Untuk menggunakan Web Application Firewall (WAF) dalam melindungi situs web, Anda perlu membeli instance WAF, menambahkan situs web ke WAF, dan mengonfigurasi aturan perlindungan. Laporan keamanan WAF menyediakan informasi tentang catatan serangan dan statistik akses. Anda dapat melihat laporan tersebut untuk memantau status keamanan situs web Anda.
Prosedur
Langkah 1: Beli instance WAF
Jika WAF belum diaktifkan, lakukan langkah berikut untuk membeli instance WAF.
Jika WAF sudah diaktifkan, lewati langkah ini dan lanjutkan ke Langkah 2: Tambahkan Situs Web ke WAF.
Masuk ke Konsol WAF. Di halaman Welcome to Web Application Firewall (WAF), klik Purchase WAF Subscription.
Di halaman pembelian, pilih edisi dan spesifikasi yang sesuai, lalu selesaikan pembayaran.
Setelah pembelian instance WAF selesai, klik Console untuk masuk ke konsol WAF.
Langkah 2: Tambahkan situs web ke WAF
Anda dapat menggunakan salah satu metode berikut untuk menambahkan situs web ke WAF:
Mode rekaman CNAME: Tambahkan situs web ke WAF dalam mode rekaman CNAME tanpa memandang apakah server asal berada di cloud atau pusat data. Server asal harus dapat diakses melalui Internet, dan Anda perlu mengubah rekaman DNS. Untuk detail lebih lanjut, lihat Akses Situs Web dengan CNAME.
Mode proxy transparan: Jika server asal berada pada instance Elastic Compute Service (ECS) atau instance Server Load Balancer (SLB) yang menghadap Internet, tambahkan situs web ke WAF dalam mode proxy transparan tanpa perlu memperbarui rekaman DNS. Untuk informasi lebih lanjut, lihat Mode Proxy Transparan.
Sebelum menambahkan situs web ke WAF, pastikan bahwa WAF memiliki otorisasi untuk mengakses sumber daya cloud. Untuk informasi lebih lanjut, lihat Otorisasi WAF untuk Mengakses Sumber Daya Cloud.
Tambahkan situs web.
Di panel navigasi sisi kiri, pilih .
Di tab Domain Names, klik Website Access.
Di halaman Add Domain Name, atur Access Mode ke CNAME Record atau Transparent Proxy Mode.
Lengkapi langkah-langkah konfigurasi.
Setelah situs web ditambahkan ke WAF, Anda dapat menavigasi ke halaman Website Access untuk melihat CNAME yang ditetapkan oleh WAF ke nama domain situs web.
Jika Anda mengatur Access Mode ke CNAME Record, lakukan operasi berikut untuk memperbarui rekaman DNS dari nama domain dan memetakan nama domain ke CNAME yang ditetapkan oleh WAF.
Jika situs web Anda tidak ditambahkan ke layanan Lapisan 7 seperti Anti-DDoS Pro atau Anti-DDoS Premium dan Alibaba Cloud CDN, tambahkan rekaman CNAME di sistem penyedia layanan DNS Anda dan atur nilai CNAME ke CNAME yang ditetapkan oleh WAF.
Jika Anda menggunakan Alibaba Cloud DNS, Anda dapat memperbarui rekaman DNS di konsol Alibaba Cloud DNS. Untuk informasi lebih lanjut, lihat Ubah Rekaman DNS.
Jika situs web Anda ditambahkan ke layanan Lapisan 7 seperti Anti-DDoS Pro atau Anti-DDoS Premium dan Alibaba Cloud CDN, buka konsol layanan Lapisan 7 dan ubah alamat balik ke asal layanan Lapisan 7 menjadi CNAME yang ditetapkan oleh WAF. Dengan cara ini, WAF dapat menerima permintaan yang ditujukan ke situs web Anda. Untuk informasi lebih lanjut, lihat Lindungi Layanan Situs Web Menggunakan Anti-DDoS Pro atau Anti-DDoS Premium dan WAF dan Gunakan WAF Bersama dengan CDN.
Anda dapat melakukan ping ke nama domain situs web Anda atau menggunakan alat verifikasi DNS untuk memeriksa apakah rekaman DNS telah diterapkan. Rekaman DNS tidak langsung berlaku. Jika verifikasi gagal, coba lagi setelah 10 menit.
Langkah 3: Konfigurasikan aturan perlindungan situs web
Setelah menambahkan situs web ke WAF, fitur Protection Rules Engine dan HTTP Flood Protection akan diaktifkan secara otomatis. Fitur Mesin Aturan Perlindungan melindungi situs web dari serangan umum seperti injeksi SQL, skrip lintas situs (XSS), dan pengunggahan webshell. Fitur Perlindungan Banjir HTTP melindungi situs web dari serangan banjir HTTP. Untuk mengaktifkan fitur lainnya, ikuti langkah-langkah berikut:
Di panel navigasi sisi kiri, pilih . Di bagian atas halaman Website Protection, pilih nama domain yang ingin Anda konfigurasikan aturan perlindungannya.
Anda juga dapat memilih . Pada tab Nama Domain, temukan nama domain yang ingin dilindungi dalam daftar nama domain dan klik Config di kolom Actions.
Klik tab Web Security, Bot Management, atau Access Control/Throttling untuk mengonfigurasi aturan perlindungan. Untuk informasi lebih lanjut, lihat Ikhtisar.
Langkah 4: Lihat laporan keamanan
Di panel navigasi sisi kiri, pilih .
Klik tab Web Security, Bot Management, atau Access Control/Throttling untuk melihat catatan serangan dan statistik akses situs web yang telah ditambahkan ke WAF. Untuk informasi lebih lanjut, lihat Lihat Laporan Keamanan.