全部产品
Search

搜索本产品

    Web Application Firewall:Mode proxy transparan

    文档中心

    Web Application Firewall:Mode proxy transparan

    更新时间:Jul 02, 2025

    Anda dapat menambahkan situs web Anda ke Web Application Firewall (WAF) dalam mode proxy transparan dengan memasukkan informasi situs web tanpa perlu mengubah rekaman Sistem Nama Domain (DNS). Jika server asal Anda berada pada instance Alibaba Cloud Elastic Compute Service (ECS) atau Server Load Balancer (SLB) yang menghadap internet, Anda dapat menambahkan situs web Anda ke WAF dalam mode ini. Topik ini menjelaskan cara menambahkan situs web ke WAF dalam mode proxy transparan.

    Catatan

    Jika Anda memigrasikan instance WAF 2.0 ke WAF 3.0, Anda dapat menambahkan instance layanan cloud seperti ECS, Classic Load Balancer (CLB), dan Application Load Balancer (ALB) ke WAF dalam mode native cloud. Untuk informasi lebih lanjut, lihat Mode native cloud.

    Batasan

    Item

    Deskripsi

    Jenis layanan cloud

    Instance SLB akses internal dan instance SLB yang menghadap internet menggunakan IPv6 tidak mendukung mode proxy transparan.

    Wilayah di mana mode proxy transparan tersedia

    Mode proxy transparan tersedia di wilayah berikut:

    • Daratan Tiongkok: Tiongkok (Chengdu), Tiongkok (Beijing), Tiongkok (Zhangjiakou), Tiongkok (Hangzhou), Tiongkok (Shanghai), dan Tiongkok (Shenzhen).

    • Luar daratan Tiongkok: Tiongkok (Hong Kong), Malaysia (Kuala Lumpur), dan Indonesia (Jakarta).

    Beberapa instance SLB yang menghadap internet tertentu tidak mendukung mode proxy transparan karena masalah arsitektur jaringan.

    Jumlah port pengalihan lalu lintas

    Jumlah port tempat lalu lintas dapat dialihkan ke WAF bervariasi berdasarkan edisi WAF.

    • Edisi Pro: hingga 20 port pengalihan lalu lintas.

    • Edisi Bisnis: hingga 50 port pengalihan lalu lintas.

    • Edisi Perusahaan: hingga 100 port pengalihan lalu lintas.

    Anda dapat menambahkan port tertentu ke WAF dalam mode proxy transparan. Setelah port ditambahkan, lalu lintas pada port tersebut dialihkan ke WAF.

    Sebagai contoh, jika Anda menambahkan port 80 dan 443 dari dua instance SLB ke WAF dalam mode proxy transparan, lalu lintas pada keempat port tersebut akan dialihkan ke WAF.

    Port yang didukung

    Port 0 hingga 65535 didukung, termasuk port standar dan non-standar. Untuk informasi lebih lanjut, lihat Lihat port yang didukung oleh WAF.

    Catatan

    Hanya instance WAF berlangganan Edisi Bisnis, Edisi Perusahaan, atau Edisi Eksklusif yang mendukung port non-standar.

    Layanan yang dilindungi oleh Anti-DDoS Proxy dan WAF

    Jika Anda menambahkan layanan Anda ke Anti-DDoS Proxy dengan menambahkan nama domain, Anda dapat menambahkan layanan tersebut ke WAF dalam mode proxy transparan dan melindungi layanan tersebut dengan menggunakan Anti-DDoS Proxy bersama dengan WAF.

    Jika Anda menambahkan layanan Anda ke Anti-DDoS Proxy dengan mengonfigurasi aturan pengalihan port, Anda tidak dapat menambahkan layanan tersebut ke WAF dalam mode proxy transparan. Dalam hal ini, kami sarankan Anda menambahkan layanan Anda ke WAF dalam mode rekaman CNAME. Untuk informasi lebih lanjut, lihat Tambahkan nama domain ke WAF dalam mode rekaman CNAME.

    Prasyarat

    • Sebuah instance WAF telah dibeli.

    • Sebuah instance SLB yang menghadap internet menggunakan IPv4 dan terikat ke alamat IP publik telah dibuat, serta otentikasi timbal balik dinonaktifkan untuk port instance tersebut.

      Catatan

      Jika Anda menggunakan instance SLB akses internal yang terkait dengan alamat IP elastis (EIP), Anda dapat menambahkan situs web Anda ke WAF dalam mode proxy transparan.

    • Jika nama domain situs web Anda dihosting pada server di daratan Tiongkok, ajukan pendaftaran Penyedia Konten Internet (ICP) untuk nama domain tersebut. Saat Anda mengajukan pendaftaran ICP menggunakan sistem Pendaftaran ICP Alibaba Cloud, sistem akan menampilkan operasi yang diperlukan berdasarkan informasi situs web yang Anda masukkan. Untuk informasi lebih lanjut, lihat Skenario.

    • Operasi berikut dilakukan secara berurutan pada sertifikat SSL untuk port listener:

      1. Sertifikat diunggah atau diterbitkan di Konsol Layanan Manajemen Sertifikat.

      2. Sertifikat dipilih dan dikonfigurasi saat listener dikonfigurasi di Konsol SLB.

      Catatan

      Sebelum Anda menggunakan WAF untuk melindungi instance SLB Lapisan 7, pastikan prasyarat di atas telah terpenuhi.

    • WAF diberi otorisasi untuk mengakses sumber daya cloud. Untuk informasi lebih lanjut, lihat Otorisasi WAF untuk mengakses sumber daya cloud.

    Langkah 1: Tambahkan nama domain

    Penting

    • Saat Anda menambahkan instance ke WAF, layanan web Anda mungkin terganggu selama beberapa detik. Hal ini disebabkan oleh operasi seperti pembaruan resolusi DNS, perubahan konfigurasi jaringan, dan inisialisasi WAF.

    • Jika Anda melakukan operasi berikut setelah menambahkan instance ke WAF, port listener secara otomatis dihapus dari WAF. Jika Anda tidak menambahkan kembali port tersebut ke WAF, lalu lintas pada port tersebut tidak difilter oleh WAF.

      • Instance CLB Lapisan 7: Ubah alamat IP publik yang terkait dengan instance, ganti sertifikat yang terkait dengan port listener dengan sertifikat pihak ketiga, atau aktifkan otentikasi timbal balik.

      • Instance ECS atau instance CLB Lapisan 4: Ubah alamat IP publik yang terkait dengan instance atau aktifkan otentikasi timbal balik.

    • Jika Anda menambahkan instance ECS ke WAF, lalu lintas alamat IP publik atau EIP yang terkait dengan instance dialihkan ke WAF.

    • Setelah Anda memutuskan asosiasi EIP dari instance ECS, lalu lintas EIP tidak dialihkan ke WAF.

    1. Masuk ke Konsol WAF. Di bilah navigasi atas, pilih grup sumber daya dan wilayah tempat instance WAF diterapkan. Wilayah bisa berupa Chinese Mainland atau Outside Chinese Mainland.

    2. Di panel navigasi sisi kiri, pilih Asset Center > Website Access.

    3. Di tab Domain Names, klik Website Access.

    4. Di halaman Add Domain Name, atur parameter Access Mode menjadi Transparent Proxy Mode.

    5. Di langkah Add Domain Name, masukkan nama domain situs web Anda dan tambahkan port. Tabel berikut menjelaskan parameter-parameter tersebut.

      Parameter

      Deskripsi

      Domain Name

      Masukkan nama domain situs web yang ingin Anda tambahkan ke WAF untuk perlindungan. Nama domain dapat berupa nama domain yang cocok persis, seperti www.aliyundoc.com, atau nama domain wildcard, seperti *.aliyundoc.com. Saat memasukkan nama domain, perhatikan item berikut:

      • Nama domain wildcard dapat mencakup semua subdomain yang berada pada level yang sama dengan nama domain wildcard. Sebagai contoh, *.aliyundoc.com dapat mencakup subdomain seperti www.aliyundoc.com dan test.aliyundoc.com.

        Penting

        Jika Anda memasukkan nama domain wildcard, WAF tidak akan mencocokkan nama domain induk dari nama domain wildcard. Sebagai contoh, jika Anda memasukkan *.aliyundoc.com, WAF tidak akan mencocokkan aliyundoc.com. Jika Anda ingin menggunakan WAF untuk melindungi aliyundoc.com, Anda harus menambahkan nama domain tersebut secara terpisah ke WAF.

      • Jika Anda memasukkan nama domain wildcard dan nama domain yang cocok persis, WAF menggunakan aturan pengalihan dan perlindungan dari nama domain yang cocok persis.

      Port server asal

      Pilih port server asal yang ingin Anda tambahkan ke WAF.

      Instance berikut dapat ditambahkan ke WAF dalam mode proxy transparan: ALB instances, Layer 7 SLB instances, Layer 4 SLB instances, dan ECS. Klik tab yang sesuai berdasarkan jenis instance yang ingin Anda tambahkan ke WAF. Jika server asal Anda ditempatkan pada instance ALB dan Anda ingin mengaktifkan perlindungan WAF untuk lalu lintas pada port listener instance tersebut, klik tab ALB-based Domains.

      Anda dapat melakukan operasi berikut pada tab yang sesuai:

      • Tambahkan port

        • Port dari ALB dan Layer 7 secara otomatis disinkronkan ke WAF. Anda hanya perlu memilih port yang ingin ditambahkan ke WAF.

        • Jika Anda ingin menambahkan Layer 4 SLB atau ECS ke WAF, tambahkan port secara manual ke WAF. Anda dapat mengklik Add untuk mengaktifkan pengalihan lalu lintas untuk port tersebut.

          Setelah Anda menambahkan port server asal, Anda dapat memilih port tersebut dalam daftar instance. Anda juga dapat menghapus port atau menonaktifkan pengalihan lalu lintas pada tab Server. Untuk informasi lebih lanjut, lihat Lihat server asal dan kelola port pengalihan lalu lintas.

      • Aktifkan perlindungan WAF untuk port listener instance. Untuk informasi lebih lanjut, lihat Konfigurasikan port pengalihan lalu lintas untuk instance ALB.

      Does a layer 7 proxy (DDoS Protection/CDN, etc.) exist in front of WAF

      Tentukan apakah proxy lapisan 7, seperti Anti-DDoS Proxy dan Alibaba Cloud CDN, ditempatkan di depan WAF. Nilai valid:

      • No: Tidak ada proxy lapisan 7 yang ditempatkan di depan WAF. WAF menerima permintaan dari klien. WAF menggunakan alamat IP yang digunakan oleh klien untuk membuat koneksi dengan WAF sebagai alamat IP klien. WAF mendapatkan alamat IP dari bidang REMOTE_ADDR.

      • Yes: Sebuah proxy lapisan 7 ditempatkan di depan WAF. WAF menerima permintaan dari proxy lapisan 7. Untuk memastikan bahwa WAF dapat memperoleh alamat IP sebenarnya dari klien untuk analisis keamanan, konfigurasikan parameter Obtain Source IP Address.

        Secara default, WAF menggunakan alamat IP pertama di bidang X-Forwarded-For sebagai alamat IP klien.

        Jika Anda menggunakan proxy yang memerlukan alamat IP sebenarnya untuk disertakan dalam bidang header kustom, seperti X-Client-IP atau X-Real-IP, pilih [Recommended] Use the First IP Address in Specified Header Field as Actual IP Address of Client to Prevent X-Forwarded-For Forgery dan masukkan bidang header kustom di bidang Header Field.

        Catatan

        Kami merekomendasikan Anda menggunakan bidang header kustom untuk menyimpan alamat IP klien dan mengonfigurasi bidang header kustom di WAF. Ini mencegah penyerang memalsukan bidang X-Forwarded-For untuk menghindari perlindungan WAF dan meningkatkan keamanan bisnis Anda.

        Anda dapat memasukkan beberapa bidang header. Pisahkan beberapa bidang header dengan koma (,). Jika Anda memasukkan beberapa bidang header, WAF memindai bidang header tersebut secara berurutan sampai alamat IP klien diperoleh. Jika WAF tidak dapat memperoleh alamat IP klien dari bidang header, WAF menggunakan alamat IP pertama di bidang X-Forwarded-For sebagai alamat IP klien.

      Enable Traffic Mark

      Tentukan apakah akan mengaktifkan fitur penandaan lalu lintas.

      Fitur ini menambahkan bidang header kustom ke permintaan balik-asal WAF. Anda dapat menentukan atau memodifikasi bidang header kustom untuk melabeli permintaan yang diteruskan oleh WAF atau mencatat alamat IP atau port sebenarnya dari klien.

      Jika Anda memilih Enable Traffic Mark, tentukan bidang header kustom.

      Penting

      • Kami merekomendasikan Anda tidak mengonfigurasi bidang header HTTP standar seperti User-Agent. Jika Anda mengonfigurasi bidang header HTTP standar, nilai bidang header standar tersebut akan ditimpa oleh nilai bidang header kustom.

      • Jika penyerang memperoleh alamat IP server asal sebelum Anda menambahkan nama domain ke WAF dan membeli instance WAF lain untuk meneruskan permintaan ke server asal, kami merekomendasikan Anda memilih Enable Traffic Mark dan menambahkan bidang header kustom. Setelah server asal menerima permintaan, kami merekomendasikan Anda memeriksa bidang header. Jika bidang header kustom yang ditentukan ada dalam permintaan, permintaan tersebut diizinkan.

      Klik Add Mark untuk menambahkan bidang header. Anda dapat menambahkan hingga lima bidang header dari jenis berikut:

      • Custom Header

        Jika Anda ingin menambahkan bidang header kustom, Anda harus mengonfigurasi parameter Header Name dan Header Value. WAF menambahkan bidang header ke permintaan balik-asal. Ini memungkinkan server asal memeriksa apakah permintaan melewati WAF, mengumpulkan statistik, dan menganalisis data.

        Sebagai contoh, Anda dapat menambahkan bidang header kustom ALIWAF-TAG: Yes untuk menandai permintaan yang melewati WAF.Dalam contoh ini, nama bidang header adalah ALIWAF-TAG dan nilai bidang header adalah Yes.

      • Alamat IP Asal

        Anda dapat menentukan bidang header yang mencatat alamat IP asal klien. Dengan cara ini, server asal Anda dapat memperoleh alamat IP asal klien.

      • Source Port

        Anda dapat menentukan bidang header yang mencatat port asal klien. Dengan cara ini, server asal Anda dapat memperoleh port klien.

      Resource Group

      Pilih grup sumber daya ke mana Anda ingin menambahkan nama domain.

      Catatan

      Anda dapat menggunakan Manajemen Sumber Daya untuk membuat grup sumber daya dan mengelola sumber daya dalam akun Alibaba Cloud Anda berdasarkan departemen atau proyek. Untuk informasi lebih lanjut, lihat Buat grup sumber daya.

    6. Di langkah Check and Confirm Added Information, periksa dan konfirmasi konfigurasi lalu klik Next.

    7. Di langkah Add Completed, klik Completed. Return to the website list.

      Setelah Anda menambahkan nama domain, Anda dapat melihat konfigurasi dan server asal dari nama domain tersebut di tab Domain Names. Anda dapat memodifikasi atau menghapus konfigurasi nama domain berdasarkan kebutuhan bisnis Anda.

      Secara default, WAF mendeteksi lalu lintas pada port yang diaktifkan di langkah Add Domain Name dan meneruskan lalu lintas normal ke server asal. Di tab Servers, Anda dapat mengubah status perlindungan lalu lintas suatu port berdasarkan kebutuhan bisnis Anda.

    Langkah 2: Lihat dan kelola port pengalihan lalu lintas

    Lihat server asal dan kelola port pengalihan lalu lintas

    Setelah Anda menambahkan nama domain ke WAF, Anda dapat melihat informasi tentang server asal. Anda dapat menonaktifkan paksa pengalihan lalu lintas atau menghapus port pengalihan lalu lintas dalam skenario pemulihan bencana darurat.

    1. Di halaman Website Access, klik tab Servers.

    2. Anda dapat mengklik ikon 展开 di sebelah kiri nama instance untuk melihat port yang ditambahkan ke WAF.

      防护状态

      Catatan

      Port dari Layer 4 SLB dan ECS tidak dapat disinkronkan secara otomatis ke WAF. Anda harus menambahkan port secara manual ke WAF. Untuk informasi lebih lanjut, lihat Tambahkan port.

      Deskripsi Traffic Status:

      • Traffic Status (berlabel 1 pada gambar sebelumnya) menunjukkan apakah lalu lintas pada port dilindungi oleh WAF. Nilai valid: Enabled dan Disabled. Di kolom Actions, Anda dapat mengklik Enable Traffic Redirection untuk mengaktifkan pengalihan lalu lintas atau Disable Traffic Redirection untuk menonaktifkan pengalihan lalu lintas.

        Catatan

        Jika Anda menonaktifkan pengalihan lalu lintas, lalu lintas pada port tersebut tidak lagi dialihkan ke WAF.

      • Traffic Status (berlabel 2 pada gambar sebelumnya) menunjukkan status perlindungan WAF keseluruhan dari port instance tersebut. Nilai valid: Unprotected, Partially Protected, dan Fully Protected.

    3. Opsional. Jika instance Anda adalah instance SLB Lapisan 4 atau instance ECS, klik Delete di kolom Actions. Di pesan Tips, klik Confirm untuk menghapus port yang tidak lagi memerlukan perlindungan WAF.

    Perbarui sertifikat port pengalihan lalu lintas

    • Jika instance tersebut adalah ALB instance atau Layer 7 SLB instance, Anda tidak perlu mengunggah sertifikat lain.

      • Jika sertifikat yang dikonfigurasikan untuk port listener instance diperbarui, Anda hanya perlu memperbarui sertifikat di konsol SLB. Sertifikat yang diperbarui akan disinkronkan secara otomatis ke WAF. Waktu yang diperlukan untuk menyinkronkan sertifikat ke WAF adalah sekitar 30 menit.

        Penting

        • Jika sertifikat yang terikat pada port pengalihan lalu lintas diganti dengan sertifikat yang tidak dibeli menggunakan Layanan Manajemen Sertifikat Alibaba Cloud, perbarui sertifikat dan tambahkan kembali instance ke WAF.

        • Jika instance SLB terkait dengan sertifikat yang telah kedaluwarsa, sertifikat tersebut tidak dapat disinkronkan secara otomatis ke WAF. Hapus sertifikat tersebut lalu sinkronkan sertifikat baru.

      • Jika sertifikat yang disinkronkan secara otomatis ke WAF tidak berlaku, klik ikon 更新 di tab Servers untuk memperbarui sertifikat secara manual.

    • Jika instance tersebut adalah ECS instance atau Layer 4 SLB instance, Anda harus mengunggah ulang sertifikat di konsol WAF.

      Di tab Servers, temukan instance yang sertifikatnya ingin Anda perbarui dan klik Edit di kolom Actions. Di kotak dialog yang muncul, atur parameter Jenis Unggah menjadi Manual Upload atau Select Existing Certificate lalu unggah sertifikat. 上传证书

    Apa yang harus dilakukan selanjutnya

    Setelah Anda menambahkan situs web ke WAF, semua lalu lintas ke situs web tersebut dideteksi dan difilter oleh WAF. WAF menyediakan berbagai fitur untuk melindungi situs web dari berbagai jenis serangan. Secara default, fitur Protection Rules Engine dan HTTP Flood Protection diaktifkan. Fitur Mesin Aturan Perlindungan melindungi situs web dari serangan web umum, seperti serangan injeksi SQL, serangan skrip lintas situs (XSS), dan pengunggahan webshell. Fitur Perlindungan Flood HTTP melindungi situs web dari serangan flood HTTP. Anda dapat mengaktifkan fitur lainnya dan mengonfigurasi aturan perlindungan untuk fitur-fitur tersebut berdasarkan kebutuhan bisnis Anda. Untuk informasi lebih lanjut, lihat Ikhtisar konfigurasi perlindungan situs web.

    Referensi