Web Application Firewall (WAF) menawarkan Edisi Eksklusif yang menggunakan kluster eksklusif virtual untuk menyediakan akses dan perlindungan kustom sesuai karakteristik layanan Anda.
Informasi latar belakang
Jika situs web Anda memiliki desain non-standar untuk memenuhi kebutuhan bisnis tertentu, Anda dapat menambahkannya ke WAF guna mendapatkan perlindungan. Kluster eksklusif memberikan perlindungan komprehensif terhadap serangan lapisan aplikasi.
Setelah membeli instans WAF Edisi Eksklusif, Anda dapat menyesuaikan konfigurasi berikut untuk kluster eksklusif Anda:
Wilayah kluster: Pilih wilayah untuk kluster.
Pengaturan port kluster: Konfigurasikan rentang port non-standar yang lebih luas untuk perlindungan akses. Anda juga dapat mengonfigurasi port kembali-ke-asal kustom untuk protokol HTTP, HTTPS, dan HTTP/2.
CatatanPort sistem berikut tidak didukung: 22, 53, 9100, 4431, 4646, 8301, 6060, 8600, 56688, 15001, 4985, 4986, atau 4987.
Otentikasi SNI: Unggah sertifikat default agar perangkat klien yang tidak mendukung protokol Server Name Indication (SNI) standar tetap dapat mengakses situs web Anda.
Halaman tanggapan perlindungan: Konfigurasikan URL halaman statis yang diunggah ke Alibaba Cloud Content Delivery Network (CDN). WAF menggunakan halaman ini sebagai halaman tanggapan perlindungan untuk meningkatkan pengalaman pengguna.
Kebijakan keamanan TLS: Pilih versi TLS dan paket sandi yang didukung.
Konfigurasi waktu tunggu koneksi persisten: Sesuaikan periode waktu tunggu untuk pembentukan koneksi, permintaan, dan tanggapan.
Membuat kluster eksklusif
Setelah membeli atau melakukan peningkatan ke instans WAF Edisi Eksklusif, Anda dapat menggunakan kluster eksklusif virtual atau kluster bersama untuk melindungi situs web Anda. Sebelum menggunakan kluster eksklusif, Anda harus membuatnya sesuai karakteristik layanan Anda.
Masuk ke Konsol WAF. Di bilah navigasi atas, pilih kelompok sumber daya dan wilayah tempat instans WAF ditempatkan. Wilayah tersebut dapat berupa Chinese Mainland atau Outside Chinese Mainland.
Di panel navigasi sebelah kiri, pilih .
Pada halaman Exclusive Cluster Configurations, konfigurasikan kluster sesuai karakteristik layanan Anda.
Pilih Region.
CatatanSetelah kluster eksklusif dibuat, Region tidak dapat diubah.
Tetapkan rentang Server Port: Pilih jenis protokol, masukkan rentang port server, lalu klik Save. Hal ini memungkinkan Anda memilih port dari rentang tersebut dengan cepat saat menambahkan nama domain ke kluster eksklusif.
Tetapkan Response Page: Masukkan URL halaman statis yang diunggah ke Alibaba Cloud CDN. Halaman ini digunakan sebagai halaman tanggapan perlindungan WAF untuk semua situs web yang ditambahkan ke kluster eksklusif.
Unggah sertifikat SNI default dengan memasukkan kontennya di bidang Certificate File dan Private Key File.
Konfigurasikan pengaturan enkripsi protokol HTTPS.
TLS Version: Opsi default adalah TLS 1.0 and Later (Best Compatibility and Low Security). Anda dapat memilih opsi yang hanya mendukung TLS 1.1 atau TLS 1.2 dan versi yang lebih baru sesuai kebutuhan keamanan Anda.
Cipher Suite:
Pilih Custom Cipher Suite (Select It Based on Protocol Version. Proceed with Caution.). Opsi ini memungkinkan Anda menyesuaikan versi TLS dan paket sandi untuk setiap nama domain. Anda dapat menyesuaikan versi TLS secara terpisah. Untuk paket sandi, Anda dapat memilih kombinasi algoritma enkripsi kuat, algoritma enkripsi lemah, atau algoritma individual.
Pilih Strong Cipher Suites (Low Compatibility and High Security). Hanya paket sandi kuat berikut yang didukung:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
Pilih All Cipher Suites (High Compatibility and Low Security). Selain paket sandi kuat yang tercantum di atas, paket sandi lemah berikut juga didukung:
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA
Klik Create Now.
Sistem akan membuat kluster eksklusif berdasarkan konfigurasi Anda. Proses ini memerlukan waktu sekitar 20 menit. Setelah kluster dibuat, Anda dapat melihat dan mengubah pengaturannya di halaman Exclusive Cluster Configurations.
Langkah selanjutnya
Setelah membuat kluster eksklusif, Anda dapat menambahkan layanan ke dalamnya untuk perlindungan. Skenario berikut didukung:
Saat menambahkan nama domain, Anda dapat menambahkannya ke kluster eksklusif untuk perlindungan. Untuk informasi selengkapnya, lihat Add a domain name.
PentingAlamat IP yang dihasilkan untuk kluster eksklusif hanya digunakan untuk mendengarkan permintaan ke layanan yang ditambahkan ke kluster. Alamat IP ini tidak tetap. Untuk memastikan stabilitas layanan, Anda harus mengikuti langkah-langkah dalam Add a domain name untuk mengubah pengaturan resolusi DNS nama domain Anda.
Untuk nama domain yang sudah dilindungi oleh WAF, Anda dapat membuka halaman Website Access dan mengubah Protection Resource menjadi Exclusive Cluster. Hal ini memindahkan nama domain ke kluster eksklusif untuk perlindungan.
Anda juga dapat menggunakan metode ini untuk memindahkan nama domain dari kluster eksklusif ke kluster bersama.
PentingRentang port kustom untuk kluster eksklusif dan kluster bersama berbeda. Saat mengganti kluster, pastikan konfigurasi port kustom nama domain kompatibel dengan kluster baru.