全部产品
Search

搜索本产品

    Web Application Firewall:Mode hybrid cloud

    文档中心

    Web Application Firewall:Mode hybrid cloud

    更新时间:Jul 06, 2025

    Mode hybrid cloud adalah solusi perlindungan dan manajemen aplikasi web yang disediakan oleh Alibaba Cloud untuk melindungi layanan web yang ditempatkan di luar Alibaba Cloud. Jika layanan web Anda berada di cloud pihak ketiga, cloud privat, atau pusat data, Anda dapat menambahkannya ke Web Application Firewall (WAF) dalam mode hybrid cloud. Dengan cara ini, Anda dapat mengelola dan melindungi layanan web secara terpusat. Topik ini menjelaskan mode hybrid cloud serta cara menambahkan layanan web ke WAF dalam mode ini.

    Pengenalan

    Mode hybrid cloud menggunakan komponen perlindungan dari Alibaba Cloud untuk melindungi aplikasi web yang ditempatkan di cloud pihak ketiga dan pusat data.

    Skenario

    • Layanan web yang ingin dilindungi memiliki persyaratan keamanan khusus dan tidak dapat dipindahkan ke cloud publik.

    • Layanan web tersebar di Alibaba Cloud, cloud pihak ketiga, pusat data, dan Virtual Private Clouds (VPC), dan Anda ingin melindunginya secara terpusat.

    • Layanan web sensitif terhadap latensi dan memerlukan keandalan tinggi, redundansi geografis aktif, serta perlindungan terpusat di berbagai lingkungan jaringan.

    Manfaat

    • Aset yang ditempatkan di cloud dan pusat data serta kebijakan perlindungan dapat dikelola secara terpusat.

    • Layanan web dapat dilindungi menggunakan node perlindungan terdekat.

    • Aturan perlindungan dan intelijen ancaman di cloud dapat disinkronkan secara real-time.

    • Layanan yang menghadap internet dan layanan internal dapat dilindungi.

    • Trafik layanan dapat dialihkan pada lapisan akses terpadu dan dideteksi dalam mode bypass. Mode bypass manual dan otomatis didukung. Dengan cara ini, trafik layanan tetap dapat dideteksi meskipun kluster hybrid cloud gagal.

    Mode akses

    Mode

    Deskripsi

    Skema

    Reverse proxy

    Jika Anda ingin menambahkan situs web ke WAF dalam mode reverse proxy, Anda harus menambahkan nama domain atau alamat IP situs web ke WAF dan memodifikasi catatan Domain Name System (DNS) untuk mengarahkan nama domain atau alamat IP ke alamat kluster hybrid cloud yang digunakan. Kluster hybrid cloud mendeteksi semua permintaan untuk situs web yang ditambahkan ke WAF dalam mode reverse proxy.

    Mode reverse proxy dirancang untuk melindungi situs web yang arsitektur jaringannya dapat dimodifikasi dan yang tidak memiliki trafik tinggi. Sebagai contoh, mode reverse proxy cocok untuk industri Internet, ritel, sektor layanan publik, keuangan, dan media.

    Integrasi SDK

    Dalam mode integrasi SDK, WAF SDK ditempatkan pada gateway akses terpadu situs web Anda untuk mendeteksi trafik layanan menggunakan pemantulan trafik. Dengan cara ini, pengalihan trafik dipisahkan dari deteksi trafik. Kluster hybrid cloud yang digunakan tidak meneruskan trafik.

    Mode integrasi SDK dirancang untuk melindungi situs web yang menggunakan gateway akses terpadu, seperti gateway NGINX atau APISIX, memiliki trafik layanan tinggi, memerlukan latensi minimal dan stabilitas tinggi, serta dikelola oleh personel O&M khusus. Sebagai contoh, mode integrasi SDK cocok untuk perusahaan Internet besar dan pengguna yang memiliki persyaratan khusus untuk pengalihan trafik.

    Jika Anda ingin menambahkan layanan web ke WAF dalam mode hybrid cloud, Anda dapat memilih mode akses berdasarkan arsitektur jaringan dan kebutuhan bisnis Anda. Contoh berikut menjelaskan cara memilih mode akses:

    Situs portal perusahaan publik

    • Informasi latar belakang: Situs web menyediakan berbagai layanan online dan mendukung kueri informasi. Situs web memerlukan perlindungan keamanan yang ketat karena melibatkan data sensitif. Trafik situs stabil, dan penyesuaian sederhana terhadap arsitektur jaringan dapat diterima.

    • Mode akses yang direkomendasikan: reverse proxy

    • Alasan rekomendasi:

      • Penerapan mudah: Mode reverse proxy mudah diterapkan. Anda hanya perlu mengonfigurasi catatan DNS untuk mengarahkan trafik ke WAF tanpa melakukan penyesuaian kompleks pada arsitektur jaringan internal atau menginstal plugin atau perangkat lunak di setiap titik akses. Mode ini cocok untuk tim dengan kemampuan O&M dasar.

      • Penyesuaian arsitektur sederhana: Trafik situs stabil, sehingga Anda dapat memodifikasi pengaturan DNS untuk mengarahkan trafik ke WAF tanpa memengaruhi pengalaman pengguna.

      • Pengelolaan dan pemantauan mudah: Dalam mode ini, Anda dapat mengonfigurasi dan mengelola kebijakan serta aturan keamanan di konsol WAF secara terpusat, memudahkan perlindungan keamanan.

    Platform perdagangan sosial besar

    • Informasi latar belakang: Platform ini menampilkan pemrosesan skala besar dan konkurensi tinggi serta memiliki persyaratan kinerja, stabilitas, dan keamanan sistem yang tinggi. Perusahaan ingin meningkatkan kemampuan deteksi keamanan aplikasi tanpa mengubah arsitektur yang ada atau memengaruhi pengalaman pengguna. Namun, pengguna aplikasi tersebar luas dan aplikasi menunjukkan karakteristik trafik yang kompleks. Solusi yang dapat secara efektif mendeteksi dan bertahan dari ancaman diperlukan.

    • Mode akses yang direkomendasikan: Integrasi SDK

    • Alasan rekomendasi:

      • Platform memprioritaskan pengalaman pengguna dan memerlukan latensi akses minimal serta stabilitas sistem tinggi. Mode integrasi SDK mengurangi pengalihan tambahan dan mencegah trafik melewati node proxy tambahan, membantu meminimalkan latensi akses keseluruhan.

      • Mode integrasi SDK memisahkan pengalihan trafik dari deteksi trafik, memberikan manfaat berikut kepada platform:

        • Stabilitas sistem tinggi: Pengalihan trafik dan ketersediaan sistem tidak terpengaruh meskipun kluster perlindungan WAF mengalami masalah.

        • Skalabilitas fleksibel: Anda dapat secara terpisah menskalakan kluster perlindungan WAF berdasarkan peningkatan trafik untuk memastikan perlindungan trafik yang komprehensif.

      • Platform menggunakan gateway akses terpadu, seperti gateway NGINX atau APISIX, untuk mengelola dan mendistribusikan trafik. Mode SDK cocok untuk skenario ini.

        • Integrasi mulus: WAF SDK ditempatkan pada gateway yang ada untuk menyediakan dan membantu mengelola perlindungan keamanan tanpa memerlukan penyesuaian kompleks pada arsitektur jaringan yang ada.

        • Konfigurasi fleksibel: Anda dapat mengonfigurasi kebijakan dan aturan keamanan yang fleksibel untuk memenuhi persyaratan keamanan yang berubah secara dinamis.

    Batasan

    Fitur Pencegahan perubahan situs web tidak didukung untuk layanan web yang ditambahkan ke WAF dalam mode hybrid cloud.

    Prasyarat

    • Sebuah instance WAF berlangganan yang menjalankan edisi Enterprise atau Ultimate telah dibeli. Untuk informasi lebih lanjut, lihat Beli instance WAF 3.0 berlangganan.

      Catatan

      Hanya instance WAF Enterprise dan Ultimate berlangganan yang mendukung mode hybrid cloud.

    • Semua sumber daya yang diperlukan telah disiapkan. Untuk informasi lebih lanjut, lihat Persiapkan sumber daya kluster.

      Catatan

      Kluster hybrid cloud terdiri dari komponen manajemen, penyimpanan, dan perlindungan. Untuk memastikan stabilitas kluster, kami sarankan Anda memisahkan jenis komponen yang berbeda dengan menerapkannya pada node yang berbeda. Jika sebuah komponen diterapkan pada beberapa node, kami sarankan Anda menerapkan load balancer untuk node tersebut.

    Langkah 1: Instal agen WAF

    Pengenalan agen WAF

    Untuk menerapkan kluster hybrid cloud, Anda harus menyiapkan server lokal. Sebelum menerapkan kluster hybrid cloud, instal agen WAF (vagent) pada server lokal yang akan digunakan sebagai node perlindungan.

    vagent menyediakan kemampuan berikut:

    • Berkomunikasi dengan Alibaba Cloud WAF dan menarik gambar instalasi serta pembaruan Hybrid Cloud WAF.

    • Memantau dan melaporkan status komponen perlindungan hybrid cloud untuk memastikan ketersediaan WAF.

    • Menyinkronkan konfigurasi instance WAF secara real-time, termasuk konfigurasi penerusan, aturan perlindungan, dan intelijen ancaman.

    Untuk menginstal vagent pada server Linux, jalankan perintah rpm. Hanya distribusi Linux 64-bit berikut yang didukung: 64-bit AliOS 3.2104, 64-bit TencentOS 3.1, 64-bit CentOS 7, 64-bit Red Hat 7, dan x86 Kylin 10. Pastikan versi kernelnya adalah 4.10 atau lebih baru.

    Catatan

    • CentOS 7 telah mencapai akhir masa pakai. Alibaba Cloud tidak lagi menyediakan dukungan untuk distribusi ini. Pengguna CentOS 7 yang ada tidak terpengaruh, tetapi gambar terkait tidak lagi diperbarui.

    Prosedur

    1. Masuk ke server lokal Anda.

    2. Dapatkan versi terbaru vagent dan unduh vagent ke server lokal Anda.

      Untuk mendapatkan versi terbaru vagent, bergabunglah dengan grup DingTalk 34657699 untuk mendapatkan dukungan teknis.

    3. Instal vagent.

      1. Jalankan perintah berikut untuk menginstal vagent pada server lokal Anda:

        sudo rpm -ivh t-yundun-vagent-xxxxxxx.xxxxx.rpm
        Catatan

        Sebelum menjalankan perintah, ganti xxxxxxx.xxxxx dengan nomor versi vagent.

      2. Setelah instalasi selesai, jalankan perintah berikut untuk melihat nomor versi vagent. Pastikan Anda menggunakan versi terbaru vagent.

        rpm -qa|grep vagent

    4. Modifikasi file konfigurasi vagent.

      Setelah menginstal vagent, modifikasi file konfigurasi vagent berdasarkan mode akses Hybrid Cloud WAF untuk mengaktifkan komunikasi antara vagent dan Alibaba Cloud WAF. Langkah-langkahnya adalah sebagai berikut:

      1. Jalankan perintah berikut untuk membuka file konfigurasi vagent:

        sudo vi /home/admin/vagent/conf/vagent.toml

      2. Tekan tombol i untuk masuk ke mode sisipan, lalu modifikasi atau tambahkan pengaturan berikut:

        domain="wafopenapi.cn-hangzhou.aliyuncs.com" // Titik akhir Hybrid Cloud WAF. Untuk informasi lebih lanjut, lihat Tabel 1.
access_key_id=***************** // ID AccessKey akun Alibaba Cloud Anda.
access_key_secret=***************** // Rahasia AccessKey akun Alibaba Cloud Anda.

        Tabel 1. Nilai valid parameter domain

        Wilayah WAF

        Mode akses kluster

        Nilai valid parameter domain

        Daratan Tiongkok

        Akses Internet: Konsol WAF hanya mengizinkan akses dari kluster hybrid cloud melalui Internet.

        wafopenapi.cn-hangzhou.aliyuncs.com

        Akses jaringan internal menggunakan sirkuit Express Connect: Konsol WAF hanya mengizinkan akses dari kluster hybrid cloud melalui sirkuit Express Connect. Anda hanya dapat memilih opsi ini jika Anda telah menerapkan Express Connect.

        Catatan

        Hanya VPC yang berada di wilayah berikut yang didukung: Cina (Hangzhou), Cina (Shanghai), dan Cina (Beijing). Jika VPC Anda berada di wilayah lain di daratan Tiongkok, bergabunglah dengan grup DingTalk 34657699 untuk mendapatkan dukungan teknis.

        wafopenapi.vpc-proxy.aliyuncs.com

        Luar daratan Tiongkok

        Akses Internet: Konsol WAF hanya mengizinkan akses dari kluster hybrid cloud melalui Internet.

        wafopenapi.ap-southeast-1.aliyuncs.com

        Akses jaringan internal menggunakan sirkuit Express Connect: Konsol WAF hanya mengizinkan akses dari kluster hybrid cloud melalui sirkuit Express Connect. Anda hanya dapat memilih opsi ini jika Anda telah menerapkan Express Connect.

        Catatan

        Jika VPC Anda berada di luar daratan Tiongkok, bergabunglah dengan grup DingTalk 34657699 untuk mendapatkan dukungan teknis.

        wafopenapi-intl.vpc-proxy.aliyuncs.com

      3. Tekan tombol Esc untuk keluar dari mode sisipan.

      4. Masukkan :wq dan tekan tombol Enter untuk menyimpan file konfigurasi dan keluar.

    5. Mulai vagent.

      1. Jalankan perintah berikut untuk memulai vagent:

        sudo systemctl start vagent

      2. Jalankan perintah berikut untuk mengonfigurasi startup otomatis untuk vagent:

        sudo systemctl enable vagent

        Jika konfigurasi berhasil, sistem akan menampilkan informasi berikut:

        Created symlink from /etc/systemd/system/multi-user.target.wants/vagent.service 
to /usr/lib/systemd/system/vagent.service.

      Jika vagent gagal memulai, gunakan salah satu metode berikut untuk memeriksa log vagent:

      • Jalankan perintah berikut untuk menggunakan alat systemd memeriksa log vagent:

        sudo journalctl -u vagent

      • Jalankan perintah berikut untuk menggunakan file log vagent memeriksa log vagent:

        tail /home/admin/vagent/logs/vagent.log

      Lihat status vagent atau hentikan vagent:

      • Jalankan perintah berikut untuk menghentikan vagent:

        sudo systemctl stop vagent

      • Jalankan perintah berikut untuk melihat status vagent:

        sudo systemctl status vagent

    6. Periksa apakah vagent telah diinstal.

      Dalam sistem operasi Linux, jalankan perintah berikut untuk memeriksa apakah vagent telah diinstal:

      ps aux | grep AliYunDunWaf

      • Jika proses AliYunDunWaf muncul dalam output perintah, vagent telah diinstal dan berjalan di server lokal serta dapat berkomunikasi dengan Alibaba Cloud WAF. Anda kemudian dapat mengonfigurasi kluster untuk menambahkan server ke kluster sebagai node perlindungan lokal.

      • Jika proses AliYunDunWaf tidak muncul dalam output perintah, periksa apakah Anda telah melakukan langkah-langkah instalasi dengan benar. Kemudian, instal ulang dan mulai ulang vagent. Jika instalasi ulang gagal, bergabunglah dengan grup DingTalk 34657699 untuk mendapatkan dukungan teknis.

    Langkah 2: Terapkan kluster hybrid cloud

    1. Di halaman pembelian Halaman pembelian WAF, aktifkan multi-cloud or hybrid cloud protection dan konfigurasikan parameter Additional Protection Nodes.

      Catatan

      • Hanya instance WAF Enterprise dan Ultimate berlangganan yang mendukung mode hybrid cloud. Instance WAF Basic dan Pro berlangganan serta instance WAF bayar sesuai pemakaian tidak mendukung mode hybrid cloud.

      • Setiap kluster perlindungan memiliki setidaknya dua node perlindungan. Setiap node menyediakan perlindungan hingga 5.000 permintaan per detik (QPS) untuk permintaan HTTP atau hingga 3.000 QPS untuk permintaan HTTPS. Untuk meningkatkan kemampuan perlindungan, kami sarankan Anda menentukan jumlah node perlindungan berdasarkan QPS layanan web yang dilindungi oleh kluster hybrid cloud.

    2. Masuk ke Konsol WAF 3.0. Di bilah navigasi atas, pilih grup sumber daya dan wilayah instance WAF. Anda dapat memilih Chinese Mainland atau Outside Chinese Mainland.

    3. Di panel navigasi sisi kiri, klik Hybrid Clouds.

    4. Di halaman Hybrid Clouds, klik Add Cluster.

    5. Dalam langkah Basic Information, konfigurasikan parameter dan klik Next. Tabel berikut menjelaskan parameter tersebut.

      Parameter

      Deskripsi

      Cluster Name

      Tentukan nama untuk kluster hybrid cloud.

      Cluster Type

      Pilih tipe kluster hybrid cloud yang ingin Anda buat. Nilai valid:

      • Reverse Proxy Mode: Jika Anda memilih tipe ini, WAF digunakan sebagai kluster reverse proxy untuk meneruskan dan melindungi trafik.

      • SDK Integration Mode: Jika Anda memilih tipe ini, Anda harus menerapkan SDK di gateway akses terpadu Anda untuk memungkinkan WAF mendeteksi trafik layanan menggunakan pemantulan trafik. Dalam hal ini, kluster hybrid cloud tidak meneruskan trafik.

        Jika kluster hybrid cloud dalam keadaan abnormal, aktifkan Bypass State. Setelah Anda mengaktifkan Status Bypass, WAF masuk ke status Bypass dan tidak lagi melindungi trafik.

      Penting

      Setelah Anda membuat kluster hybrid cloud, Anda tidak dapat mengubah cluster type. Sebelum Anda mengonfigurasi parameter ini, kami sarankan Anda memastikan bahwa tipe kluster sesuai dengan kebutuhan bisnis Anda.

      Protection Nodes

      Tentukan jumlah node perlindungan untuk kluster hybrid cloud.

      Catatan

      Nilai parameter ini tidak boleh lebih besar dari jumlah additional protection nodes yang Anda beli di halaman pembelian Web Application Firewall (Berlangganan).

      Server Port

      Tentukan port server untuk kluster hybrid cloud. Pastikan port server mencakup semua port yang digunakan oleh layanan web yang ingin Anda lindungi. Saat Anda mengaitkan layanan web dengan kluster hybrid cloud, port yang dapat Anda pilih untuk layanan web dibatasi pada port yang ditentukan untuk kluster.

      • Secara default, port berikut diaktifkan: 80, 8080, 443, dan 8443. Jika Anda tidak memiliki persyaratan khusus, Anda tidak perlu memodifikasi pengaturan port.

      • Jika Anda ingin menambahkan port lain, tentukan port tersebut. Tekan tombol Enter setiap kali Anda memasukkan nomor port.

        Penting

        • Anda tidak dapat menentukan port berikut: 22, 53, 9100, 4431, 4646, 8301, 6060, 8600, 56688, 15001, 4985, 4986, dan 4987. Anda dapat mengklik View the range of ports that are not supported untuk melihat port yang tidak dapat Anda tentukan.

        • Untuk memastikan keamanan, kami sarankan Anda hanya menentukan port yang diperlukan untuk layanan web Anda.

      Cluster Access Mode

      Pilih mode akses jaringan untuk kluster hybrid cloud. Nilai valid:

      • Internet: Konsol WAF hanya mengizinkan akses dari kluster hybrid cloud melalui Internet.

      • Internal Network: Konsol WAF hanya mengizinkan akses dari kluster hybrid cloud melalui sirkuit Express Connect.

        Penting

        Anda hanya dapat memilih Internal Network jika Anda telah menerapkan Express Connect. Untuk informasi lebih lanjut, lihat Apa itu Express Connect?

      Remarks

      Tentukan deskripsi untuk kluster hybrid cloud.

    6. Dalam langkah Node Group Configuration, klik Add Node Group. Di kotak dialog Tambah Grup Node, klik Next.

      Catatan

      Sebelum menambahkan node ke grup node, buat beberapa grup node di kluster hybrid cloud. Untuk mencegah beban layanan yang tidak seimbang dan titik kegagalan tunggal, konfigurasikan load balancer untuk setiap grup node. Jika Anda tidak memiliki load balancer, bergabunglah dengan grup DingTalk 34657699 untuk mendapatkan dukungan teknis.

      Parameter

      Deskripsi

      Node Group Name

      Tentukan nama untuk grup node.

      Server IP Address for Load Balancing

      Tentukan alamat IP publik load balancer yang terkait dengan grup node.

      Node Group Type

      Pilih tipe grup node. Nilai valid:

      • Protection: grup node yang terdiri dari komponen perlindungan. Anda dapat menambahkan beberapa grup node Perlindungan ke kluster hybrid cloud untuk pemulihan bencana.

      • Management: grup node yang terdiri dari komponen manajemen. Anda dapat menambahkan beberapa grup node Manajemen ke kluster hybrid cloud untuk pemulihan bencana.

      • Storage: grup node yang terdiri dari komponen penyimpanan. Anda hanya dapat menambahkan satu grup node Penyimpanan ke kluster hybrid cloud.

      • Management and Storage: grup node yang terdiri dari komponen manajemen dan penyimpanan. Anda hanya dapat menambahkan satu grup node Manajemen dan Penyimpanan ke kluster hybrid cloud.

      Anda harus menambahkan grup node secara berurutan berdasarkan metode yang ingin Anda gunakan.

      • Metode 1: Tambahkan setidaknya tiga grup node

        Tambahkan satu grup node Storage, setidaknya satu grup node Management, dan setidaknya satu grup node Protection.

      • Metode 2: Tambahkan setidaknya dua grup node

        Tambahkan satu grup node Management and Storage dan setidaknya satu grup node Protection.

      Region

      Jika Anda mengatur parameter Node Group Type ke Protection, Anda harus memilih region untuk grup node. Jika Anda menentukan nilai berbeda untuk parameter Tipe Grup Node, Anda tidak perlu mengonfigurasi parameter ini.

      Remarks

      Tentukan deskripsi untuk grup node.

    7. Dalam langkah Initial Node Configuration, klik Add Node. Konfigurasikan parameter dan klik Save. Tabel berikut menjelaskan parameter tersebut.

      Parameter

      Deskripsi

      Server IP Address

      Tentukan alamat IP publik server lokal.

      Node Name

      Tentukan nama untuk node.

      Region

      Pilih wilayah node.

      Server Configuration

      Sistem secara otomatis menampilkan konfigurasi server lokal.

      Protection Node Group

      Pilih grup node tempat Anda ingin menambahkan node.

      • Jumlah node yang dapat ditambahkan ke kluster hybrid cloud tidak boleh melebihi jumlah node yang Anda tentukan untuk kluster.

      • Kami sarankan Anda menambahkan setidaknya dua node ke grup node Protection untuk memungkinkan WAF melakukan pemulihan bencana aktif online.

      Setelah membuat kluster hybrid cloud, klik Switch Cluster, pilih kluster yang ingin Anda periksa, lalu lakukan operasi berikut:

      • Di bagian Basic Information, lihat informasi dasar tentang kluster. Klik Edit untuk mengubah nama kluster, jumlah node perlindungan, port layanan, atau deskripsi.

      • Klik Node Group Configuration untuk menambah atau memodifikasi grup node. Untuk informasi lebih lanjut, lihat Langkah 6.

      • Klik Add Node untuk menambahkan node. Untuk informasi lebih lanjut, lihat Langkah 7.

      • Lihat status node kluster hybrid cloud:

        • Node Status menunjukkan apakah server berjalan seperti yang diharapkan. Nilai Normal menunjukkan bahwa server berjalan seperti yang diharapkan. Nilai Stopped menunjukkan bahwa server dimatikan.

          Jika server dimatikan, node tidak dapat menyediakan layanan perlindungan. Kami sarankan Anda memeriksa penyebab server dimatikan dan memperbaiki masalah tersebut sesegera mungkin.

        • Application Status menunjukkan apakah vagent berjalan seperti yang diharapkan di node. Nilai Normal menunjukkan bahwa vagent berjalan seperti yang diharapkan. Nilai Stopped menunjukkan bahwa vagent berhenti berjalan.

          Jika vagent berhenti berjalan, node mungkin tidak dapat menyediakan layanan perlindungan. Kami sarankan Anda masuk ke server lokal Anda, periksa status instalasi dan status berjalan vagent, dan perbaiki masalah tersebut sesegera mungkin. Untuk informasi lebih lanjut, lihat Langkah 1: Instal agen WAF.

      Penting

      Kami sarankan Anda tidak menghapus Pengguna Resource Access Management (RAM) atau mencabut izin Pengguna RAM yang Anda gunakan untuk menerapkan kluster hybrid cloud. Jika tidak, pemeriksaan status node mungkin gagal. Jika Anda menghapus Pengguna RAM, bergabunglah dengan grup DingTalk 34657699 untuk mendapatkan dukungan teknis.

    Persiapkan sumber daya kluster

    Anda dapat memilih metode penyebaran berdasarkan kebutuhan bisnis Anda. Jumlah server dan load balancer yang harus Anda siapkan bervariasi berdasarkan metode penyebaran.

    Skenario perlindungan

    Metode penyebaran

    Sumber daya yang diperlukan

    Deskripsi

    Layanan yang memerlukan stabilitas tinggi dan kemampuan perlindungan yang kuat

    Penyebaran pemulihan bencana untuk kemampuan perlindungan dan manajemen

    • Kapasitas perlindungan default: 10.000 QPS untuk permintaan HTTP atau 6.000 QPS untuk permintaan HTTPS. Sumber daya berikut diperlukan untuk menyediakan kapasitas perlindungan default:

      (Direkomendasikan) Lima server dan dua load balancer.

    • Melebihi kapasitas perlindungan default:

      Tambahkan node perlindungan berdasarkan kebutuhan bisnis Anda. Setiap node kluster dapat menangani 5.000 QPS untuk permintaan HTTP atau 3.000 QPS untuk permintaan HTTPS.

    • Komponen penyimpanan: satu server.

    • Komponen manajemen: dua atau lebih server dan satu load balancer.

    • Komponen perlindungan: dua atau lebih server dan satu load balancer.

    Layanan yang memerlukan stabilitas tinggi

    Penyebaran pemulihan bencana untuk kemampuan perlindungan

    • Kapasitas perlindungan default: 10.000 QPS untuk permintaan HTTP atau 6.0000 QPS untuk permintaan HTTPS. Sumber daya berikut diperlukan untuk menyediakan kapasitas perlindungan default:

      (Direkomendasikan) Tiga server dan satu load balancer.

    • Melebihi kapasitas perlindungan default:

      Tambahkan node perlindungan berdasarkan kebutuhan bisnis Anda. Setiap node kluster dapat menangani 5.000 QPS untuk permintaan HTTP atau 3.000 QPS untuk permintaan HTTPS.

    • Komponen manajemen dan penyimpanan: satu server.

    • Komponen perlindungan: dua atau lebih server dan satu load balancer.

    Uji konsep (POC) untuk kemampuan perlindungan dasar

    Penyebaran kluster minimum

    • Kapasitas perlindungan default: 10.000 QPS untuk permintaan HTTP atau 6.000 QPS untuk permintaan HTTPS. Sumber daya berikut diperlukan untuk menyediakan kapasitas perlindungan default:

      Dua atau lebih server.

    • Melebihi kapasitas perlindungan default:

      Tambahkan node perlindungan berdasarkan kebutuhan bisnis Anda. Setiap node kluster dapat menangani 5.000 QPS untuk permintaan HTTP atau 3.000 QPS untuk permintaan HTTPS.

    • Komponen manajemen dan penyimpanan: satu server.

    • Komponen perlindungan: satu atau lebih server.

    Langkah 3: Tambahkan situs web ke WAF

    Mode reverse proxy dan integrasi SDK bervariasi dalam prosedur penambahan. Anda dapat menggunakan salah satu prosedur berikut berdasarkan tipe kluster yang Anda tentukan saat menerapkan kluster hybrid cloud di Langkah 2: Terapkan kluster hybrid cloud.

    Mode reverse proxy

    1. Masuk ke Konsol WAF 3.0. Di bilah navigasi atas, pilih grup sumber daya dan wilayah instance WAF. Anda dapat memilih Chinese Mainland atau Outside Chinese Mainland.

    2. Di panel navigasi sisi kiri, klik Website Configuration.

    3. Di tab Hybrid Cloud, klik Reverse Proxy dan kemudian klik Add.

    4. Dalam langkah Configure Listener dari wizard Tambah Nama Domain, konfigurasikan parameter dan klik Next. Tabel berikut menjelaskan parameter tersebut.

      Parameter

      Deskripsi

      Domain Name/IP

      Tentukan nama domain atau alamat IP yang ingin Anda lindungi. Konfigurasikan parameter berdasarkan persyaratan berikut:

      • Anda dapat memasukkan nama domain yang cocok persis, seperti www.aliyundoc.com, atau nama domain wildcard, seperti *.aliyundoc.com.

        Catatan

        • Jika Anda memasukkan nama domain wildcard, WAF tidak akan mencocokkan nama domain induk dari nama domain wildcard tersebut. Sebagai contoh, jika Anda memasukkan *.aliyundoc.com, WAF tidak akan mencocokkan aliyundoc.com.

        • WAF tidak akan mencocokkan nama domain di level yang berbeda dari level nama domain wildcard. Sebagai contoh, jika Anda memasukkan *.aliyundoc.com, WAF tidak akan mencocokkan www.example.aliyundoc.com.

        • WAF secara otomatis mencocokkan semua nama domain di level yang sama dengan nama domain wildcard. Sebagai contoh, jika Anda memasukkan *.aliyundoc.com, WAF mencocokkan subdomain seperti www.aliyundoc.com dan example.aliyundoc.com.

        • Jika Anda menambahkan nama domain yang cocok persis dan nama domain wildcard yang mencakup nama domain yang cocok persis, aturan perlindungan yang dikonfigurasi untuk nama domain yang cocok persis akan lebih diprioritaskan.

      • Anda dapat memasukkan alamat IP. Contoh: 192.168.XX.XX.

      Protocol Type

      Tentukan tipe protokol dan port yang digunakan oleh situs web.

      Pilih HTTP atau HTTPS dan tentukan port yang ingin Anda gunakan untuk meneruskan trafik. Tekan tombol Enter setiap kali Anda memasukkan nomor port.

      Catatan

      Port yang Anda tentukan harus berada dalam rentang port yang didukung oleh kluster hybrid cloud. Jika port yang ingin Anda tentukan berada di luar rentang port yang didukung, ubah rentang port kluster hybrid cloud. Untuk informasi lebih lanjut, lihat Langkah 2: Terapkan kluster hybrid cloud.

      • Jika Anda memilih HTTP, parameter Tipe Unggahan tidak perlu dikonfigurasi.

      • Jika Anda memilih HTTPS, Anda harus mengunggah sertifikat SSL terkait ke WAF untuk memantau dan melindungi trafik HTTPS situs web.

        • Upload

          Klik Upload dan konfigurasikan parameter Certificate Name, Certificate File, dan Private Key. Nilai parameter File Sertifikat harus dalam format -----BEGIN CERTIFICATE-----...-----END CERTIFICATE-----. Nilai parameter Kunci Privat harus dalam format -----BEGIN RSA PRIVATE KEY-----...-----END RSA PRIVATE KEY-----.

          Penting

          • Jika file sertifikat dalam format PEM, CER, atau CRT, gunakan editor teks untuk membuka file dan menyalin konten teksnya. Jika file sertifikat dalam format lain, seperti PFX atau P7B, konversikan file sertifikat ke format PEM sebelum membukanya dengan editor teks dan menyalin kontennya. Anda dapat masuk ke konsol Certificate Management Service dan menggunakan alat yang disediakan untuk mengonversi format file.

          • Jika nama domain terkait dengan beberapa sertifikat SSL atau memiliki rantai sertifikat, gabungkan konten teks file sertifikat dan unggah konten teks gabungan tersebut.

        • Select Existing Certificate

          Jika sertifikat Anda memenuhi salah satu kondisi berikut, klik Select Existing Certificate dan pilih sertifikat dari daftar sertifikat:

          • Sertifikat diterbitkan menggunakan Layanan Manajemen Sertifikat.

          • Sertifikat adalah sertifikat pihak ketiga yang diunggah ke Layanan Manajemen Sertifikat.

            Penting

            Jika Anda memilih sertifikat pihak ketiga yang diunggah ke Layanan Manajemen Sertifikat dan pesan kesalahan Failed to verify the integrity of the certificate chain. If you use this certificate, service access may be affected. muncul, klik Alibaba Cloud Security - Certificate Management Service dan unggah ulang sertifikat di konsol Layanan Manajemen Sertifikat. Untuk informasi lebih lanjut, lihat Unggah dan bagikan sertifikat SSL.

        • Purchase Certificate

          Klik Apply untuk pergi ke halaman Purchase Certificate di konsol Certificate Management Service guna mengajukan Sertifikat.

          Anda hanya dapat mengajukan Sertifikat validasi domain (DV) berbayar. Setelah Anda mengajukan Sertifikat, Sertifikat tersebut akan secara otomatis diunggah ke WAF.

          Catatan

          Dalam kasus ini, Anda hanya dapat mengajukan Sertifikat validasi domain (DV) berbayar. Jika Anda ingin mengajukan jenis Sertifikat lainnya, Anda harus membeli Sertifikat tersebut menggunakan Certificate Management Service. Untuk informasi lebih lanjut, lihat Purchase an SSL certificate.

      • Setelah Anda memilih HTTPS dan mengunggah sertifikat, Anda dapat melakukan operasi berikut berdasarkan kebutuhan bisnis Anda:

        • HTTP2

          Pilih HTTP2 untuk melindungi permintaan HTTP/2 jika situs web Anda mendukung HTTP/2.

          Catatan

          Port HTTP/2 sama dengan port HTTPS.

        • Advanced Settings

          • Enable HTTPS Routing

            Secara default, fitur ini dinonaktifkan. Jika Anda mengaktifkan fitur ini, permintaan HTTP secara otomatis akan dialihkan ke permintaan HTTPS pada port 443. Fitur ini meningkatkan keamanan. Setelah fitur ini diaktifkan, HTTP Strict Transport Security (HSTS) diaktifkan secara default dan header Strict-Transport-Security disertakan dalam respons untuk memastikan bahwa situs web hanya dapat diakses menggunakan HTTPS.

            Penting

            Fitur ini hanya dapat diaktifkan jika Anda memilih HTTP.

          • TLS Version

            Tentukan versi protokol Transport Layer Security (TLS) yang didukung untuk komunikasi HTTPS. Jika klien menggunakan versi TLS yang tidak didukung, WAF akan memblokir permintaan dari klien tersebut. Versi TLS yang lebih baru memberikan keamanan yang lebih tinggi tetapi kompatibilitas yang lebih rendah.

            Kami merekomendasikan agar Anda menentukan versi TLS berdasarkan pengaturan HTTPS situs web Anda. Jika Anda tidak dapat memperoleh pengaturan HTTPS situs web Anda, gunakan nilai default.

            Nilai yang valid:

            • TLS 1.0 and Later (Best Compatibility and Low Security) (default)

            • TLS 1.1 and Later (High Compatibility and High Security)

              Jika Anda memilih nilai ini, klien yang menggunakan TLS 1.0 tidak dapat mengakses situs web Anda.

            • TLS 1.2 and Later (High Compatibility and Best Security)

              Jika Anda memilih nilai ini, klien yang menggunakan TLS 1.0 atau 1.1 tidak dapat mengakses situs web Anda.

            Jika situs web Anda mendukung TLS 1.3, pilih Support TLS 1.3. Secara default, WAF tidak mendengarkan permintaan yang dikirim menggunakan TLS 1.3.

          • Cipher Suite

            Tentukan suite sandi yang didukung untuk komunikasi HTTPS. Jika klien menggunakan suite sandi yang tidak didukung, WAF akan memblokir permintaan dari klien tersebut.

            Nilai default adalah Semua Suite Sandi (Kompatibilitas Tinggi dan Keamanan Rendah). Kami merekomendasikan agar Anda mengatur parameter ini ke nilai lain hanya jika situs web Anda mendukung suite sandi tertentu.

            Nilai yang valid:

            • All Cipher Suites (High Compatibility and Low Security).

            • Custom Cipher Suite (Select It Based on Protocol Version. Proceed with Caution.): Jika situs web Anda hanya mendukung suite sandi tertentu, kami merekomendasikan agar Anda memilih nilai ini dan kemudian memilih suite sandi yang didukung oleh situs web Anda. Untuk informasi lebih lanjut, lihat Lihat suite sandi yang didukung.

              Klien yang menggunakan suite sandi lainnya tidak dapat mengakses situs web Anda.

      Whether Layer 7 Proxy, Such as Anti-DDoS Pro, Anti-DDoS Premium, or Alibaba Cloud CDN, Is Deployed in Front of WAF

      Tentukan apakah proxy Lapisan 7, seperti Anti-DDoS Pro atau Alibaba Cloud CDN, diterapkan di depan WAF. Nilai valid: Ya dan Tidak.

      • No: Tidak ada proxy Lapisan 7 yang diterapkan di depan WAF.

        Nilai ini menunjukkan bahwa WAF langsung menerima permintaan dari klien. Permintaan tersebut tidak diteruskan oleh proxy.

        Catatan

        WAF menggunakan alamat IP yang digunakan untuk membuat koneksi ke WAF sebagai alamat IP klien. WAF mendapatkan alamat IP dari bidang REMOTE_ADDR dari sebuah permintaan.

      • Yes: Proxy Lapisan 7 diterapkan di depan WAF.

        Nilai ini menunjukkan bahwa WAF menerima permintaan dari proxy Lapisan 7 lainnya. Untuk memastikan bahwa WAF dapat memperoleh alamat IP asal klien untuk analisis keamanan, Anda harus mengonfigurasi parameter Obtain Actual IP Address of Client. Nilai valid:

        • Use the First IP Address in X-Forwarded-For Field as Actual IP Address of Client (default)

          Secara default, WAF menggunakan alamat IP pertama di bidang X-Forwarded-For sebagai alamat IP klien.

        • [Recommended] Use the First IP Address in Specified Header Field as Actual IP Address of Client to Prevent X-Forwarded-For Forgery

          Jika Anda menggunakan proxy yang berisi alamat IP asal klien di bidang header kustom, seperti X-Client-IP atau X-Real-IP, pilih nilai ini. Kemudian, masukkan bidang header kustom di bidang Header Field.

          Catatan

          Kami sarankan Anda menggunakan bidang header kustom untuk menyimpan alamat IP asal klien dan menentukan bidang header di WAF. Dengan cara ini, penyerang tidak dapat memalsukan bidang X-Forwarded-For untuk menghindari inspeksi WAF. Ini meningkatkan keamanan bisnis Anda.

          Anda dapat memasukkan beberapa bidang header. Tekan tombol Enter setiap kali Anda memasukkan bidang header. Jika Anda memasukkan beberapa bidang header, WAF membaca bidang header secara berurutan hingga mendapatkan alamat IP klien. Jika WAF tidak dapat mendapatkan alamat IP klien dari bidang header, WAF menggunakan alamat IP pertama di bidang X-Forwarded-For sebagai alamat IP klien.

      Resource Group

      Pilih grup sumber daya tempat Anda ingin menambahkan nama domain atau alamat IP. Jika Anda tidak memilih grup sumber daya, nama domain atau alamat IP ditambahkan ke default resource group.

      Catatan

      Anda dapat menggunakan Resource Management untuk membuat grup sumber daya dan mengelola sumber daya dalam akun Alibaba Cloud Anda berdasarkan departemen atau proyek. Untuk informasi lebih lanjut, lihat Buat grup sumber daya.

    5. Dalam langkah Configure Forwarding Rule, konfigurasikan parameter dan klik Submit. Tabel berikut menjelaskan parameter tersebut.

      Parameter

      Deskripsi

      Node Settings

      Pilih grup node dari daftar drop-down Protection Node Group dan tambahkan origin server address ke grup node. Alamat server asal adalah alamat IP server asal situs web. Alamat server asal digunakan untuk menerima permintaan balik ke asal yang diteruskan oleh WAF. Beberapa grup node mendukung pemulihan bencana. Sebagai contoh, jika server di Grup A mengalami gangguan, trafik secara otomatis dialihkan ke server di Grup B. Nilai valid:

      • IP

        • Anda dapat memasukkan hingga 20 alamat IP asal. Tekan tombol Enter setiap kali Anda memasukkan alamat IP.

          Catatan

          Jika Anda memasukkan beberapa alamat IP asal, WAF secara otomatis mendistribusikan beban kerja di antara alamat IP asal tersebut.

        • Anda dapat memasukkan alamat IPv4, alamat IPv6, atau keduanya.

          • Jika Anda memasukkan alamat IPv4 dan IPv6, WAF meneruskan permintaan yang dikirim dari alamat IPv6 ke server asal yang menggunakan alamat IPv6 dan permintaan yang dikirim dari alamat IPv4 ke server asal yang menggunakan alamat IPv4.

          • Jika Anda hanya memasukkan alamat IPv4, WAF meneruskan semua permintaan ke server asal melalui IPv4.

          • Jika Anda hanya memasukkan alamat IPv6, WAF meneruskan semua permintaan ke server asal melalui IPv6.

      • Domain Name (Such as CNAME)

        Jika Anda memilih Nama Domain (Seperti CNAME), nama domain hanya dapat diselesaikan ke alamat IPv4. Dalam hal ini, WAF meneruskan permintaan balik ke alamat IPv4.

      Jika situs web Anda ditempatkan pada beberapa node perlindungan, Anda dapat mengklik + Add Protection Node untuk menambahkan node perlindungan ke WAF.

      Public Cloud Disaster Recovery

      Setelah Anda mengaktifkan fitur ini, trafik layanan dapat dialihkan ke kluster cloud publik untuk pemulihan bencana. Saat kluster hybrid cloud gagal, nama domain diselesaikan ke CNAME yang disediakan oleh kluster cloud publik untuk pemulihan bencana. Dengan cara ini, trafik dialihkan ke kluster cloud publik dan kemudian diteruskan ke server asal. Jika Anda mengaktifkan fitur ini, Anda harus mengonfigurasi parameter Origin Server Address. Persyaratan konfigurasi origin server address sama dengan persyaratan dalam deskripsi parameter Node Settings. Untuk informasi lebih lanjut, lihat Alamat server asal.

      Load Balancing Algorithm

      Jika beberapa alamat server asal ditentukan, pilih algoritma load balancing yang digunakan WAF untuk meneruskan permintaan balik ke server asal. Nilai valid:

      • IP hash (default)

        Permintaan dari klien yang sama diteruskan ke server asal yang sama melalui load balancing. Algoritma ini cocok untuk skenario yang memerlukan persistensi sesi tetapi dapat menghasilkan distribusi beban yang tidak merata.

      • Round-robin

        Permintaan klien secara bergantian diteruskan ke server asal dari daftar server asal. Algoritma ini cocok untuk skenario yang memerlukan distribusi beban merata di beberapa server asal.

      Advanced HTTPS Settings

      • Enable HTTP Routing

        Jika Anda mengaktifkan Pengalihan HTTP, WAF meneruskan permintaan melalui HTTP. Port default adalah 80. Setelah Anda mengaktifkan Pengalihan HTTP, WAF meneruskan permintaan ke server asal pada port 80, terlepas dari apakah klien mengakses WAF pada port 80 atau port 443. Semua permintaan dapat diteruskan ke server asal melalui HTTP, dan Anda tidak perlu memodifikasi pengaturan server asal. Ini mengurangi dampak trafik pada kinerja situs web.

        Penting

        Jika situs web Anda tidak mendukung HTTPS, aktifkan Pengalihan HTTP.

      • Origin SNI

        Tentukan nama domain yang harus dibuat koneksi HTTPS pada awal proses jabat tangan Transport Layer Security (TLS) saat WAF meneruskan permintaan ke server asal. Jika server asal menampung beberapa nama domain, Anda harus memilih SNI Asal.

        Setelah Anda memilih Origin SNI, Anda dapat mengonfigurasi bidang Server Name Indication (SNI). Nilai valid:

        • Use Domain Name in Host Header (default)

          Nilai bidang SNI dalam permintaan balik ke asal WAF sama dengan nilai bidang Host.

          Sebagai contoh, jika nama domain yang Anda konfigurasikan adalah *.aliyundoc.com dan klien meminta nama domain www.aliyundoc.com di bidang header Host, nilai bidang SNI dalam permintaan balik ke asal WAF adalah www.aliyundoc.com.

        • Custom

          Anda dapat memasukkan nilai kustom untuk bidang SNI dalam permintaan balik ke asal WAF.

          Sebagian besar kasus, Anda tidak perlu menentukan nilai kustom untuk bidang SNI. Namun, jika Anda ingin WAF menggunakan bidang SNI yang nilainya berbeda dari nilai bidang Host dalam permintaan balik ke asal, Anda dapat menentukan nilai kustom untuk bidang SNI.

      Other Advanced Settings

      • Obtain the listening protocol of WAF by using the X-Forwarded-Proto header field

        Bidang header X-Forwarded-Proto secara otomatis ditambahkan ke permintaan HTTP. Bidang X-Forwarded-Proto digunakan untuk mengidentifikasi protokol asliyang digunakan oleh klien. Jika situs web Anda tidak dapat menangani bidang X-Forwarded-Proto dengan benar, masalah kompatibilitas mungkin terjadi dan bisnis Anda dapat terpengaruh. Untuk mencegah masalah tersebut, kosongkan opsi Dapatkan protokol listening WAF menggunakan bidang header X-Forwarded-Proto.

      • Enable Traffic Mark

        Jika Anda memilih Aktifkan Tanda Trafik, permintaan yang melewati WAF ditandai. Ini membantu server asal mendapatkan alamat IP atau port asal klien.

        Jika penyerang memperoleh informasi tentang server asal Anda sebelum Anda menambahkan nama domain Anda ke WAF dan menggunakan instance WAF lain untuk meneruskan permintaan ke server asal, pilih Aktifkan Tanda Trafik untuk memblokir trafik jahat. Server asal memeriksa apakah permintaan telah melewati WAF. Jika bidang header tertentu ada dalam permintaan, permintaan tersebut telah melewati WAF dan diizinkan. Jika bidang header tertentu tidak ada dalam permintaan, permintaan tersebut tidak melewati WAF dan diblokir.

        Anda dapat mengonfigurasi jenis bidang header berikut:

        • Custom Header

          Jika Anda ingin menambahkan bidang header kustom, Anda harus mengonfigurasi parameter Header Name dan Header Value. WAF menambahkan bidang header ke permintaan balik ke asal. Ini memungkinkan server asal memeriksa apakah permintaan telah melewati WAF, mengumpulkan statistik, dan menganalisis data.

          Sebagai contoh, Anda dapat menambahkan bidang header kustom ALIWAF-TAG: Yes untuk menandai permintaan yang melewati WAF. Dalam contoh ini, nama bidang header adalah ALIWAF-TAG dan nilai bidang header adalah Yes.

        • Originating IP Address

          Anda dapat menentukan bidang header yang mencatat alamat IP asal klien. Dengan cara ini, server asal Anda dapat memperoleh alamat IP asal klien. Untuk informasi lebih lanjut tentang bagaimana WAF memperoleh alamat IP asal klien, lihat deskripsi parameter Whether Layer 7 Proxy, Such as Anti-DDoS Pro, Anti-DDoS Premium, or Alibaba Cloud CDN, Is Deployed in Front of WAF dalam topik ini.

        • Source Port

          Anda dapat menentukan bidang header yang mencatat port asal klien. Dengan cara ini, server asal Anda dapat memperoleh port klien.

        Penting

        Kami sarankan Anda tidak mengonfigurasi bidang header HTTP standar, seperti User-Agent. Jika tidak, nilai asli dari bidang header standar akan ditimpa oleh nilai bidang header kustom.

        Anda dapat mengklik Add Mark untuk menambahkan bidang header. Anda dapat menentukan hingga lima bidang header.

      • Tentukan periode timeout untuk permintaan balik ke asal

        • Connection Timeout Period: jumlah maksimum waktu yang dapat ditunggu WAF untuk terhubung ke server asal. Nilai valid: 1 hingga 3600. Unit: detik. Nilai default: 5.

        • Read Connection Timeout Period: jumlah maksimum waktu yang dapat ditunggu WAF untuk menerima respons dari server asal. Nilai valid: 1 hingga 3600. Unit: detik. Nilai default: 120.

        • Write Connection Timeout Period: jumlah maksimum waktu yang dapat ditunggu WAF untuk meneruskan permintaan ke server asal. Nilai valid: 1 hingga 3600. Unit: detik. Nilai default: 120.

      • Retry Back-to-origin Requests

        Setelah Anda mengaktifkan Coba Ulang Permintaan Balik ke Asal, WAF akan mencoba hingga tiga kali ketika gagal meneruskan permintaan ke server asal. Jika Anda tidak mengaktifkan Coba Ulang Permintaan Balik ke Asal, WAF tidak akan mencoba meneruskan permintaan jika gagal pada percobaan pertama.

      • Back-to-origin Keep-alive Requests

        Jika Anda mengaktifkan Permintaan Keep-alive Balik ke Asal, Anda harus mengonfigurasi parameter berikut:

        • Reused Keep-alive Requests: jumlah permintaan keep-alive yang digunakan kembali. Nilai valid: 60 hingga 1000. Nilai default: 1000.

        • Timeout Period of Idle Keep-alive Requests: periode timeout untuk permintaan keep-alive idle. Nilai valid: 1 hingga 60. Unit: detik. Nilai default: 15.

        Catatan

        Jika Anda menonaktifkan Permintaan Keep-alive Balik ke Asal, permintaan keep-alive balik ke asal tidak mendukung WebSocket.

    6. Modifikasi catatan DNS nama domain

      Penting

      • Sebelum memodifikasi catatan DNS, pastikan konfigurasi penerusan untuk situs web Anda sudah berlaku. Jika Anda memodifikasi catatan DNS sebelum konfigurasi penerusan situs web Anda berlaku, gangguan layanan mungkin terjadi. Untuk informasi lebih lanjut, lihat Verifikasi pengaturan nama domain.

      • Jika Anda menambahkan nama domain ke WAF dalam mode reverse proxy, Anda harus memodifikasi catatan DNS. Jika Anda menambahkan alamat IP ke WAF dalam mode reverse proxy, lewati langkah ini.

      1. Modifikasi catatan DNS A nama domain untuk mengarahkan nama domain ke alamat IP grup node.

      2. Modifikasi catatan DNS CNAME untuk mengarahkan nama domain ke CNAME yang disediakan oleh kluster cloud publik. Jika Anda mengaktifkan Public Cloud Disaster Recovery di Langkah5, Anda harus melakukan operasi ini.

        Catatan

        Jika Anda menggunakan Alibaba Cloud DNS, masuk ke konsol Alibaba Cloud DNS dan modifikasi catatan DNS A dan catatan DNS CNAME nama domain. Untuk informasi lebih lanjut, lihat Modifikasi catatan DNS nama domain.

      Setelah menambahkan nama domain atau alamat IP ke WAF dalam mode hybrid cloud, nama domain atau alamat IP secara otomatis ditambahkan sebagai objek yang dilindungi. Secara default, aturan perlindungan dari modul aturan perlindungan inti diaktifkan untuk objek yang dilindungi. Anda dapat melihat objek yang dilindungi dengan memilih Protection Configuration > Protected Objects di panel navigasi sisi kiri konsol WAF. Anda juga dapat mengonfigurasi aturan perlindungan untuk objek yang dilindungi. Untuk informasi lebih lanjut, lihat Ikhtisar konfigurasi perlindungan.防护对象

    Mode integrasi SDK

    Dalam mode integrasi SDK, sebuah SDK ditempatkan pada gateway akses terpadu layanan web Anda untuk memungkinkan WAF mendeteksi trafik layanan menggunakan pemantulan trafik. Ini memisahkan pengalihan trafik dari deteksi trafik. Jika Anda ingin menambahkan layanan web ke WAF dalam mode integrasi SDK, bergabunglah dengan grup DingTalk 34657699 untuk mendapatkan dukungan teknis.

    Setelah menerapkan SDK dan kluster hybrid cloud, Anda dapat melakukan operasi berikut:

    • Lihat pemetaan antara alamat IP node penerusan tempat SDK diterapkan, kluster hybrid cloud, dan grup node perlindungan. Anda juga dapat melihat status node penerusan.

      1. Masuk ke Konsol WAF 3.0.

      2. Di panel navigasi sisi kiri, klik Website Configuration.

      3. Di tab Hybrid Cloud, klik SDK Integration.

        Anda dapat melihat pemetaan antara alamat IP node penerusan tempat SDK diterapkan, kluster hybrid cloud, dan grup node perlindungan. Anda juga dapat melihat status node penerusan.服务化模式

    • Tambahkan objek yang dilindungi.

      Setelah menambahkan situs web ke WAF dalam mode integrasi SDK, WAF tidak secara otomatis menambahkan nama domain situs web sebagai objek yang dilindungi. Anda harus secara manual menambahkan nama domain atau URL situs web sebagai objek yang dilindungi di halaman Objek yang Dilindungi di konsol WAF. Untuk informasi lebih lanjut, lihat Konfigurasikan objek yang dilindungi dan grup objek yang dilindungi.

    • Konfigurasikan aturan perlindungan untuk objek yang dilindungi.

      Setelah menambahkan objek yang dilindungi, Anda harus mengonfigurasi aturan perlindungan untuk objek tersebut. Untuk informasi lebih lanjut, lihat Ikhtisar konfigurasi perlindungan.