Web Application Firewall (WAF) menyaring lalu lintas HTTP dan HTTPS berbahaya sebelum mencapai server origin Anda, lalu meneruskan lalu lintas yang bersih. Dengan demikian, WAF melindungi aplikasi web Anda dari serangan umum tanpa memerlukan perubahan pada kode aplikasi atau infrastruktur Anda.
Cara kerja
Lalu lintas yang ditujukan ke website Anda dialihkan melalui WAF. WAF memeriksa setiap permintaan, menerapkan aturan perlindungan yang telah Anda konfigurasikan, lalu meneruskan permintaan yang bersih ke server origin atau memblokir permintaan berbahaya. Selama proses tersebut, alamat IP server origin Anda tetap tersembunyi dari penyerang.
Jenis resource yang dilindungi
WAF melindungi website dan aplikasi web yang berjalan di:
Instance ECS Alibaba Cloud — menggunakan Mode rekaman CNAME atau mode proxy transparan
Server backend dari instance Server Load Balancer (SLB) publik — menggunakan Mode rekaman CNAME atau mode proxy transparan
Server lokal atau server cloud lainnya — menggunakan mode perekaman CNAME
Catatan: WAF melindungi resource berdasarkan nama domain. Tambahkan nama domain ke WAF — alamat IP tidak dapat ditambahkan secara langsung.
Fitur
Perlindungan aplikasi web
WAF melindungi dari jenis serangan OWASP umum:
Injeksi SQL
Cross-site scripting (XSS)
Unggahan webshell dan serangan backdoor
Injeksi perintah
Cross-site request forgery (CSRF)
Path traversal
Akses tidak sah ke file inti
Permintaan HTTP ilegal dan kerentanan umum pada server web
Pemindaian website
WAF juga memperbaiki kerentanan nol hari sesegera mungkin, sehingga aplikasi Anda tetap terlindungi bahkan sebelum patch resmi dari vendor tersedia.
Mode pemantauan: Aktifkan mode pemantauan untuk mengamati lalu lintas pada layanan baru tanpa memblokir. WAF mengirimkan peringatan saat lalu lintas mencurigakan cocok dengan aturan perlindungan, tetapi tidak memblokirnya — berguna saat menyesuaikan aturan untuk mengurangi false positive.
Perlindungan presisi
Mesin deteksi WAF mengurai dan mendekode data permintaan sebelum memeriksanya:
Penguraian format: Header HTTP, data formulir, multipart, JSON, dan XML
Dekoding: URL encoding, JavaScript Unicode, HEX, entitas HTML, serialisasi Java, serialisasi PHP, Base64, UTF-7, UTF-8, dan enkoding bersarang
Pra-pemrosesan: Kompresi spasi, pemangkasan komentar, dan normalisasi karakter khusus
Dekoding adaptif mencegah pelaku serangan mem-bypass WAF dengan mengkodekan muatan dalam format yang tidak lazim.
Serangan flood HTTP
WAF membatasi laju permintaan dari alamat IP tertentu menggunakan Uji Turing Publik Otomatis Lengkap untuk membedakan Komputer dan Manusia (CAPTCHA verification) dan otentikasi berbasis pengalihan. Untuk serangan slow HTTP, WAF menganalisis sinyal statistik — distribusi kode status, pola URL yang diminta, header HTTP Referer yang anomali, dan karakteristik User-Agent — untuk membedakan lalu lintas sah dari serangan.
Platform keamanan data besar Alibaba Cloud memberikan intelijen ancaman dan model akses tepercaya ke WAF, memungkinkannya mengidentifikasi permintaan serangan di antara ratusan juta serangan harian.
Kontrol akses granular
Buat aturan perlindungan berdasarkan kombinasi bidang HTTP: alamat IP, URL, HTTP Referer, dan User-Agent. Gunakan aturan ini untuk skenario seperti perlindungan hotlink dan kontrol akses backend website.
Kontrol akses granular bekerja bersama modul keamanan web dan perlindungan serangan flood HTTP untuk membentuk arsitektur multi-lapis yang membedakan lalu lintas tepercaya dari lalu lintas berbahaya dengan presisi tinggi.
Patch virtual
Sesuaikan aturan perlindungan WAF segera setelah kerentanan baru diungkap — sebelum perangkat lunak yang terdampak dipatch. Hal ini menutup celah antara pengungkapan dan penerapan patch tanpa memerlukan perubahan pada aplikasi.
Manajemen peristiwa serangan
Tinjau peristiwa serangan, volume lalu lintas serangan, dan skala serangan melalui Konsol WAF. Gunakan data ini untuk menyesuaikan aturan perlindungan dan memahami lanskap ancaman Anda.
Keandalan dan skalabilitas
WAF berjalan dalam mode kluster dengan load balancing bawaan dan beberapa algoritma penjadwalan. Tingkatkan kapasitas dengan menambah atau menghapus node tanpa gangguan layanan. Jika node WAF gagal atau menjalani maintenance, kluster tetap menangani lalu lintas — tidak ada single point of failure (SPOF).
Manfaat
Lebih dari 10 tahun keahlian keamanan: WAF dibangun berdasarkan pengalaman keamanan web lebih dari 10 tahun dalam Alibaba Group, menyediakan perlindungan yang sama seperti yang digunakan oleh Tmall, Taobao, Alipay, dan aplikasi bertrafik tinggi lainnya.
Terbukti pada skala besar: WAF melindungi dari ratusan juta serangan setiap hari, didukung oleh pustaka alamat IP yang terus diperbarui dan analitik keamanan data besar.
Pengaturan cepat: Aktifkan dan konfigurasikan WAF dalam waktu 5 menit. Tidak diperlukan instalasi perangkat lunak atau perangkat keras — tidak perlu mengubah konfigurasi routing.
Ketersediaan tinggi: Kluster perlindungan menghilangkan titik kegagalan tunggal dan menyediakan redundansi.
Kasus penggunaan
WAF cocok untuk semua pengguna — baik di dalam maupun di luar Alibaba Cloud — yang menjalankan aplikasi web yang membutuhkan perlindungan. Industri umum termasuk keuangan, e-commerce, online-to-offline (O2O), Internet Plus, gaming, layanan publik, dan asuransi.
Menyiapkan WAF
Setelah membeli instans WAF, tambahkan nama domain website Anda menggunakan salah satu dari dua mode berikut:
Mode rekaman CNAME
Berfungsi untuk server origin di Alibaba Cloud atau on-premises. Ubah rekaman DNS domain Anda agar mengarah ke alamat CNAME WAF — WAF kemudian mencegat dan memeriksa seluruh lalu lintas masuk. Untuk langkah-langkah pengaturan, lihat Tambahkan nama domain ke WAF.
Mode proxy transparan
Tersedia untuk Instance ECS dan server backend dari instance SLB publik. Berbasis teknologi cloud-native, mode proxy transparan tidak memerlukan perubahan DNS — lalu lintas secara otomatis dialihkan melalui WAF. Untuk langkah-langkah pengaturan, lihat Mode proxy transparan.
Sertifikasi kepatuhan
WAF telah lulus sertifikasi berikut: ISO 9001, ISO 20000, ISO 22301, ISO 27001, ISO 27017, ISO 27018, ISO 27701, ISO 29151, BS 10012, sertifikasi Cloud Security Alliance (CSA) STAR, Skema Perlindungan Multi-level Keamanan Siber di Tiongkok (MLPS 2.0) Level III, Service Organization Control (SOC) 1, SOC 2, SOC 3, Cloud Computing Compliance Controls Catalog (C5), Skema Sertifikasi Keuangan Hijau yang dikembangkan oleh Hong Kong Quality Assurance Agency (HKQAA), Outsourced Service Provider's Audit Report (OSPAR), dan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS).