Web Application Firewall (WAF) memeriksa lalu lintas web sebelum mencapai server origin Anda. Untuk mengaktifkan perlindungan, tambahkan website Anda ke WAF dengan mengonfigurasi nama domain dan mengarahkan lalu lintas melalui WAF.
Prasyarat
Sebelum memulai, pastikan Anda telah memiliki:
Instans WAF aktif
Nama domain website yang akan dilindungi
Alamat IP publik atau nama domain (CNAME) server origin Anda
Protokol dan port yang digunakan oleh server origin Anda (Port HTTP 80, Port HTTPS 443, atau port kustom)
Pilih tipe onboarding
WAF mendukung dua tipe onboarding. Pilih berdasarkan infrastruktur server origin Anda.
| Rekaman CNAME | Proxy transparan | |
|---|---|---|
| Cara kerja | Tambahkan domain Anda ke WAF, lalu perbarui rekaman DNS Anda agar mengarahkan traffic ke WAF. | Tambahkan domain Anda ke WAF. WAF mencegat traffic di tingkat jaringan — tidak diperlukan perubahan DNS. |
| Server origin yang didukung | Semua server origin, baik di Alibaba Cloud maupun di tempat lain. | Hanya instance ECS dan instance SLB publik. |
| Domain per operasi | Satu domain dalam satu waktu. | Semua domain di bawah satu instans sekaligus. |
| Diperlukan perubahan rekaman DNS | Ya | Tidak |
| Diperlukan pengaturan kembali ke asal | Ya | Tidak |
| Diperlukan perlindungan server origin | Ya — konfigurasikan kebijakan kontrol akses untuk memblokir traffic langsung ke server origin Anda. | Tidak |
Batasan mode proxy transparan:
Tidak mendukung instance SLB internal
Tidak mendukung IPv6
Membatasi jumlah port pengalihan lalu lintas yang dapat dikonfigurasi
Menerapkan pengaturan perlindungan default yang tidak dapat dimodifikasi. Anda harus menambahkan nama domain terlebih dahulu sebelum dapat mengedit aturan perlindungan tingkat domain.
Untuk detail selengkapnya, lihat Mode proxy transparan.
HTTP 1.0, HTTP 1.1, dan HTTP 2.0 didukung secara default. Jika website Anda menggunakan HTTP 2.0, aktifkan sakelar HTTP2 untuk memperluas perlindungan WAF ke lalu lintas HTTP 2.0.
Tambahkan website menggunakan Rekaman CNAME
Metode ini berlaku untuk semua jenis server origin. Setelah menambahkan domain, perbarui rekaman DNS Anda untuk mengarahkan lalu lintas melalui WAF.
Langkah-langkah ringkas:
Tambahkan nama domain dan konfigurasikan pengaturan kembali ke asal
Verifikasi pengaturan secara lokal (sebelum menyentuh DNS)
Perbarui rekaman DNS
Konfirmasi bahwa perlindungan WAF aktif
Langkah 1: Tambahkan nama domain
Buka halaman Tambah Nama Domain di konsol WAF.
Isi konfigurasi berikut:
Item konfigurasi Deskripsi Domain Name Nama domain yang akan dilindungi. Protection Resource Pilih tipe sumber daya perlindungan. Protocol Type Pilih protokol yang didukung website Anda. Opsi: Aktifkan Pengalihan Paksa ke HTTPS, Aktifkan HTTP untuk Lalu Lintas Kembali ke Asal, Aktifkan Origin SNI. Destination Server Port Port pada server origin Anda. Default: Port HTTP 80 atau Port HTTPS 443. Jika origin Anda menggunakan port non-standar, masukkan nilai kustom dalam port yang didukung oleh WAF. Origin Server Address Alamat tujuan permintaan yang diteruskan oleh WAF. Gunakan IP untuk alamat IP publik (instance SLB, instance ECS, atau server non-Alibaba Cloud), atau Nama Domain untuk alamat kembali ke asal berbasis CNAME. Nama domain kembali ke asal tidak boleh sama dengan nama domain yang dilindungi. Hanya IPv4 yang didukung untuk lalu lintas kembali ke asal. Load Balancing Algorithm Jika Anda menentukan beberapa alamat server origin, pilih algoritma penyeimbangan beban. Whether Layer 7 Proxy, Such as Anti-DDoS Proxy, or Alibaba Cloud CDN, Is Deployed in Front of WAF Pilih Yes jika Anti-DDoS Proxy, CDN, atau proxy Lapisan 7 lainnya berada di depan WAF. Enable Traffic Mark Tentukan apakah akan mengaktifkan fitur tanda lalu lintas. Klik Save. Untuk daftar lengkap opsi konfigurasi, lihat Tambahkan nama domain.
Langkah 2: Verifikasi pengaturan secara lokal
Sebelum memperbarui rekaman DNS Anda, verifikasi bahwa konfigurasi WAF sudah benar untuk menghindari gangguan layanan. Lihat Verifikasi lokal.
Langkah 3: Perbarui rekaman DNS
Perbarui rekaman DNS Anda agar mengarahkan lalu lintas melalui WAF. Langkah-langkah berikut menggunakan DNS Alibaba Cloud sebagai contoh.
Dapatkan alamat CNAME WAF. Lihat Dapatkan alamat CNAME WAF.
Buka halaman Resolusi Nama Domain di konsol DNS Alibaba Cloud. Temukan domain Anda, klik DNS Settings di kolom Actions, lalu perbarui rekaman CNAME ke alamat CNAME WAF.
Untuk penyedia DNS lainnya, lihat Ubah rekaman DNS nama domain.
Langkah 4: Konfirmasi perlindungan WAF aktif
Verifikasi bahwa lalu lintas mengalir melalui WAF. Lihat Langkah 6: Verifikasi pengaturan nama domain.
Konfigurasi pasca-penyiapan
Setelah menambahkan domain Anda, selesaikan langkah-langkah berikut untuk perlindungan penuh:
Unggah sertifikat HTTPS — Diperlukan jika website Anda menggunakan HTTPS. Tanpa sertifikat yang valid, WAF tidak dapat memproses lalu lintas HTTPS. Lihat Tambahkan nama domain.
Daftarkan blok CIDR kembali ke asal WAF ke daftar putih — WAF meneruskan lalu lintas ke server origin Anda dari rentang IP tertentu. Tambahkan rentang ini ke daftar izin server origin Anda agar perangkat lunak keamanannya tidak memblokir lalu lintas WAF. Lihat Daftarkan blok CIDR alamat IP kembali ke asal WAF ke daftar putih.
Lindungi server origin Anda — Konfigurasikan kebijakan kontrol akses pada server origin Anda agar hanya menerima lalu lintas inbound dari blok CIDR kembali ke asal WAF. Hal ini mencegah penyerang melewati WAF dengan menargetkan server origin Anda secara langsung. Lihat Konfigurasikan perlindungan untuk server origin.
Konfigurasikan pengaturan TLS kustom — Sesuaikan versi protokol TLS dan paket sandi untuk domain Anda jika diperlukan. Lihat Konfigurasikan pengaturan TLS kustom.
Tambahkan website menggunakan proxy transparan
Metode ini tidak memerlukan perubahan DNS. WAF mencegat lalu lintas di tingkat jaringan berdasarkan konfigurasi instance ECS atau instance SLB Anda.
Langkah 1: Tambahkan nama domain
Buka halaman Add Domain Name di Konsol WAF, lalu atur Connection Type ke Transparent Proxy Mode.
Isi konfigurasi berikut:
Item konfigurasi Deskripsi Domain Name Nama domain website. SLB-based Domains / Layer 7 SLB-based Domains / Layer 4 SLB-based Domains / ECS-based Domains Pilih tipe instans dan port layanan. Tipe yang didukung: ALB, SLB Lapisan 7, SLB Lapisan 4, ECS. Whether Layer 7 Proxy, Such as Anti-DDoS Proxy, or Alibaba Cloud CDN, Is Deployed in Front of WAF Pilih Yes jika Anti-DDoS Pro/Premium, CDN, atau proxy Lapisan 7 lainnya berada di depan WAF. Enable Traffic Mark Tentukan apakah akan mengaktifkan fitur tanda lalu lintas. Klik Save. Untuk detail selengkapnya, lihat Mode proxy transparan.
Langkah 2: Konfirmasi perlindungan WAF aktif
Verifikasi bahwa lalu lintas mengalir melalui WAF. Lihat Langkah 6: Verifikasi pengaturan nama domain.
Langkah selanjutnya
Website Anda kini dilindungi oleh WAF. Dua modul perlindungan diaktifkan secara default:
Pencegahan Intrusi Web - Mesin Aturan Perlindungan: memblokir serangan web umum termasuk Injeksi SQL, skrip lintas situs (XSS), dan unggahan webshell.
Kontrol Akses/Pembatasan Laju - Perlindungan Serangan Banjir HTTP: melindungi dari serangan banjir HTTP.
Untuk memperluas cakupan perlindungan, aktifkan modul tambahan dan konfigurasikan aturan. Lihat Ikhtisar konfigurasi perlindungan website.
Lindungi dari serangan DDoS
Terapkan Anti-DDoS Proxy dan WAF bersama-sama di depan server origin Anda untuk melindungi dari serangan aplikasi web dan serangan DDoS berbasis volume. Lihat Terapkan Anti-DDoS Proxy dan WAF secara bersama untuk meningkatkan perlindungan website.
Percepat pengiriman konten dengan perlindungan WAF
Terapkan CDN dan WAF bersama untuk menggabungkan akselerasi konten dengan keamanan aplikasi web. Lihat Terapkan WAF dan CDN untuk memberikan perlindungan WAF bagi nama domain yang telah diaktifkan akselerasi kontennya.