写防护对象组名称、选择关联防护对象、添加备注信息后,单击确定。
说明关联防护对象中的待选择对象列表只包含当前未加入任何防护对象组,并且只应用了默认防护规则模板的防护对象。
如果防护对象已经归属于其他防护对象组,您必须先将该防护对象从原有防护对象组中移出,然后才能将该防护对象加入到当前防护对象组。具体操作,请参见编辑防护对象组。
成功添加防护对象组后,您可以在防护对象组页签,管理防护对象组。具体操作,请参见管理防护对象组。
管理防护对象
您可以在防护对象页签,查看和管理防护对象。
功能 | 说明 | |
设置 | 客户端IP设置 | 如果WAF前存在高防或CDN等反向代理设备,您可以设置客户端IP判定方式,指定字段识别真实的客户端IP,以供WAF识别并进行防护规则匹配(如IP黑名单)和报表展示(如攻击源IP)。 单击目标防护对象操作列的设置,配置WAF前是否有七层代理(高防/CDN等)、客户端IP判定方式。更多信息,请参见WAF前是否有七层代理配置信息。 说明
|
cookie设置 | 使用CC防护、扫描防护等功能时,Cookie中不包含
| |
滑块cookie | 滑块验证通过后,WAF会默认下发滑块cookie 重要
| |
查看并配置防护规则 | 单击目标防护对象操作列的查看防护规则,在防护规则页面,为防护对象配置防护规则。 | |
加入防护对象组 | 定位到目标防护对象,选择操作列的 。如需将多个防护对象加入到同一个对象组,可以选中多个防护对象,单击列表下方的加入防护组。 | |
查看防护日志 | 选择目标防护对象操作列的开启或关闭日志服务。 ,为防护对象开启日志采集、查询相关日志数据。具体操作,请参见 | |
删除防护对象 | 定位到目标防护对象,选择操作列的 。说明
| |
为防护对象绑定或解除标签 | 通过绑定的标签,您可以在控制台快速查找指定资源。
|
管理防护对象组
您可以在防护对象组页签,查看和管理防护对象组。
功能 | 说明 | |
编辑防护对象组 | 单击目标防护对象组操作列的编辑,将防护对象从待选择对象移入已选择对象组,或将防护对象移出已选择对象组。 说明
| |
查看并配置防护规则 | 单击目标防护对象操作列的配置规则,在防护规则页面,为防护对象组配置防护规则。为防护对象组配置的规则将对对象组中的所有防护对象生效。 | |
删除防护对象组 | 定位到目标防护对象组,单击操作列的删除。 说明 删除防护对象组即取消当前对象组内所有防护对象的关联,所有防护对象将自动应用默认防护规则模板。 |