Tutorial WAF - Web Application Firewall

Sebelum menggunakan Web Application Firewall (WAF) untuk melindungi layanan web Anda, tambahkan situs web Anda ke WAF. Topik ini menjelaskan cara menambahkan situs web ke WAF.

Jenis onboarding

WAF mendukung dua jenis onboarding: Rekaman CNAME dan mode proxy transparan. HTTP 1.0, HTTP 1.1, dan HTTP 2.0 didukung secara default. Pilih jenis onboarding sesuai dengan kebutuhan Anda.

Catatan

Jika situs web Anda mendukung protokol HTTP 2.0, aktifkan saklar HTTP2 untuk melindungi layanan HTTP 2.0 Anda.

Perbedaan	Rekaman CNAME	Proxy transparan
Konsep	Tambahkan informasi tentang situs web yang ingin Anda lindungi ke WAF dan ubah rekaman DNS dari nama domain. Ini mengarahkan permintaan web dari server asal ke WAF untuk perlindungan.	Tambahkan informasi tentang situs web yang ingin Anda lindungi ke WAF. Anda tidak perlu mengubah rekaman DNS dari nama domain. Permintaan web dari server asal diteruskan ke WAF untuk perlindungan.
Server asal yang didukung	Semua server asal yang ditempatkan di dalam atau di luar Alibaba Cloud.	Server asal yang ditempatkan pada Instance ECS atau Instance SLB publik.
Ruang lingkup onboarding	Anda hanya dapat menambahkan satu nama domain dalam satu waktu.	Anda dapat menambahkan semua nama domain yang termasuk dalam sebuah instans.
Pengaturan kembali-ke-asal diperlukan	Ya	Tidak
Modifikasi rekaman DNS diperlukan	Ya. Anda harus mengubah rekaman DNS.	Tidak. Anda tidak perlu mengubah rekaman DNS.
Perlindungan server asal diperlukan	Ya. Server asal berisiko terkena serangan langsung. Konfigurasikan perlindungan untuk server asal.	Tidak. Anda tidak perlu mengkonfigurasi perlindungan untuk server asal.
Batasan	Tidak ada.	Karena keterbatasan dalam arsitektur jaringan dasar, mode proxy transparan hanya didukung di beberapa wilayah. Mode proxy transparan tidak mendukung Instans SLB internal. Mode proxy transparan tidak mendukung IPv6. Jumlah port pengalihan lalu lintas yang dapat Anda konfigurasikan juga terbatas. Mode proxy transparan menyediakan pengaturan perlindungan default yang tidak dapat diubah. Anda harus menambahkan nama domain sebelum dapat mengedit aturan perlindungan tingkat domain. Untuk informasi lebih lanjut tentang batasan mode proxy transparan, lihat Mode proxy transparan.

Rekaman CNAME

Buka halaman Tambah Nama Domain.

Tambahkan nama domain. Masukkan informasi tentang situs web Anda, seperti nama domain, ke WAF dan konfigurasikan pengaturan kembali-ke-asal.

Item konfigurasi	Deskripsi
Domain Name	Masukkan nama domain situs web yang ingin Anda lindungi.
Protection Resource	Pilih tipe sumber daya perlindungan yang ingin Anda gunakan sesuai kebutuhan.
Protocol Type	Pilih jenis protokol yang didukung oleh situs web Anda sesuai kebutuhan. Anda dapat memilih Enable Force Redirect To HTTPS, Enable HTTP For Back-to-origin Traffic, dan Enable Origin SNI.
Destination Server Port	Berdasarkan Protocol Type yang dipilih, atur port yang digunakan server asal untuk menyediakan layanan sesuai kebutuhan. Penting Jika server asal menggunakan port selain Port HTTP 80 atau Port HTTPS 443, tentukan port server kustom dalam rentang port yang didukung oleh WAF. Untuk informasi lebih lanjut, lihat Port yang didukung oleh WAF.
Origin Server Address	Atur alamat server asal ke mana WAF meneruskan permintaan. Opsi berikut didukung: IP: Alamat IP publik dari sebuah Instance SLB atau Instance ECS, atau alamat IP dari server di pusat data lokal yang tidak ditempatkan di Alibaba Cloud. Nama Domain (seperti CNAME): Nama domain kembali-ke-asal dari server asal tidak boleh sama dengan nama domain situs web yang ingin Anda lindungi. Hanya IPv4 yang didukung untuk lalu lintas kembali-ke-asal.
Load Balancing Algorithm	Jika Anda menentukan beberapa alamat server asal, pilih algoritma penyeimbangan beban untuk server sesuai kebutuhan.
Apakah Proxy Lapisan 7, Seperti Anti-DDoS Proxy, Atau CDN Alibaba Cloud, Ditempatkan Di Depan WAF	Tentukan apakah layanan proxy Lapisan 7 lainnya, seperti Anti-DDoS Proxy atau CDN, diaktifkan untuk situs web Anda sebelum Anda menambahkan situs web ke WAF.
Enable Traffic Mark	Tentukan apakah akan mengaktifkan fitur tanda lalu lintas.

Untuk informasi lebih lanjut, lihat Tambahkan Nama Domain ke WAF.

Verifikasi pengaturan nama domain di WAF. Untuk mencegah gangguan layanan, jangan ubah rekaman DNS dari nama domain sebelum pengaturan penerusan berlaku. Untuk informasi lebih lanjut, lihat Verifikasi lokal.
Ubah rekaman DNS dari nama domain untuk mengarahkan lalu lintas situs web ke WAF guna perlindungan.
Langkah-langkah berikut menjelaskan cara mengubah rekaman DNS menggunakan Alibaba Cloud DNS sebagai contoh.
1. Dapatkan alamat CNAME atau alamat IP dari WAF. Untuk informasi lebih lanjut, lihat Dapatkan alamat CNAME WAF.
2. Buka halaman Resolusi Nama Domain di konsol Alibaba Cloud DNS. Temukan nama domain yang ingin Anda kelola dan klik DNS Settings di kolom Actions. Ubah rekaman CNAME menjadi alamat CNAME yang disediakan oleh WAF.
Untuk informasi lebih lanjut, lihat Ubah rekaman DNS dari nama domain.
Verifikasi bahwa perlindungan WAF telah diterapkan. Untuk informasi lebih lanjut, lihat Langkah 6.

Setelah menyelesaikan langkah-langkah ini, situs web Anda telah ditambahkan ke WAF. Untuk menerapkan perlindungan keamanan komprehensif, selesaikan konfigurasi berikut:

Unggah Sertifikat HTTPS
Jika situs web Anda menggunakan protokol HTTPS, unggah sertifikat HTTPS yang valid setelah menambahkan nama domain. Ini memastikan bahwa WAF dapat memproses lalu lintas HTTPS. Untuk informasi lebih lanjut, lihat Tambahkan nama domain.
Daftarkan CIDR blok IP kembali-ke-asal WAF ke daftar putih
Setelah menambahkan situs web Anda ke WAF, WAF meneruskan lalu lintas ke server asal Anda dari CIDR blok IP tertentu. Untuk mencegah perangkat lunak keamanan server asal Anda memblokir alamat IP ini, tambahkan CIDR blok IP kembali-ke-asal WAF ke daftar putih. Untuk informasi lebih lanjut, lihat Daftarkan CIDR blok IP kembali-ke-asal WAF ke daftar putih.
Konfigurasikan perlindungan untuk server asal
Untuk tujuan keamanan, konfigurasikan kebijakan kontrol akses untuk server asal Anda agar hanya mengizinkan lalu lintas masuk dari CIDR blok IP kembali-ke-asal WAF. Ini mencegah penyerang melewati WAF untuk menyerang server asal Anda. Untuk informasi lebih lanjut, lihat Konfigurasikan perlindungan untuk server asal.
Konfigurasikan Pengaturan TLS Kustom
Jika situs web yang dilindungi oleh WAF menggunakan HTTPS untuk mentransmisikan data, Anda dapat menyesuaikan versi protokol TLS dan paket sandi untuk nama domain. Untuk informasi lebih lanjut, lihat Konfigurasikan pengaturan TLS kustom.

Proxy transparan

Buka halaman Tambah Nama Domain di konsol WAF. Atur Connection Type ke Transparent Proxy Mode.

Tambahkan nama domain.

Item Konfigurasi	Deskripsi
Domain Name	Masukkan nama domain situs web.
SLB-based Domains/Layer 7 SLB-based Domains/Layer 4 SLB-based Domains/ECS-based Domains	Pilih tipe instans dan port. WAF mendukung pengaktifan mode proxy transparan untuk port layanan dari tipe instans berikut: ALB, Layer 7 SLB, Layer 4 SLB, dan ECS.
Whether Layer 7 Proxy, Such as Anti-DDoS Proxy, or Alibaba Cloud CDN, Is Deployed in Front of WAF	Tentukan apakah layanan proxy Lapisan 7 lainnya, seperti Anti-DDoS Pro/Premium atau CDN, diaktifkan untuk situs web Anda sebelum menambahkan situs web ke WAF.
Enable Traffic Mark	Tentukan apakah akan mengaktifkan fitur tanda lalu lintas.

Untuk informasi lebih lanjut, lihat Mode Proxy Transparan.

Verifikasi bahwa perlindungan WAF telah diterapkan. Untuk informasi lebih lanjut, lihat Langkah 6.

Integrasi WAF dengan layanan cloud lainnya

Selain menambahkan situs web ke WAF, Anda dapat mengintegrasikan WAF dengan layanan Alibaba Cloud lainnya, seperti Anti-DDoS dan CDN, untuk membangun sistem keamanan komprehensif.

Gabungkan penyebaran Anti-DDoS Proxy dan WAF untuk meningkatkan perlindungan situs web: Untuk melindungi situs web Anda dari serangan aplikasi web dan serangan DDoS, Anda dapat menempatkan Anti-DDoS Proxy dan WAF di depan server asal Anda.
Sebarkan WAF dan CDN untuk memberikan perlindungan WAF untuk nama domain yang memiliki percepatan konten diaktifkan: Untuk melindungi situs web Anda dari serangan aplikasi web dan mempercepat pengiriman konten menggunakan CDN, Anda dapat menempatkan CDN dan WAF di depan server asal Anda.

Apa yang harus dilakukan selanjutnya

Setelah menambahkan situs web Anda ke WAF, lalu lintasnya dilindungi. WAF menyediakan beberapa modul perlindungan untuk membantu situs web Anda bertahan dari berbagai jenis ancaman keamanan. Web Intrusion Prevention - Protection Rules Engine dan Access Control/Throttling - HTTP Flood Protection diaktifkan secara default. Mereka digunakan untuk melindungi dari serangan aplikasi web umum, seperti injeksi SQL, skrip lintas situs (XSS), dan pengunggahan webshell, serta serangan flood HTTP. Anda harus mengaktifkan modul perlindungan lainnya secara manual dan mengkonfigurasi aturan perlindungan spesifik. Untuk informasi lebih lanjut, lihat Ikhtisar Konfigurasi Perlindungan Situs Web.