Web Application Firewall：Tambahkan situs web ke Hybrid Cloud WAF

Prasyarat

• Sebuah instance WAF telah dibeli, dan jumlah nama domain yang ditambahkan ke instance WAF tidak melebihi batas maksimum.

  Catatan

  Jumlah maksimum nama domain yang dapat ditambahkan ke instance WAF bervariasi berdasarkan spesifikasi instance dan jumlah paket domain tambahan yang Anda beli. Untuk informasi lebih lanjut, lihat Paket Domain Tambahan.

• Jika Anda menggunakan instance WAF di daratan Tiongkok untuk melindungi nama domain, Anda harus menyelesaikan pendaftaran Penyedia Konten Internet (ICP) untuk nama domain tersebut sebelum menambahkannya ke instance. Jika Anda menambahkan nama domain sebelum menyelesaikan pendaftaran ICP, WAF mungkin melaporkan kesalahan dan meminta Anda untuk menyelesaikan pendaftaran ICP.

• Cluster perlindungan untuk Hybrid Cloud WAF dengan server lokal sebagai node perlindungan WAF telah diterapkan. Node perlindungan WAF dapat berkomunikasi dengan Internet. Untuk informasi lebih lanjut, lihat Terapkan Cluster Perlindungan untuk Hybrid Cloud WAF.

Batasan

Jika Anda menggunakan node perlindungan Hybrid Cloud WAF untuk melindungi layanan jaringan internal, klien dengan blok CIDR 172.16.0.0/16 tidak didukung.

Tambahkan situs web ke Hybrid Cloud WAF

1. Masuk ke Konsol WAF. Di bilah navigasi atas, pilih grup sumber daya dan wilayah tempat instance WAF diterapkan. Wilayah dapat berupa Chinese Mainland atau Outside Chinese Mainland.

2. Di panel navigasi kiri, pilih Asset Center > Website Access.

3. Di tab Domain Names, klik Website Access.

   Catatan

   Secara default, parameter Access Mode disetel ke CNAME Record di halaman Add Domain Name.

4. Masukkan informasi tentang situs web Anda dengan mengonfigurasi parameter, lalu klik Next. Tabel berikut menjelaskan parameter.

   Parameter	Deskripsi
   Domain Name	Masukkan nama domain situs web Anda. Anda dapat memasukkan nama domain yang cocok persis seperti www.aliyundoc.com atau nama domain wildcard seperti *.aliyundoc.com. Anda hanya dapat memasukkan satu nama domain.
   Protection Resource	Pilih jenis sumber daya yang ingin Anda lindungi oleh WAF. Atur parameter ini ke Hybrid Cloud Cluster.
   Protocol Type	Pilih jenis protokol. Nilai valid: HTTP HTTPS Penting Jika situs web Anda mendukung HTTPS, pilih HTTPS. Setelah Anda menambahkan konfigurasi nama domain Anda, unggah file sertifikat dan kunci privat yang diperlukan. Untuk informasi lebih lanjut, lihat Unggah sertifikat HTTPS. Jika Anda memilih HTTPS, Anda dapat mengaktifkan fitur berikut: (Pengaturan Lanjutan) Enforce HTTPS Routing Jika Anda mengaktifkan fitur ini, permintaan HTTP yang dikirim dari klien secara otomatis diubah menjadi permintaan HTTPS. Dalam kasus ini, klien mengirim permintaan HTTPS ke WAF pada port 443 dan WAF meneruskan permintaan HTTPS ke server asal pada port 443. Jika Anda ingin klien mengakses situs web Anda menggunakan HTTPS, aktifkan fitur ini untuk meningkatkan keamanan akses. Penting Anda hanya dapat mengaktifkan fitur ini ketika HTTP tidak dipilih. Sebelum Anda mengaktifkan fitur ini, pastikan situs web Anda mendukung HTTPS. Setelah Anda mengaktifkan fitur ini, permintaan dikirim melalui HTTPS. (Pengaturan Lanjutan) Enable HTTP Jika Anda mengaktifkan fitur ini, WAF meneruskan permintaan melalui HTTP. Port default adalah port 80. Dalam kasus ini, WAF meneruskan permintaan yang dikirim ke port 80 ke server asal, terlepas dari apakah klien mengakses WAF pada port 80 atau 443. Setelah Anda mengaktifkan fitur ini, Anda dapat menggunakan WAF untuk mengubah permintaan HTTPS yang dikirim ke situs web Anda menjadi permintaan HTTP. Dengan cara ini, beban kerja server asal berkurang. Klien dapat mengakses situs web Anda melalui HTTPS tanpa perlu mengonfigurasi pengaturan di server asal. Penting Jika nama domain tidak mendukung HTTPS, aktifkan Aktifkan HTTP. (Pengaturan Lanjutan) Enforce HTTPS Routing dan Enable HTTP: keduanya dinonaktifkan Jika klien mengakses WAF pada port 80, WAF meneruskan permintaan yang dikirim ke port 80 ke server asal. Jika klien mengakses WAF pada port 443, WAF meneruskan permintaan yang dikirim ke port 443 ke server asal. Enable Origin SNI Origin Server Name Indication (SNI) menentukan nama domain ke mana koneksi HTTPS harus dibuat pada awal proses jabat tangan TLS ketika WAF meneruskan permintaan ke server asal. Jika server asal menampung beberapa nama domain, Anda harus mengaktifkan fitur ini. Setelah Anda memilih Origin SNI, Anda dapat mengonfigurasi bidang SNI. Nilai valid: Use Domain Name in Host Header: menentukan bahwa nilai bidang SNI dalam permintaan balik ke asal WAF sama dengan nilai bidang header Host. Ini adalah nilai default. Sebagai contoh, jika nama domain yang Anda tambahkan adalah *.aliyundoc.com dan klien mengirim permintaan ke nama domain www.aliyundoc.com, nilai bidang SNI dalam permintaan balik ke asal WAF adalah www.aliyundoc.com. Nilai bidang header Host adalah www.aliyundoc.com. Custom: menentukan bahwa Anda dapat memasukkan nilai kustom untuk bidang SNI dalam permintaan balik ke asal WAF. Jika Anda ingin WAF menggunakan bidang SNI yang nilainya berbeda dari nilai bidang Host dalam permintaan balik ke asal, Anda dapat menentukan nilai kustom untuk bidang SNI. HTTP2 (Anda hanya dapat memilih HTTP2 setelah Anda memilih HTTPS.) Jika nama domain Anda mendukung HTTP/2, Anda harus memilih HTTP2. Port HTTP/2 sama dengan port HTTPS. Setelah Anda memilih HTTP2, Anda hanya perlu menentukan port HTTPS. Untuk informasi lebih lanjut, lihat Apakah server asal terpengaruh ketika layanan HTTP/2 ditambahkan ke WAF? Catatan Anda hanya dapat memilih HTTP2 jika instance WAF Anda adalah edisi Bisnis, Perusahaan, atau Eksklusif.
   Node Settings	Pilih Name of Protected Node Group. Jika Anda menerapkan situs web Anda di beberapa node perlindungan, Anda dapat mengklik Add Node for Protection di sebelah kanan Node Settings untuk menambahkan node perlindungan ke WAF.
   Destination Server (IP Address)	Masukkan alamat server asal. Nilai valid: IP dan Domain Name (Such as CNAME). WAF menyaring permintaan jahat dan meneruskan permintaan normal ke alamat ini. Untuk memasukkan alamat server asal, perhatikan item berikut: IP: Masukkan alamat IP publik server asal. Alamat IP harus dapat diakses melalui Internet. Tekan tombol Enter setiap kali Anda memasukkan alamat IP. Anda dapat memasukkan hingga 20 alamat IP. Catatan Jika Anda memasukkan beberapa alamat IP, WAF secara otomatis melakukan pengecekan kesehatan dan penyeimbangan beban pada alamat IP tersebut. Jika instance WAF Anda berada di luar daratan Tiongkok, Anda hanya dapat memasukkan alamat IPv4. Jika instance WAF Anda berada di daratan Tiongkok, Anda dapat memasukkan alamat IPv4 atau IPv6, atau keduanya. Tentukan alamat IPv4 dan IPv6 Jika Anda memilih Use the Same Protocol, WAF meneruskan permintaan dari alamat IPv4 ke server asal melalui IPv4 dan permintaan dari alamat IPv6 ke server asal melalui IPv6. Jika Anda tidak memilih Use the Same Protocol, WAF secara acak meneruskan permintaan ke server asal melalui IPv4 atau IPv6. Penting Jika Anda ingin WAF meneruskan permintaan melalui IPv6, pastikan IPV6 diaktifkan untuk nama domain di halaman Website Access. Untuk informasi lebih lanjut, lihat Aktifkan perlindungan trafik IPv6. Tentukan hanya alamat IPv4 WAF meneruskan semua permintaan ke server asal melalui IPv4. Tentukan hanya alamat IPv6 WAF meneruskan semua permintaan ke server asal melalui IPv6. Daftar berikut menjelaskan cara memasukkan alamat IP: Jika server asal adalah instance Elastic Compute Service (ECS) Alibaba Cloud, masukkan alamat IP publik instance ECS. Jika instance ECS terkait dengan instance Server Load Balancer (SLB), masukkan alamat IP publik instance SLB. Jika server asal tidak diterapkan di Alibaba Cloud, kami sarankan Anda melakukan ping nama domain untuk menanyakan alamat IP publik server asal. Lalu, masukkan alamat IP publik server asal. Pastikan bahwa Pengalihan Trafik Dinonaktifkan untuk alamat IP yang Anda masukkan dalam mode proxy transparan. Domain Name (Such as CNAME): Masukkan nama domain server asal. Sebagai contoh, masukkan CNAME bucket Object Storage Service (OSS). Nama domain dapat diselesaikan ke alamat IPv4. Dalam kasus ini, WAF meneruskan permintaan balik ke alamat IPv4. Penting Nama domain server asal harus berbeda dari nama domain yang ingin Anda lindungi. Jika Anda memasukkan nama domain bucket OSS, petakan nama domain yang ingin Anda lindungi ke bucket di konsol OSS. Untuk informasi lebih lanjut, lihat Petakan nama domain kustom.
   Destination Server Port	Tentukan port yang ingin Anda gunakan untuk meneruskan permintaan. Catatan Hanya tim dukungan teknis Alibaba Cloud yang dapat mengonfigurasi parameter ini. Port harus berada dalam rentang port yang didukung untuk cluster hybrid cloud. Secara default, port 80, 8080, 443, dan 8443 diaktifkan untuk cluster hybrid cloud. Saat Anda membuat cluster hybrid cloud, Anda dapat menentukan port kustom yang ingin Anda aktifkan. Untuk informasi lebih lanjut, lihat Konfigurasikan informasi dasar untuk cluster hybrid cloud. WAF hanya menggunakan port yang Anda tentukan untuk menerima dan meneruskan permintaan. Dengan cara ini, server asal dilindungi dari ancaman keamanan terlepas dari apakah Anda mengaktifkan port yang tidak ditentukan. Penting Anda harus menyetel parameter Protocol Type dan Destination Server Port ke protokol dan port yang digunakan server asal untuk menyediakan layanan web. WAF tidak mendukung terjemahan port. Sebagai contoh, jika server asal menyediakan layanan web menggunakan HTTP dan port 80, Anda harus menyetel parameter Jenis Protokol ke HTTP dan parameter Port Server Tujuan ke 80. Port default: 80: Secara default, port ini digunakan ketika HTTP dipilih. 443: Secara default, port ini digunakan ketika HTTPS dipilih. Catatan HTTP/2 menggunakan port yang sama dengan HTTPS. Port kustom: Masukkan nomor port di bidang HTTP Port dan HTTPS Port. Pisahkan beberapa nomor port dengan koma (,). Klik View Port Range untuk menanyakan semua port yang didukung.
   Load Balancing Algorithm	Jika Anda memasukkan beberapa alamat server asal, konfigurasikan parameter ini. Nilai valid: IP hash (default): Permintaan dari klien yang sama diteruskan ke server asal yang sama melalui penyeimbangan beban. Algoritma ini cocok untuk skenario yang memerlukan persistensi sesi tetapi dapat mengakibatkan distribusi beban yang tidak merata. Round-robin: Permintaan klien secara bergantian diteruskan ke server asal dari daftar server asal. Algoritma ini cocok untuk skenario yang memerlukan distribusi beban merata di beberapa server asal. Least time: WAF menggunakan fitur resolusi cerdas Domain Name System (DNS) dan algoritma balik ke asal waktu tercepat yang ditingkatkan untuk mengurangi latensi saat permintaan diteruskan ke server asal. Catatan Anda hanya dapat memilih Least time jika penyeimbangan beban cerdas diaktifkan. Untuk informasi lebih lanjut, lihat Penyeimbangan beban cerdas. Setelah pengaturan berlaku, WAF mendistribusikan permintaan balik ke asal ke beberapa alamat server asal.
   Does a layer 7 proxy (DDoS Protection/CDN, etc.) exist in front of WAF:	Tentukan apakah proxy lapisan 7 diterapkan di depan WAF. Proxy lapisan 7 termasuk Anti-DDoS Proxy dan Alibaba Cloud CDN. Nilai valid: No: Tidak ada proxy lapisan 7 yang diterapkan di depan WAF. WAF menerima permintaan dari klien. WAF menggunakan alamat IP yang digunakan oleh klien untuk membangun koneksi dengan WAF sebagai alamat IP klien. WAF memperoleh alamat IP dari bidang REMOTE_ADDR. Yes: Proxy lapisan 7 diterapkan di depan WAF. WAF menerima permintaan dari proxy lapisan 7. Untuk memastikan bahwa WAF dapat memperoleh alamat IP sebenarnya dari klien untuk analisis keamanan, konfigurasikan parameter Obtain Source IP Address. Secara default, WAF menggunakan alamat IP pertama di bidang X-Forwarded-For sebagai alamat IP klien. Jika Anda menggunakan proxy yang memerlukan alamat IP sebenarnya untuk disertakan dalam bidang header kustom, seperti X-Client-IP atau X-Real-IP, pilih [Recommended] Use the First IP Address in Specified Header Field as Actual IP Address of Client to Prevent X-Forwarded-For Forgery dan masukkan bidang header kustom di bidang Header Field. Catatan Kami merekomendasikan Anda menggunakan bidang header kustom untuk menyimpan alamat IP klien dan mengonfigurasi bidang header kustom di WAF. Ini mencegah penyerang memalsukan bidang X-Forwarded-For untuk menghindari perlindungan WAF dan meningkatkan keamanan bisnis Anda. Anda dapat memasukkan beberapa bidang header. Pisahkan beberapa bidang header dengan koma (,). Jika Anda memasukkan beberapa bidang header, WAF memindai bidang header secara berurutan sampai alamat IP klien diperoleh. Jika WAF tidak dapat memperoleh alamat IP klien dari bidang header, WAF menggunakan alamat IP pertama di bidang X-Forwarded-For sebagai alamat IP klien.
   Enable Traffic Mark	Tentukan apakah akan mengaktifkan fitur tanda trafik WAF. Fitur ini menambahkan bidang header kustom ke permintaan balik ke asal WAF. Anda dapat menentukan atau memodifikasi bidang header kustom untuk menandai permintaan yang diteruskan oleh WAF atau mencatat alamat IP klien. Jika Anda memilih Enable Traffic Mark, tambahkan bidang header kustom. Penting Anda dapat menambahkan jenis bidang header berikut: Klik + Add Mark untuk menambahkan bidang header. Anda dapat menambahkan hingga lima bidang header.
   Resource Group	Pilih grup sumber daya tempat Anda ingin menambahkan nama domain dari daftar drop-down. Catatan Anda dapat menggunakan Resource Management untuk membuat grup sumber daya dan mengelola sumber daya dalam akun Alibaba Cloud Anda berdasarkan departemen atau proyek. Untuk informasi lebih lanjut, lihat Buat grup sumber daya.

5. Modifikasi file hosts komputer Anda untuk memetakan nama domain ke load balancer yang diterapkan di depan node WAF lokal. Kemudian, uji apakah WAF dapat menyaring dan meneruskan permintaan sesuai harapan.

   Catatan

   Hanya tim dukungan teknis Alibaba Cloud yang dapat melakukan operasi ini.

6. Modifikasi catatan DNS nama domain yang ingin Anda lindungi untuk memetakan nama domain ke load balancer lokal.

7. Klik Selesai. Kembali ke daftar situs web.

   Setelah menyelesaikan langkah-langkah ini, nama domain akan dilindungi oleh Hybrid Cloud WAF.