All Products
Search
Document Center

Server Load Balancer:Aktifkan proteksi WAF untuk instans ALB

Last Updated:May 13, 2026

Aktifkan proteksi Web Application Firewall (WAF) untuk instans Application Load Balancer (ALB) Anda guna melindungi dari eksploitasi web umum. Instans ALB yang diaktifkan WAF menggunakan model integrasi WAF 3.0 SDK, yang memisahkan inspeksi keamanan dari penerusan trafik. Desain ini menghindari masalah umum pada penerapan WAF inline lama, seperti latensi jaringan, konfigurasi kompleks, dan single point of failure (SPOF).

Cara kerja

Instans ALB yang diaktifkan WAF menggunakan model integrasi WAF 3.0 SDK. Dalam model ini, WAF tidak berperan sebagai node jaringan inline (gateway) untuk penerusan trafik. Sebaliknya, WAF hanya mengekstraksi, menginspeksi, dan melindungi trafik. Pendekatan ini menghindari latensi jaringan, kompleksitas konfigurasi (seperti sinkronisasi sertifikat), serta potensi single point of failure yang terkait dengan mode proxy transparan.

Untuk informasi lebih lanjut, lihat Perbandingan WAF 3.0 dan WAF 2.0.
  1. Penerimaan permintaan: Instans ALB menerima permintaan dari klien.

  2. Inspeksi out-of-band: Sebelum meneruskan permintaan ke server backend, instans ALB menggunakan SDK tersemat untuk mengekstraksi dan mengirim trafik secara sinkron ke kluster inspeksi keamanan WAF 3.0.

  3. Analisis keamanan: WAF 3.0 menganalisis konten permintaan secara real time berdasarkan aturan proteksi yang Anda konfigurasikan, seperti proteksi inti web dan pemblokiran IP berbahaya. WAF kemudian mengembalikan hasil inspeksi (allow atau block) ke instans ALB.

  4. Penerapan keputusan: Instans ALB bertindak berdasarkan hasil inspeksi yang diterima dari kluster WAF:

    • Allow: Instans ALB meneruskan permintaan asli ke server backend.

    • Block: Instans ALB memblokir permintaan dan mengembalikan halaman intersepsi ke klien, biasanya dengan kode status 403. Permintaan tersebut tidak mencapai server backend.

Catatan penggunaan

Untuk instans ALB yang diaktifkan WAF:

  • Wilayah yang didukung:

    Area

    Region

    Tiongkok

    Tiongkok (Chengdu), Tiongkok (Qingdao), Tiongkok (Beijing), Tiongkok (Guangzhou), Tiongkok (Hangzhou), Tiongkok (Ulanqab), Tiongkok (Shanghai), Tiongkok (Shenzhen), Tiongkok (Zhangjiakou), Tiongkok (Hong Kong), Tiongkok (Heyuan)

    Asia Pasifik

    Filipina (Manila), Indonesia (Jakarta), Jepang (Tokyo), Malaysia (Kuala Lumpur), Singapura, Thailand (Bangkok), Korea Selatan (Seoul)

    Eropa & Amerika

    Jerman (Frankfurt), AS (Silicon Valley), AS (Virginia), Meksiko (Queretaro)

    Timur Tengah

    Arab Saudi (Riyadh), UEA (Dubai)

  • Instans ALB yang diaktifkan WAF menggunakan model integrasi WAF 3.0 SDK. Jika Anda memiliki instans WAF 2.0 di akun Anda, Anda harus terlebih dahulu melepas instans WAF 2.0 atau memigrasikannya ke WAF 3.0.

    Secara default, ALB tidak menambahkan header X-Forwarded-Proto ke permintaan. Setelah Anda melepas instans WAF 2.0, mengakses instans ALB secara langsung dapat menyebabkan masalah layanan seperti redirect tak berujung karena server backend tidak dapat mengidentifikasi protokol asli (HTTP atau HTTPS). Untuk mencegah masalah ini, Anda harus mengaktifkan secara manual header permintaan X-Forwarded-Proto dalam konfigurasi listener ALB.

  • Instans ALB yang diaktifkan WAF tidak mendukung fitur Pencegahan kebocoran data dari WAF.

Aktifkan proteksi WAF untuk instans ALB

Setelah Anda mengaktifkan proteksi WAF, instans ALB akan secara otomatis terintegrasi dengan instans WAF Anda. Jika Anda belum memiliki instans WAF, instans WAF dengan metode bayar sesuai penggunaan akan dibuat secara otomatis.

Instans WAF diterapkan di wilayah dalam Tiongkok daratan dan di luar Tiongkok daratan. Instans ALB Anda terintegrasi dengan instans WAF di area yang sama.

Buat instans ALB yang diaktifkan WAF

Konsol

Saat Anda membuat instans ALB, atur Edition (biaya instans) menjadi WAF-enabled.

API

Panggil CreateLoadBalancer dan atur parameter LoadBalancerEdition menjadi StandardWithWaf untuk membuat instans ALB yang diaktifkan WAF.

Aktifkan WAF untuk instans yang sudah ada

Anda dapat mengaktifkan proteksi WAF untuk instans ALB Basic atau Standard dengan melakukan upgrade ke edisi WAF-enabled.

  • Sebelum mengaktifkan proteksi WAF, pastikan instans berada dalam status Running.

  • Harga satuan biaya instans bervariasi berdasarkan edisi. Harga yang ditampilkan di halaman pembelian bersifat final.

Konsol

  1. Buka halaman ALB Instances.

  2. Arahkan kursor ke ikon 未开启 di sebelah ID instans target. Di bagian Web Application Firewall, klik Enable WAF.

API

Panggil UpdateLoadBalancerEdition dan atur parameter LoadBalancerEdition menjadi StandardWithWaf untuk melakukan upgrade instans ALB ke edisi WAF-enabled.

Lihat catatan proteksi

Setelah Anda mengaktifkan proteksi WAF untuk instans ALB, WAF secara otomatis membuat objek yang dilindungi dengan akhiran -alb dan mengaktifkan aturan proteksi inti web secara default. Aturan ini secara otomatis menghasilkan laporan keamanan yang menampilkan catatan proteksinya.

Untuk memenuhi kebutuhan keamanan lainnya, Anda dapat mengonfigurasi aturan proteksi.
Jika beberapa nama domain diarahkan ke instans ALB yang sama dan Anda perlu mengonfigurasi aturan proteksi berbeda untuk setiap nama domain, Anda harus menambahkan nama domain tersebut sebagai objek yang dilindungi.

Konsol

  1. Buka halaman ALB Instances.

  2. Arahkan kursor ke ikon 未开启 di sebelah ID instans target. Di bagian Web Application Firewall, klik View WAF Security Report.

Nonaktifkan proteksi WAF

Menonaktifkan proteksi WAF berarti trafik ke instans ALB Anda tidak lagi dilindungi oleh WAF. Akibatnya, laporan keamanan tidak akan mencakup data untuk trafik tersebut, dan Anda tidak lagi dikenai biaya pemrosesan permintaan WAF.

Namun, karena instans WAF dan aturan proteksinya masih ada, Anda tetap dikenai biaya layanan WAF. Untuk sepenuhnya menghentikan penagihan, Anda harus menonaktifkan WAF.

  • Nonaktifkan proteksi WAF: Setelah Anda menonaktifkan proteksi WAF, instans ALB Anda diturunkan spesifikasinya dari WAF-enabled ke Standard. Perubahan ini tidak memengaruhi layanan Anda.

  • Nonaktifkan sementara WAF: Jika banyak permintaan sah diblokir secara salah, Anda dapat sementara menonaktifkan proteksi WAF untuk segera memulihkan layanan Anda.

    • Setelah Anda sementara menonaktifkan proteksi WAF, instans ALB tetap menjadi instans WAF-enabled. Trafik tetap mengalir melalui SDK WAF yang tertanam di instans ALB, tetapi tidak lagi diteruskan ke kluster WAF untuk inspeksi. Sebagai gantinya, instans ALB langsung meneruskan trafik ke server backend.

    • Menonaktifkan sementara WAF memengaruhi semua objek yang dilindungi yang terkait dengan instans WAF. Lakukan dengan hati-hati.

Konsol

Nonaktifkan proteksi WAF

  1. Buka halaman ALB Instances.

  2. Arahkan kursor ke ikon 未开启 di sebelah ID instans target. Di bagian Web Application Firewall, klik Disable WAF.

Nonaktifkan sementara WAF

  1. Buka halaman Protected Objects page in the WAF console.

  2. Di pojok kanan atas halaman, matikan sakelar WAF Protection Status untuk mengatur status menjadi Disable.

API

Panggil UpdateLoadBalancerEdition dan atur parameter LoadBalancerEdition menjadi Standard untuk menurunkan spesifikasi instans ALB ke edisi Standard.

Penerapan di lingkungan produksi

  • Pengujian canary: Aktifkan proteksi WAF untuk instans ALB di lingkungan non-produksi yang menyerupai lingkungan produksi Anda terlebih dahulu, sebaiknya selama jam sepi. Setelah memastikan layanan berjalan sesuai harapan, aktifkan proteksi tersebut untuk instans ALB di lingkungan produksi.

  • Pemantauan berkelanjutan: Setelah mengaktifkan proteksi WAF, pantau metrik bisnis dan metrik kinerja jaringan Anda. Periksa laporan keamanan dan konfigurasikan notifikasi CloudMonitor agar tetap mendapat informasi mengenai serangan dan event keamanan.

  • Penyesuaian aturan: Tinjau secara berkala log intersepsi WAF, analisis false positive, lalu sesuaikan aturan proteksi untuk meningkatkan akurasi.

Penagihan

  • Biaya instans: Biaya instans = Harga satuan instans (USD/jam) × Durasi penagihan (jam)

  • Biaya LCU: Biaya LCU per jam = max{LCU untuk koneksi baru, LCU untuk koneksi bersamaan, LCU untuk data yang diproses, LCU untuk evaluasi aturan} × Harga satuan LCU

  • Biaya transfer data Internet:

    • Biaya transfer data Internet hanya berlaku untuk instans ALB yang menghadap Internet, bukan untuk instans internal.

    • Instans ALB yang menghadap Internet menggunakan Elastic IP Addresses (EIP) atau Anycast EIP. Anda dikenai biaya terpisah untuk EIP atau Anycast EIP yang terkait.

  • Penagihan WAF 3.0: Web Application Firewall (WAF) 3.0 mendukung metode penagihan subscription dan pay-as-you-go.

    • Jika Anda tidak memiliki instans WAF, instans WAF dengan metode bayar sesuai penggunaan akan disediakan secara otomatis, dan Anda dikenai biaya berdasarkan penggunaannya saat membuat instans ALB yang diaktifkan WAF.

    • Jika Anda memiliki instans WAF 3.0 dengan metode subscription, Anda tidak akan dikenai biaya WAF tambahan saat membuat instans ALB yang diaktifkan WAF.

FAQ

Integrasi ALB dengan WAF 2.0

  • Jika Anda memiliki instans WAF 2.0, Anda dapat mengintegrasikan instans ALB Basic dan Standard yang menghadap Internet dengan instans WAF 2.0 dalam mode proxy transparan. Fitur ini didukung di wilayah berikut: Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Shenzhen), Tiongkok (Chengdu), Tiongkok (Beijing), dan Tiongkok (Zhangjiakou). Instans ALB internal tidak dapat diintegrasikan dengan WAF 2.0.

  • Jika Anda belum memiliki instans WAF 2.0 atau belum mengaktifkan WAF, baik instans ALB yang menghadap Internet maupun internal mendukung model integrasi WAF 3.0 SDK. Dalam hal ini, Anda dapat membuat instans ALB yang telah diaktifkan WAF.