全部产品
Search

搜索本产品

    Server Load Balancer:Aktifkan proteksi WAF untuk instans ALB

    文档中心

    Server Load Balancer:Aktifkan proteksi WAF untuk instans ALB

    更新时间:Dec 03, 2025

    Aktifkan proteksi Web Application Firewall (WAF) untuk instans Application Load Balancer (ALB) Anda guna melindunginya dari eksploitasi web umum. Instans ALB yang diaktifkan WAF menggunakan model integrasi WAF 3.0 SDK, yang memisahkan inspeksi keamanan dari penerusan traffic. Desain ini menghindari masalah umum pada penerapan WAF inline lama, seperti latensi jaringan tinggi, konfigurasi kompleks, dan potensi single point of failure (SPOF).

    Cara kerja

    Instans ALB yang diaktifkan WAF menggunakan model integrasi WAF 3.0 SDK. Dalam model ini, WAF tidak bertindak sebagai node jaringan inline (gateway) dalam jalur penerusan. Sebaliknya, WAF hanya bertanggung jawab atas ekstraksi traffic, inspeksi, dan perlindungan. Pendekatan ini menghindari latensi jaringan tinggi, konfigurasi kompleks (seperti pengaturan sinkronisasi sertifikat), serta potensi SPOF yang ditimbulkan oleh mode proxy transparan pada penerapan WAF lama.

    Untuk informasi selengkapnya, lihat Perbandingan antara WAF 3.0 dan WAF 2.0.

    1. Penerimaan permintaan: Instans ALB menerima permintaan dari klien.

    2. Inspeksi bypass: Sebelum meneruskan permintaan ke server backend, ALB menggunakan Software Development Kit (SDK) tersemat untuk mengekstraksi dan mengirim data traffic secara sinkron ke kluster inspeksi keamanan WAF 3.0.

    3. Analisis keamanan: WAF 3.0 menganalisis konten permintaan secara real time berdasarkan aturan proteksi yang Anda konfigurasikan, seperti proteksi inti web dan pemblokiran IP berbahaya. WAF kemudian mengembalikan hasil inspeksi (izinkan atau blokir) ke ALB.

    4. Penerapan keputusan: ALB bertindak berdasarkan hasil inspeksi dari WAF:

      • Izinkan: ALB meneruskan permintaan asli ke server backend.

      • Blokir: ALB segera memblokir permintaan dan mengembalikan halaman intersepsi ke klien (biasanya dengan kode status 405). Permintaan tidak mencapai server backend.

    Catatan penggunaan

    Untuk instans ALB yang diaktifkan WAF:

    • Wilayah yang didukung:

      Area

      Region

      Tiongkok

      China (Chengdu), China (Qingdao), China (Beijing), China (Guangzhou), China (Hangzhou), China (Ulanqab), China (Shanghai), China (Shenzhen), China (Zhangjiakou), dan China (Hong Kong)

      Asia Pasifik

      Filipina (Manila), Indonesia (Jakarta), Jepang (Tokyo), Malaysia (Kuala Lumpur), Singapura, Thailand (Bangkok), dan Korea Selatan (Seoul)

      Eropa dan Amerika

      Jerman (Frankfurt), AS (Virginia), AS (Silicon Valley), dan Meksiko

      Timur Tengah

      SAU (Riyadh - Partner Region)

    • Versi WAF: Anda harus menggunakan WAF 3.0. Jika akun Anda memiliki instans WAF 2.0, Anda harus terlebih dahulu menghentikan tugas instans WAF 2.0 atau memigrasikannya ke WAF 3.0.

      Secara default, ALB tidak mengaktifkan header X-Forwarded-Proto pada permintaan yang diteruskan ke kelompok server backend. Setelah Anda menghentikan tugas instans WAF 2.0, mengakses ALB secara langsung dapat menyebabkan pengecualian layanan, seperti pengalihan loop tak terbatas, karena layanan backend tidak dapat mengidentifikasi protokol (HTTP/HTTPS) dengan benar. Untuk mencegah masalah ini, Anda harus mengaktifkan secara manual header permintaan X-Forwarded-Proto dalam konfigurasi listener ALB.

    • Ketersediaan fitur: WAF untuk instans ALB tidak mendukung fitur berikut: modul Pencegahan kebocoran data dan fitur integrasi Web SDK otomatis untuk aturan anti-crawler pada modul Manajemen bot.

    Aktifkan proteksi WAF untuk instans ALB

    Saat Anda mengaktifkan proteksi WAF, instans ALB Anda akan secara otomatis terintegrasi dengan instans WAF yang sudah ada. Jika Anda belum memiliki instans WAF, instans WAF dengan model bayar sesuai penggunaan akan dibuat secara otomatis.

    Area untuk instans WAF meliputi Chinese Mainland dan Outside Chinese Mainland. Bergantung pada apakah wilayah instans ALB Anda berada di Daratan Tiongkok, instans tersebut akan terhubung ke instans WAF di area yang sesuai.

    Buat instans ALB yang diaktifkan WAF

    Konsol

    Buka halaman pembelian ALB. Atur Edition menjadi WAF Enabled dan konfigurasikan parameter lainnya dengan merujuk pada Buat dan kelola instans ALB.

    API

    Untuk membuat instans ALB yang diaktifkan WAF, panggil operasi CreateLoadBalancer dan atur parameter LoadBalancerEdition menjadi StandardWithWaf.

    Aktifkan proteksi WAF untuk instans ALB yang sudah ada

    Anda dapat mengaktifkan proteksi WAF untuk instans ALB Basic dan Standard, yaitu meningkatkannya ke edisi yang diaktifkan WAF.

    • Sebelum memulai, pastikan instans target berada dalam status Running.

    • Harga satuan untuk instans ALB bervariasi berdasarkan edisi instans. Lihat harga yang ditampilkan di halaman pembelian.

    Konsol

    1. Buka halaman Instans ALB.

    2. Arahkan kursor ke ikon 未开启 di samping ID instans target. Di bagian WAF Protection, klik Enable WAF.

    API

    Untuk meningkatkan edisi instans ALB Anda ke edisi yang diaktifkan WAF, panggil operasi UpdateLoadBalancerEdition dan atur parameter LoadBalancerEdition menjadi StandardWithWaf.

    Lihat log proteksi

    Saat Anda mengaktifkan proteksi WAF untuk instans ALB, WAF secara otomatis membuat objek yang dilindungi dengan nama yang diakhiri -alb dan secara default mengaktifkan aturan proteksi inti web untuk objek tersebut. Aturan ini secara default mengaktifkan laporan keamanan untuk objek yang dilindungi, yang menampilkan log proteksi.

    Untuk memenuhi persyaratan keamanan lainnya, konfigurasikan aturan proteksi.
    Jika beberapa nama domain diarahkan ke instans ALB yang sama dan Anda perlu mengonfigurasi aturan proteksi berbeda untuk setiap domain, Anda harus menambahkan nama domain tersebut sebagai objek yang dilindungi.

    Konsol

    1. Buka halaman Instans ALB.

    2. Arahkan kursor ke ikon 未开启 di samping ID instans target. Di bagian WAF Protection, klik View WAF Security Report.

    Nonaktifkan proteksi WAF

    Setelah Anda menonaktifkan proteksi WAF, traffic ke instans ALB Anda tidak lagi dilindungi oleh WAF. Laporan keamanan tidak akan lagi mencakup data proteksi untuk traffic ini, dan Anda tidak akan dikenai biaya pemrosesan permintaan oleh WAF.

    Namun, karena instans WAF dan aturan proteksinya masih ada, Anda tetap akan dikenai biaya layanan WAF. Untuk sepenuhnya menghentikan semua penagihan, Anda harus menghentikan tugas layanan WAF.

    Konsol

    Nonaktifkan proteksi sementara

    Jika traffic layanan Anda memicu banyak positif palsu dan sebagian besar traffic diblokir, nonaktifkan sementara proteksi WAF untuk segera memulihkan layanan Anda. Dalam kasus ini, instans ALB tetap berada pada edisi yang diaktifkan WAF. Traffic tetap mengalir melalui SDK WAF yang tertanam di ALB tetapi tidak lagi diteruskan ke kluster WAF untuk inspeksi. Sebaliknya, traffic diteruskan langsung ke kelompok server backend.

    1. Buka Konsol WAF - halaman Objek yang Dilindungi.

    2. Di pojok kanan atas halaman, matikan WAF Protection Status.

    Nonaktifkan proteksi secara permanen

    Saat Anda menonaktifkan proteksi WAF, instans ALB Anda diturunkan spesifikasinya dari edisi yang diaktifkan WAF ke edisi Standard. Perubahan ini tidak mengganggu layanan Anda.

    1. Buka halaman Instans ALB.

    2. Arahkan kursor ke ikon 未开启 di samping ID instans target. Di bagian WAF Protection, klik Disable WAF.

    API

    Untuk menurunkan spesifikasi instans ALB yang diaktifkan WAF ke edisi Standard, panggil operasi UpdateLoadBalancerEdition dan atur parameter LoadBalancerEdition menjadi Standard.

    Penerapan di lingkungan produksi

    • Pengujian Canary: Mulailah dengan mengaktifkan proteksi WAF untuk instans ALB di lingkungan yang menyerupai lingkungan produksi Anda, sebaiknya selama jam sepi. Setelah Anda memastikan layanan berjalan sesuai harapan, aktifkan proteksi untuk instans ALB produksi Anda.

    • Pemantauan berkelanjutan: Untuk menerima notifikasi tentang serangan dan event keamanan lainnya, periksa secara berkala laporan keamanan dan konfigurasikan notifikasi CloudMonitor.

    • Penyetelan aturan: Untuk menganalisis positif palsu dan menyempurnakan aturan proteksi guna meningkatkan akurasi, tinjau secara berkala log intersepsi WAF.

    Penagihan

    • Biaya instans: Biaya instans = Harga satuan instans (USD/jam) × Durasi penagihan (jam)

    • Biaya Load Balancer Capacity Unit (LCU): Biaya LCU per jam = max{LCU untuk koneksi baru, LCU untuk koneksi bersamaan, LCU untuk data yang diproses, LCU untuk evaluasi aturan} × Harga satuan LCU

    • Biaya transfer data Internet:

      • Hanya instans ALB yang menghadap Internet yang dikenai biaya transfer data Internet.

      • Instans ALB yang menghadap Internet menggunakan Elastic IP Address (EIP) atau Anycast EIP untuk menyediakan layanan melalui Internet. Anda dikenai biaya untuk EIP atau Anycast EIP yang terkait dengan instans ALB Anda.

    • Penagihan WAF 3.0: WAF 3.0 mendukung model subscription dan pay-as-you-go.

      • Jika Anda tidak memiliki instans WAF, instans WAF dengan model bayar sesuai penggunaan akan dibuat secara otomatis, dan Anda dikenai biaya penggunaannya saat membuat instans ALB yang diaktifkan WAF.

      • Jika Anda sudah memiliki instans WAF 3.0 dengan model subscription, Anda tidak dikenai biaya WAF tambahan saat membuat instans ALB yang diaktifkan WAF.

    FAQ

    Dapatkah saya mengaktifkan proteksi WAF 2.0 untuk instans ALB?

    • Jika Anda memiliki instans WAF 2.0 yang sudah ada, Anda dapat mengintegrasikan instans ALB Basic dan Standard yang menghadap Internet dengan instans WAF 2.0 tersebut. Fitur ini didukung di wilayah berikut: China (Hangzhou), China (Shanghai), China (Shenzhen), China (Chengdu), China (Beijing), dan China (Zhangjiakou). Instans ALB internal tidak dapat diintegrasikan dengan instans WAF 2.0.

    • Jika Anda tidak memiliki instans WAF 2.0 atau belum mengaktifkan WAF, semua instans ALB Anda hanya dapat dilindungi oleh WAF 3.0 (ditingkatkan ke edisi yang diaktifkan WAF).