全部产品
Search

搜索本产品

    Web Application Firewall:Menambahkan nama domain ke WAF

    文档中心

    Web Application Firewall:Menambahkan nama domain ke WAF

    更新时间:Jul 06, 2025

    Untuk menambahkan situs web ke Web Application Firewall (WAF) dalam mode rekaman CNAME, tambahkan nama domain situs web ke WAF. Topik ini menjelaskan cara menambahkan nama domain ke WAF.

    Prasyarat

    • Sebuah instance WAF telah dibeli, dan jumlah nama domain yang ditambahkan ke instance WAF kurang dari batas maksimum.

      Catatan

      Jumlah maksimum nama domain yang dapat ditambahkan ke sebuah instance WAF bervariasi berdasarkan spesifikasi instance dan jumlah paket nama domain tambahan yang Anda beli. Untuk informasi lebih lanjut, lihat Paket Domain Tambahan.

    • Jika nama domain situs web Anda dihosting pada server di Chinese Mainland, pastikan bahwa pendaftaran ICP telah selesai untuk nama domain tersebut dan informasi pendaftaran ICP valid ketika situs web Anda dilindungi oleh WAF.

      Catatan

      Instance WAF yang diterapkan di wilayah Chinese Mainland secara berkala memeriksa apakah informasi pendaftaran ICP nama domain Anda valid. Jika informasi pendaftaran ICP sebuah nama domain menjadi tidak valid, WAF mengelola nama domain tersebut berdasarkan hukum dan peraturan yang relevan. Sebagai contoh, WAF mungkin menghentikan pengalihan permintaan untuk nama domain tersebut atau menghapus konfigurasi nama domain tersebut.

      • Jika situs web Anda dihosting di Alibaba Cloud, ajukan pendaftaran ICP untuk nama domain Anda menggunakan sistem Pendaftaran ICP Alibaba Cloud. Untuk informasi lebih lanjut, lihat Skenario.

      • Jika situs web Anda tidak diterapkan di Alibaba Cloud, hubungi Alibaba Cloud atau penyedia layanan cloud lainnya untuk mengajukan pendaftaran ICP.

    Menambahkan nama domain ke WAF

    1. Masuk ke Konsol WAF. Di bilah navigasi atas, pilih grup sumber daya dan wilayah tempat instance WAF diterapkan. Wilayah bisa berupa Chinese Mainland atau Outside Chinese Mainland.

    2. Di panel navigasi sisi kiri, pilih Asset Center > Website Access.

    3. Pada tab Domain Names, klik Website Access.

      Catatan

      Pada halaman Add Domain Name, parameter Access Mode diatur ke CNAME Record secara default.

    4. Konfigurasikan parameter dan klik Next. Tabel berikut menjelaskan parameter tersebut.

      Parameter

      Deskripsi

      Domain Name

      Masukkan nama domain situs web Anda. Anda dapat memasukkan nama domain yang cocok persis seperti www.aliyundoc.com atau nama domain wildcard seperti *.aliyundoc.com. Anda hanya dapat memasukkan satu nama domain.

      Pertama kali Anda menambahkan nama domain ke WAF, Anda harus memverifikasi kepemilikan nama domain tersebut. Setelah Anda membuktikan kepemilikan nama domain, Anda dapat menambahkan nama domain ke WAF. Untuk informasi lebih lanjut, lihat Verifikasi kepemilikan nama domain.

      Catatan

      • Anda dapat menggunakan nama domain wildcard untuk mencakup semua subdomain pada tingkat yang sama dengan dan berbeda dari nama domain wildcard. Sebagai contoh, Anda dapat menggunakan *.aliyundoc.com untuk mencakup www.aliyundoc.com, example.aliyundoc.com, dan www.example.aliyundoc.com.

      • Anda dapat menggunakan nama domain wildcard tingkat dua untuk mencakup nama domain induk tingkat dua dari nama domain wildcard. Sebagai contoh, Anda dapat menggunakan *.aliyundoc.com untuk mencakup aliyundoc.com.

      • Anda tidak dapat menggunakan nama domain wildcard tingkat tiga untuk mencakup nama domain induk tingkat tiga dari nama domain wildcard. Sebagai contoh, Anda tidak dapat menggunakan *.example.aliyundoc.com untuk mencakup example.aliyundoc.com.

      • Jika Anda menambahkan nama domain yang cocok persis dan nama domain wildcard yang mencakup nama domain yang cocok persis, aturan perlindungan nama domain yang cocok persis akan didahulukan.

      Protection Resource

      Pilih jenis sumber daya perlindungan yang ingin Anda gunakan. Nilai valid:

      • Shared Cluster: Ini adalah nilai default.

      • Exclusive Cluster: Opsi ini tersedia hanya jika Anda menggunakan instance WAF edisi Eksklusif. Anda dapat menggunakan kluster eksklusif untuk menyediakan perlindungan spesifik layanan. Untuk informasi lebih lanjut, lihat Praktik terbaik untuk kluster eksklusif WAF.

      • Hybrid Cloud Cluster: Jika Anda menggunakan WAF Hibrid Cloud, pilih opsi ini. Untuk informasi lebih lanjut, lihat Tambahkan situs web ke WAF Hibrid Cloud.

      Protocol Type

      Pilih protokol situs web Anda. Nilai valid:

      • HTTP

      • HTTPS

        Penting

        Jika situs web Anda mendukung HTTPS, pilih HTTPS. Jika Anda memilih HTTPS, unggah file sertifikat dan kunci privat yang diperlukan setelah Anda menambahkan nama domain Anda ke WAF. Untuk informasi lebih lanjut, lihat bagian "Unggah sertifikat HTTPS" dalam topik ini.

        Jika Anda memilih HTTPS, Anda dapat mengaktifkan fitur berikut:

        • (Pengaturan Lanjutan) Enforce HTTPS Routing

          Jika Anda mengaktifkan fitur ini, permintaan HTTP yang dikirim dari klien secara otomatis dialihkan ke HTTPS. Klien mengirim permintaan HTTPS ke WAF melalui port 443. Kemudian, WAF meneruskan permintaan HTTPS ke server asal melalui port yang sama. Jika Anda ingin klien mengakses situs web Anda menggunakan HTTPS, aktifkan fitur ini untuk meningkatkan keamanan situs web Anda.

          Penting

          • Fitur ini hanya dapat diaktifkan jika Anda tidak memilih HTTP.

          • Sebelum Anda mengaktifkan fitur ini, pastikan bahwa nama domain Anda mendukung HTTPS. Setelah Anda mengaktifkan fitur ini, browser tertentu dipaksa menggunakan HTTPS untuk mengakses situs web Anda.

        • (Pengaturan Lanjutan) Enable HTTP Routing

          Jika Anda mengaktifkan fitur ini, WAF meneruskan permintaan ke server asal melalui HTTP. Port default adalah 80. Dalam hal ini, WAF meneruskan permintaan ke server asal melalui port 80 terlepas dari apakah klien mengakses WAF melalui port 80 atau port 443. Jika Anda mengaktifkan fitur ini, klien dapat mengakses situs web Anda melalui HTTPS, dan Anda tidak perlu memodifikasi pengaturan server asal. Ini membantu mengurangi beban kerja situs web Anda.

          Penting

          Jika server asal Anda tidak mendukung HTTPS, Anda harus mengaktifkan Aktifkan Pengalihan HTTP.

        • (Pengaturan Lanjutan) Enforce HTTPS Routing dan Enable HTTP Routing: Keduanya dimatikan.

          Jika klien mengakses WAF melalui port 80, WAF meneruskan permintaan ke server asal melalui port 80. Jika klien mengakses WAF melalui port 443, WAF meneruskan permintaan ke server asal melalui port 443.

        • Enable Origin SNI

          Nama Server Indication (SNI) Asal menentukan nama domain dengan mana koneksi HTTPS harus dibuat pada awal proses jabat tangan ketika WAF meneruskan permintaan ke server asal. Jika server asal meng-hosting beberapa nama domain, aktifkan fitur ini.

          Setelah Anda memilih Enable Origin SNI, Anda dapat mengonfigurasi bidang SNI. Nilai valid:

          • Use Domain Name in Host Header: menentukan bahwa nilai bidang SNI dalam permintaan balik ke asal sama dengan nilai bidang header Host. Ini adalah nilai default.

            Sebagai contoh, jika Anda memasukkan nama domain *.aliyundoc.com dan klien mengirim permintaan ke nama domain www.aliyundoc.com, nilai bidang SNI dalam permintaan balik ke asal WAF adalah www.aliyundoc.com. Nama domain www.aliyundoc.com adalah nilai bidang header Host.

          • Custom: menentukan bahwa nilai kustom dapat ditentukan untuk bidang SNI dalam permintaan balik ke asal WAF.

            Jika Anda ingin WAF menggunakan bidang SNI yang nilainya berbeda dari nilai bidang header Host dalam permintaan balik ke asal, tentukan nilai kustom untuk bidang SNI.

      • HTTP2: Anda hanya dapat memilih opsi ini setelah Anda memilih HTTPS.

        Jika nama domain Anda mendukung HTTP/2, pilih HTTP/2. Port HTTP/2 dan port HTTPS sama. Setelah Anda memilih HTTP/2, Anda hanya perlu menentukan port HTTPS. Untuk informasi lebih lanjut, lihat Apakah server asal terpengaruh setelah layanan HTTP/2 ditambahkan ke WAF?

        Catatan

        Anda hanya dapat memilih HTTP2 jika instance WAF Anda adalah edisi Bisnis, Perusahaan, atau Eksklusif.

      Alamat Server Asal

      Masukkan alamat server asal. Nilai valid: IP dan Domain Name (Such as CNAME). WAF menyaring permintaan jahat dan meneruskan permintaan normal ke alamat ini. Untuk memasukkan alamat server asal, perhatikan item berikut:

      • IP: Masukkan alamat IP publik server asal. Alamat IP harus dapat diakses melalui Internet.

        Tekan tombol Enter setiap kali Anda memasukkan alamat IP. Anda dapat memasukkan hingga 20 alamat IP.

        Catatan

        Jika Anda memasukkan beberapa alamat IP, WAF secara otomatis melakukan pemeriksaan kesehatan dan penyeimbangan beban pada alamat IP tersebut.

        Jika instance WAF Anda berada di luar daratan Tiongkok, Anda hanya dapat memasukkan alamat IPv4. Jika instance WAF Anda berada di daratan Tiongkok, Anda dapat memasukkan alamat IPv4 atau IPv6, atau keduanya.

        • Tentukan alamat IPv4 dan IPv6

          Jika Anda memilih Use the Same Protocol, WAF meneruskan permintaan dari alamat IPv4 ke server asal melalui IPv4 dan permintaan dari alamat IPv6 ke server asal melalui IPv6. Jika Anda tidak memilih Use the Same Protocol, WAF secara acak meneruskan permintaan ke server asal melalui IPv4 atau IPv6.

          Penting

          Jika Anda ingin WAF meneruskan permintaan melalui IPv6, pastikan bahwa IPV6 diaktifkan untuk nama domain di halaman Website Access. Untuk informasi lebih lanjut, lihat Aktifkan perlindungan lalu lintas IPv6.

        • Tentukan hanya alamat IPv4

          WAF meneruskan semua permintaan ke server asal melalui IPv4.

        • Tentukan hanya alamat IPv6

          WAF meneruskan semua permintaan ke server asal melalui IPv6.

        Daftar berikut menjelaskan cara memasukkan alamat IP:

        • Jika server asal adalah instance Elastic Compute Service (ECS) Alibaba Cloud, masukkan alamat IP publik instance ECS tersebut.

        • Jika instance ECS tersebut terkait dengan instance Server Load Balancer (SLB), masukkan alamat IP publik instance SLB tersebut.

        • Jika server asal tidak diterapkan di Alibaba Cloud, kami sarankan Anda melakukan ping nama domain untuk menanyakan alamat IP publik server asal. Kemudian, masukkan alamat IP publik server asal tersebut.

        • Pastikan bahwa Aktifkan Pengalihan Lalu Lintas dimatikan untuk alamat IP yang Anda masukkan dalam mode proxy transparan.

      • Domain Name (Such as CNAME): Masukkan nama domain server asal. Sebagai contoh, masukkan CNAME Bucket Object Storage Service (OSS).

        Nama domain dapat diselesaikan ke alamat IPv4. Dalam hal ini, WAF meneruskan permintaan balik ke alamat IPv4 tersebut.

        Penting

        • Nama domain server asal harus berbeda dari nama domain yang ingin Anda lindungi.

        • Jika Anda memasukkan nama domain bucket OSS, petakan nama domain yang ingin Anda lindungi ke bucket di konsol OSS. Untuk informasi lebih lanjut, lihat Petakan nama domain kustom.

      Destination Server Port

      Tentukan port yang ingin Anda gunakan untuk meneruskan permintaan.

      WAF hanya menggunakan port yang Anda tentukan untuk menerima dan meneruskan permintaan. Dengan cara ini, server asal dilindungi dari ancaman keamanan terlepas dari apakah Anda mengaktifkan port yang tidak ditentukan.

      Penting

      Anda harus mengatur parameter Protocol Type dan Destination Server Port ke protokol dan port yang digunakan oleh server asal untuk menyediakan layanan web. WAF tidak mendukung terjemahan port. Sebagai contoh, jika server asal menyediakan layanan web menggunakan HTTP dan port 80, atur parameter Jenis Protokol ke HTTP dan parameter Port Server Tujuan ke 80.

      Port default:

      • 80: Secara default, port ini digunakan ketika Anda memilih HTTP.

      • 443: Secara default, port ini digunakan ketika Anda memilih HTTPS. HTTP2 menggunakan port yang sama dengan HTTPS.

      Port kustom: Masukkan nomor port di bidang HTTP Port dan HTTPS Port. Tekan tombol Enter setiap kali Anda memasukkan nomor port. Klik View Port Range untuk menanyakan semua port yang didukung.

      Catatan

      • Instance WAF edisi Perusahaan atau Eksklusif mendukung hingga 50 port, termasuk port 80, 8080, 443, dan 8443. Instance WAF edisi Pro atau Bisnis mendukung hingga 10 port, termasuk port 80, 8080, 443, dan 8443.

      • Untuk informasi lebih lanjut tentang port yang didukung oleh kluster bersama, lihat Lihat port yang didukung oleh WAF.

      • Jika Anda menggunakan instance WAF edisi Eksklusif, Anda hanya dapat memilih port dari bagian Destination Server Port di halaman Exclusive Cluster Configurations. Untuk informasi lebih lanjut, lihat Konfigurasikan kluster eksklusif.

      Load Balancing Algorithm

      Jika Anda memasukkan beberapa alamat server asal, konfigurasikan parameter ini. Nilai valid:

      • IP hash (default): Permintaan dari klien yang sama diteruskan ke server asal yang sama melalui penyeimbangan beban. Algoritma ini cocok untuk skenario yang memerlukan persistensi sesi tetapi dapat mengakibatkan distribusi beban yang tidak merata.

      • Round-robin: Permintaan klien secara bergantian diteruskan ke server asal dari daftar server asal. Algoritma ini cocok untuk skenario yang memerlukan distribusi beban merata di beberapa server asal.

      • Least time: WAF menggunakan fitur resolusi Domain Name System (DNS) cerdas dan algoritma balik ke sumber waktu tercepat yang ditingkatkan untuk mengurangi latensi ketika permintaan diteruskan ke server asal.

        Catatan

        Anda hanya dapat memilih Least time jika penyeimbangan beban cerdas diaktifkan. Untuk informasi lebih lanjut, lihat Penyeimbangan beban cerdas.

      Setelah pengaturan berlaku, WAF mendistribusikan permintaan balik ke beberapa alamat server asal.

      Whether Layer 7 Proxy, Such as Anti-DDoS Pro, Anti-DDoS Premium, or Alibaba Cloud CDN, Is Deployed in Front of WAF

      Tentukan apakah proxy Lapisan 7 diterapkan di depan WAF. Proxy Lapisan 7 mencakup Anti-DDoS Proxy dan Alibaba Cloud CDN. Nilai valid:

      • No: Tidak ada proxy Lapisan 7 yang diterapkan di depan WAF. WAF menerima permintaan dari klien. WAF menggunakan alamat IP yang digunakan oleh klien untuk membangun koneksi dengan WAF sebagai alamat IP klien. WAF mendapatkan alamat IP dari bidang REMOTE_ADDR.

      • Yes: Sebuah proxy Lapisan 7 diterapkan di depan WAF. WAF menerima permintaan dari proxy Lapisan 7. Untuk memastikan bahwa WAF dapat memperoleh alamat IP sebenarnya dari klien untuk analisis keamanan, konfigurasikan parameter Obtain Source IP Address.

        Secara default, WAF menggunakan alamat IP pertama di bidang X-Forwarded-For sebagai alamat IP klien.

        Jika Anda menggunakan proxy yang memerlukan alamat IP sebenarnya disertakan dalam bidang header kustom, seperti X-Client-IP atau X-Real-IP, pilih [Recommended] Use the First IP Address in Specified Header Field as Actual IP Address of Client to Prevent X-Forwarded-For Forgery dan masukkan bidang header kustom di bidang Header Field.

        Catatan

        Kami merekomendasikan Anda menggunakan bidang header kustom untuk menyimpan alamat IP klien dan mengonfigurasi bidang header kustom di WAF. Ini mencegah penyerang memalsukan bidang X-Forwarded-For untuk menghindari perlindungan WAF dan meningkatkan keamanan bisnis Anda.

        Anda dapat memasukkan beberapa bidang header. Pisahkan beberapa bidang header dengan koma (,). Jika Anda memasukkan beberapa bidang header, WAF memindai bidang header tersebut secara berurutan hingga alamat IP klien diperoleh. Jika WAF tidak dapat memperoleh alamat IP klien dari bidang header, WAF menggunakan alamat IP pertama di bidang X-Forwarded-For sebagai alamat IP klien.

      Enable Traffic Mark

      Tentukan apakah akan mengaktifkan fitur penandaan lalu lintas.

      Fitur ini menambahkan bidang header kustom ke permintaan balik ke asal WAF. Anda dapat mengonfigurasi atau memodifikasi bidang header kustom untuk menandai permintaan yang diteruskan oleh WAF atau mencatat alamat IP sebenarnya atau port klien.

      Jika Anda memilih Enable Traffic Mark, tambahkan bidang header kustom.

      Penting

      • Kami merekomendasikan Anda tidak mengonfigurasi bidang header HTTP standar, seperti User-Agent. Jika tidak, nilai asli bidang header standar akan ditimpa oleh nilai bidang header kustom.

      • Jika penyerang memperoleh informasi tentang server asal Anda sebelum Anda menambahkan nama domain Anda ke WAF dan menggunakan instance WAF lain untuk meneruskan permintaan ke server asal, Anda dapat memilih Enable Traffic Mark dan menentukan bidang header kustom. Server asal memeriksa apakah permintaan melewati WAF. Jika bidang header yang ditentukan ada dalam permintaan, permintaan tersebut melewati WAF dan diizinkan.

      Anda dapat menambahkan jenis bidang header berikut:

      Custom Header

      Jika Anda ingin menambahkan header kustom, konfigurasikan parameter Header Name dan Header Value. WAF menambahkan bidang header ke permintaan balik ke asal untuk memungkinkan layanan backend memeriksa apakah permintaan melewati WAF, mengumpulkan statistik, dan menganalisis data.

      Sebagai contoh, Anda dapat menentukan bidang header ALIWAF-TAG: Yes untuk menandai permintaan yang melewati WAF. Dalam contoh ini, ALIWAF-TAG adalah nama bidang header dan Yes adalah nilai bidang header.

      Originating IP Address

      Anda dapat mengonfigurasi header kustom untuk mencatat alamat IP sebenarnya dari klien. Dengan cara ini, server asal Anda dapat memperoleh alamat IP sebenarnya dari klien. Untuk informasi lebih lanjut tentang bagaimana WAF memperoleh alamat IP sebenarnya dari klien, lihat deskripsi parameter Whether Layer 7 Proxy, Such as Anti-DDoS Pro, Anti-DDoS Premium, or Alibaba Cloud CDN, Is Deployed in Front of WAF.

      Source Port

      Anda dapat mengonfigurasi header kustom untuk mencatat port sumber klien. Dengan cara ini, server asal Anda dapat memperoleh port sebenarnya dari klien.

      Klik + Add Mark untuk menambahkan bidang header. Anda dapat menambahkan hingga lima bidang header.

      Back-to-origin Timeout Configuration

      Tentukan periode timeout untuk permintaan balik ke asal

      • Connection Timeout Period: jumlah maksimum waktu yang dapat ditunggu WAF untuk terhubung ke server asal. Nilai valid: 1 hingga 3600. Satuan: detik. Nilai default: 5.

      • Read Connection Timeout Period: jumlah maksimum waktu yang dapat ditunggu WAF untuk menerima respons dari server asal. Nilai valid: 1 hingga 3600. Satuan: detik. Nilai default: 120.

      • Write Connection Timeout Period: jumlah maksimum waktu yang dapat ditunggu WAF untuk meneruskan permintaan ke server asal. Nilai valid: 1 hingga 3600. Satuan: detik. Nilai default: 120.

      Catatan

      Anda hanya dapat mengonfigurasi pengaturan periode timeout jika Anda menggunakan instance On-cloud WAF edisi Pro, Bisnis, Perusahaan, atau Eksklusif. Anda tidak dapat mengonfigurasi pengaturan periode timeout untuk instance Hybrid Cloud WAF.

      Retry Back-to-origin Requests

      Setelah Anda mengaktifkan Coba Lagi Permintaan Balik ke Asal, WAF mencoba hingga tiga kali ketika gagal meneruskan permintaan ke server asal. Jika Anda tidak mengaktifkan Coba Lagi Permintaan Balik ke Asal, WAF tidak mencoba lagi meneruskan permintaan jika gagal pada percobaan pertama.

      Back-to-origin Keep-alive Requests

      Jika Anda mengaktifkan Permintaan Keep-alive Balik ke Asal, Anda harus mengonfigurasi parameter berikut:

      • Reused Keep-alive Requests: jumlah permintaan keep-alive yang digunakan kembali. Nilai valid: 60 hingga 1000. Nilai default: 1000.

      • Timeout Period of Idle Keep-alive Requests: periode timeout untuk permintaan keep-alive idle. Nilai valid: 1 hingga 60. Satuan: detik. Nilai default: 15.

      Catatan

      Jika Anda mematikan Permintaan Keep-alive Balik ke Asal, permintaan keep-alive balik ke asal tidak mendukung WebSocket.

      Resource Group

      Pilih grup sumber daya tempat Anda ingin menambahkan nama domain dari daftar drop-down.

      Catatan

      Anda dapat menggunakan Manajemen Sumber Daya untuk membuat grup sumber daya dan mengelola sumber daya dalam akun Alibaba Cloud Anda berdasarkan departemen atau proyek. Untuk informasi lebih lanjut, lihat Buat grup sumber daya.

    5. Jika nama domain wildcard yang cocok dengan nama domain yang Anda tentukan di Langkah 4 dikonfigurasi oleh pengguna lain, konfigurasikan rekaman TXT berdasarkan jenis rekaman, nama domain, dan nilai rekaman yang ditampilkan di kotak dialog Tips.

      Sebagai contoh, jika Anda menggunakan Alibaba Cloud DNS, Anda dapat masuk ke konsol Alibaba Cloud DNS dan mengonfigurasi rekaman TXT berdasarkan informasi yang ditampilkan di kotak dialog Tips. Untuk informasi lebih lanjut, lihat Tambahkan Rekaman DNS.

    6. Modifikasi rekaman DNS.

      Ikuti petunjuk di layar untuk memodifikasi rekaman DNS dan memetakan nama domain Anda ke WAF. Kemudian, klik Next. Untuk informasi lebih lanjut, lihat Modifikasi Rekaman DNS.

    7. Selesaikan pengaturan.

      Ikuti petunjuk di layar untuk mengonfigurasi blok CIDR balik ke asal WAF dan klik Complete. Return to Domain Name List. Halaman Website Access muncul. Untuk informasi lebih lanjut, lihat Izinkan Permintaan dari Blok CIDR Balik ke Asal WAF.

    Unggah sertifikat HTTPS

    Jika Anda memilih HTTPS untuk parameter Protocol Type di Langkah 4 saat Anda menambahkan nama domain, unggah sertifikat HTTPS yang valid yang terkait dengan nama domain di konsol WAF. Jika tidak, WAF tidak dapat melindungi permintaan HTTPS.

    Untuk mengunggah sertifikat HTTPS, Anda dapat menggunakan salah satu metode berikut:

    • Unggah sertifikat.

      Sebelum Anda mengunggah sertifikat, Anda harus menyiapkan file berikut dan memastikan bahwa rantai sertifikat valid:

      • File sertifikat dalam format CRT atau PEM

      • File kunci privat dalam format KEY

    • Pilih sertifikat yang ada: Anda dapat memilih sertifikat yang terkait dengan nama domain di konsol Layanan Manajemen Sertifikat. Untuk informasi lebih lanjut, lihat Apa Itu Layanan Manajemen Sertifikat.

    • Beli sertifikat.

    1. Masuk ke Konsol WAF. Di bilah navigasi atas, pilih grup sumber daya dan wilayah tempat instance WAF diterapkan. Wilayah bisa berupa Chinese Mainland atau Outside Chinese Mainland.

    2. Di panel navigasi sisi kiri, pilih Asset Center > Website Access.

    3. Pada tab Domain Names, temukan nama domain yang ingin Anda kelola dan klik ikon 上传图标 di kolom Origin Server.

      Catatan

      Ikon 上传图标 muncul di kolom Origin Server hanya jika Anda memilih HTTPS untuk parameter Jenis Protokol.

    4. Di kotak dialog Upload Certificate atau Update Certificate, konfigurasikan parameter Upload Method untuk mengunggah sertifikat HTTPS.

      Catatan

      Jika Anda telah mengunggah sertifikat, kotak dialog Update Certificate muncul. Kotak dialog Update Certificate dan Upload Certificate memiliki item konfigurasi yang sama.

      • Manual Upload: Konfigurasikan parameter Certificate Name, salin dan tempel isi file sertifikat ke bidang Certificate File, dan kemudian salin dan tempel isi file kunci privat ke bidang Private Key File.

        Untuk informasi lebih lanjut tentang certificate file, lihat deskripsi berikut:

        • Jika file sertifikat dalam format PEM, CER, atau CRT, Anda dapat menggunakan editor teks untuk membuka file sertifikat dan menyalin konten teks.

        • Jika file sertifikat dalam format berbeda seperti PFX atau P7B, konversikan format file sertifikat ke PEM. Kemudian, Anda dapat menggunakan editor teks untuk membuka file sertifikat dan menyalin konten teks. Untuk informasi lebih lanjut tentang cara mengonversi format file, lihat Bagaimana Cara Mengonversi Sertifikat HTTPS ke Format PEM?

        • Pastikan rantai sertifikat valid. Jika nama domain terkait dengan beberapa file sertifikat, gabungkan konten teks file sertifikat tersebut dan kemudian salin dan tempel konten gabungan ke bidang Certificate File.

      • Select Existing Certificate: Pilih sertifikat dari daftar drop-down Certificate.

        Daftar drop-down Certificate berisi sertifikat yang dikeluarkan di konsol Layanan Manajemen Sertifikat. Pilih sertifikat yang terkait dengan nama domain. Klik Certificate Management Service untuk pergi ke konsol Layanan Manajemen Sertifikat dan mengelola sertifikat.

      • Purchase Certificate: Klik Purchase Now untuk pergi ke halaman Purchase Certificate di konsol Layanan Manajemen Sertifikat. Kemudian, beli sertifikat untuk nama domain Anda.

        Setelah Anda membeli dan mengonfigurasi sertifikat, sertifikat tersebut secara otomatis diunggah ke WAF.

        Catatan

        Anda hanya dapat membeli sertifikat divalidasi domain (DV) di halaman Beli Sertifikat. Jika Anda ingin membeli jenis sertifikat lain, pergi ke halaman pembelian Layanan Manajemen Sertifikat. Untuk informasi lebih lanjut, lihat Beli Sertifikat Resmi.

    5. Klik OK.

    Konfigurasi Selanjutnya

    Setelah Anda menambahkan nama domain, permintaan yang dikirim ke nama domain tersebut dilindungi oleh WAF. Anda dapat memodifikasi konfigurasi nama domain untuk meningkatkan keamanan situs web.

    Jenis

    Deskripsi

    Referensi

    Konfigurasi perlindungan situs web

    WAF menyediakan banyak fitur untuk melindungi situs web Anda dari berbagai jenis serangan. Secara default, hanya fitur Protection Rules Engine dan HTTP Flood Protection yang diaktifkan. Fitur Mesin Aturan Perlindungan melindungi situs web Anda dari serangan web umum seperti injeksi SQL, serangan Cross-Site Scripting (XSS), dan pengunggahan webshell. Fitur Perlindungan Flood HTTP melindungi situs web Anda dari serangan flood HTTP. Aktifkan fitur lainnya dan konfigurasikan aturan perlindungan.

    Gambaran konfigurasi perlindungan situs web

    Konfigurasi peringatan

    Anda dapat mengonfigurasi aturan peringatan untuk memungkinkan WAF mengirimkan notifikasi peringatan ketika serangan dan lalu lintas abnormal terdeteksi dalam permintaan akses. Dengan cara ini, Anda dapat memeriksa status keamanan bisnis Anda pada kesempatan pertama.

    Konfigurasikan peringatan WAF

    Konfigurasi Layanan Log Sederhana

    Setelah Anda mengaktifkan fitur Layanan Log Sederhana untuk WAF, WAF dapat mengumpulkan dan menyimpan data log nama domain Anda. Anda dapat menanyakan dan menganalisis data log tersebut. Secara default, fitur Layanan Log Sederhana untuk WAF menyimpan log lengkap selama 180 hari untuk memenuhi persyaratan Skema Perlindungan Multi-Tingkat (MLPS).

    Gambaran fitur Layanan Log Sederhana untuk WAF

    Operasi Terkait

    Lihat dan kelola nama domain yang ditambahkan ke WAF

    Pada tab Domain Names halaman Website Access, Anda dapat melihat nama domain yang ditambahkan ke WAF dan melakukan operasi berikut:

    • Unggah sertifikat HTTPS: Jika nama domain Anda mendukung HTTPS, pastikan file sertifikat dan kunci privat yang valid diunggah ke WAF untuk memastikan bahwa WAF melindungi permintaan HTTPS. Untuk mengunggah file sertifikat dan kunci privat untuk nama domain, klik ikon 上传 di kolom Origin Server.

      Untuk informasi lebih lanjut, lihat Unggah Sertifikat HTTPS.

    • Aktifkan perlindungan lalu lintas IPv6: Jika Anda ingin melindungi lalu lintas IPv6 yang dikirim ke nama domain Anda, aktifkan IPV6 untuk nama domain di kolom Quick Access.

      Untuk informasi lebih lanjut, lihat Aktifkan Perlindungan Lalu Lintas IPv6.

    • Aktifkan Layanan Log Sederhana untuk WAF: Aktifkan Log Service di kolom Quick Access untuk mengaktifkan fitur Layanan Log Sederhana untuk WAF. Anda dapat menggunakan fitur ini untuk mengumpulkan log nama domain Anda. Kemudian, Anda dapat menggunakan log tersebut untuk penanyaan, analisis, visualisasi data dashboard, dan peringatan. Untuk informasi lebih lanjut, lihat Mulai Menggunakan Fitur Layanan Log Sederhana untuk WAF.

      Catatan

      Fitur Layanan Log Sederhana untuk WAF adalah fitur bernilai tambah dari WAF. Sebelum Anda dapat menggunakan fitur ini, Anda harus mengaktifkannya. Untuk informasi lebih lanjut, lihat Langkah 1: Aktifkan Fitur Layanan Log Sederhana untuk WAF.

    • Konfigurasikan sumber daya perlindungan: Klik ikon 设置防护资源 di sebelah kanan Protection Resource di kolom Quick Access. Kemudian, konfigurasikan sumber daya perlindungan untuk nama domain.

      Jenis sumber daya perlindungan berikut didukung:

      • Shared Cluster and Shared IP Address: Ini adalah nilai default.

      • Shared Cluster and Exclusive IP Address: Untuk informasi lebih lanjut tentang alamat IP eksklusif, lihat Alamat IP Eksklusif.

      • Shared Cluster and Intelligent Load Balancing: Untuk informasi lebih lanjut tentang penyeimbangan beban global, lihat Penyeimbangan Beban Cerdas.

      • Exclusive Cluster: Untuk informasi lebih lanjut tentang kluster eksklusif, lihat Buat Kluster Eksklusif.

    • Lihat laporan serangan: Klik View Report di kolom Attack Monitoring untuk pergi ke halaman Security Report. Di halaman yang muncul, Anda dapat melihat laporan perlindungan nama domain. Untuk informasi lebih lanjut, lihat Lihat Laporan Keamanan.

    • Konfigurasikan kebijakan perlindungan: Klik Configure Protection di kolom Actions untuk pergi ke halaman Website Protection. Di halaman yang muncul, Anda dapat mengonfigurasi modul Web Security, Bot Management, dan Access Control/Throttling. Untuk informasi lebih lanjut, lihat Gambaran Konfigurasi Perlindungan Situs Web.

    • Modifikasi konfigurasi nama domain: Klik Modify di kolom Actions untuk memodifikasi konfigurasi nama domain seperti jenis protokol, alamat server, dan port server. Anda tidak dapat memodifikasi nama domain.

    • Hapus nama domain: Klik Delete di kolom Actions.

      Peringatan

      Sebelum Anda menghapus nama domain, Anda harus memodifikasi rekaman DNS untuk memetakan nama domain ke alamat IP server asal. Jika Anda tidak memodifikasi rekaman DNS, permintaan yang dikirim ke nama domain tidak dapat diteruskan setelah nama domain dihapus.

    • Setelah Anda menambahkan nama domain ke WAF, pastikan bahwa informasi pendaftaran ICP valid. Untuk mematuhi hukum dan peraturan yang relevan, instance WAF secara berkala memeriksa validitas nama domain yang ditambahkan. Nama domain yang informasi pendaftaran ICP-nya tidak valid tidak dilindungi oleh WAF. Jika informasi pendaftaran ICP nama domain Anda tidak valid, lakukan operasi berikut:

      1. Perbarui informasi pendaftaran ICP nama domain Anda.

      2. Klik tab Domain Names di halaman Akses Situs Web. Temukan nama domain yang informasi pendaftaran ICP-nya telah diperbarui dan klik Add Again di kolom Actions.

    Periksa validitas informasi pendaftaran ICP

    Setelah Anda menambahkan nama domain ke WAF, pastikan bahwa informasi pendaftaran ICP valid. Untuk mematuhi hukum dan peraturan yang relevan, instance WAF secara berkala memeriksa nama domain yang ditambahkan. Nama domain yang informasi pendaftaran ICP-nya tidak valid tidak dapat dilindungi oleh WAF. Jika informasi pendaftaran ICP nama domain Anda tidak valid, lakukan operasi berikut:

    1. Perbarui informasi pendaftaran ICP nama domain Anda.

    2. Klik tab Domain Names di halaman Akses Situs Web. Temukan nama domain yang informasi pendaftaran ICP-nya telah diperbarui dan klik Add Again di kolom Actions.

    Lihat status resolusi DNS nama domain

    WAF memeriksa status resolusi DNS nama domain yang dilindungi dan mengidentifikasi nama domain yang rekaman DNS-nya abnormal. Anda dapat melihat status resolusi DNS nama domain yang Anda tambahkan ke WAF di daftar nama domain dan memodifikasi rekaman DNS berdasarkan pesan kesalahan yang ditampilkan di konsol WAF.

    image.png

    Status Verifikasi DNS

    Deskripsi

    Operasi

    Resolusi DNS normal.

    Nama domain diarahkan ke CNAME yang disediakan oleh WAF.

    Tidak ada.

    Resolusi DNS abnormal. Rekaman A digunakan.

    Rekaman A digunakan dan gangguan layanan mungkin terjadi.

    Hapus rekaman A dan tambahkan rekaman CNAME untuk mengarahkan nama domain ke CNAME yang disediakan oleh WAF. Untuk informasi lebih lanjut, lihat Modifikasi Rekaman DNS Nama Domain.

    Resolusi DNS abnormal. Alamat IP instance WAF Anda yang tidak valid digunakan.

    Rekaman A digunakan dan nama domain diarahkan ke alamat IP WAF yang tidak valid. Gangguan layanan mungkin terjadi.

    Hapus rekaman A dan tambahkan rekaman CNAME untuk mengarahkan nama domain ke CNAME yang disediakan oleh WAF. Untuk informasi lebih lanjut, lihat Modifikasi Rekaman DNS Nama Domain.

    Resolusi DNS abnormal. CNAME tidak valid digunakan.

    Rekaman CNAME digunakan dan nama domain diarahkan ke CNAME yang tidak valid. Gangguan layanan mungkin terjadi.

    Modifikasi rekaman CNAME untuk mengarahkan nama domain ke CNAME yang disediakan oleh WAF. Untuk informasi lebih lanjut, lihat Modifikasi Rekaman DNS Nama Domain.

    Masalah resolusi DNS yang tidak diketahui terjadi. Proxy diterapkan.

    Proxy Lapisan 7 digunakan di depan WAF dan alamat balik ke asal bukan CNAME yang disediakan oleh WAF.

    Periksa apakah alamat balik ke asal adalah CNAME yang disediakan oleh WAF.

    Verifikasi waktu habis.

    Tidak ada.

    Klik ikon update untuk memeriksa ulang status resolusi DNS.

    Tidak ditemukan rekaman resolusi DNS. Tidak ada rekaman DNS yang dikonfigurasi.

    Tidak ada rekaman DNS yang dikonfigurasi untuk nama domain. Rekaman CNAME harus ditambahkan untuk mengarahkan nama domain ke CNAME yang disediakan oleh WAF.

    Tambahkan rekaman CNAME untuk mengarahkan nama domain ke CNAME yang disediakan oleh WAF. Untuk informasi lebih lanjut, lihat Modifikasi Rekaman DNS Nama Domain.

    Gagal mengarahkan ke WAF. Tidak ada rekaman DNS yang dikonfigurasi.

    Nama domain tidak diarahkan ke CNAME yang disediakan oleh WAF. Rekaman CNAME harus ditambahkan untuk mengarahkan nama domain ke CNAME yang disediakan oleh WAF.

    Modifikasi rekaman CNAME untuk mengarahkan nama domain ke CNAME yang disediakan oleh WAF. Untuk informasi lebih lanjut, lihat Modifikasi Rekaman DNS Nama Domain.

    FAQ

    Untuk informasi lebih lanjut, lihat FAQ about website access configuration di FAQ.