Web Application Firewall:Lindungi domain yang dipercepat CDN dengan WAF

Arsitektur jaringan

Trafik mengalir melalui tiga lapisan:

• CDN (lapisan ingress): mempercepat pengiriman konten ke pengguna akhir

• WAF (lapisan perantara): memeriksa trafik dan memblokir serangan

• Origin servers: hanya menerima trafik yang telah dibersihkan dan disaring

Server asal dapat berjalan pada instance Elastic Compute Service (ECS), instance Server Load Balancer (SLB), di dalam virtual private cloud (VPC), atau di pusat data lokal.

Prasyarat

Sebelum memulai, pastikan Anda telah:

• Mengaktifkan Alibaba Cloud CDN dengan nama domain yang sudah ditambahkan. Lihat Memulai Alibaba Cloud CDN

• Instans WAF telah dibeli.

Pilih mode akses

WAF mendukung dua cara integrasi dengan CDN. Pilih salah satu yang sesuai dengan infrastruktur Anda sebelum memulai langkah konfigurasi.

Langkah 1: Tambahkan nama domain ke WAF

1. Masuk ke Konsol WAF. Di bilah navigasi atas, pilih kelompok sumber daya dan wilayah tempat instance WAF Anda diterapkan (Chinese Mainland atau Outside Chinese Mainland).

2. Di panel navigasi kiri, pilih Asset Center > Website Access.

3. Di tab Domain Names, klik Website Access.

4. Tambahkan nama domain menggunakan mode akses yang Anda pilih:

   CNAME record mode

   Catatan

   Di halaman Add Domain Name, Access Mode secara default diatur ke CNAME Record. Tidak perlu perubahan.

   1. Pada langkah Enter Your Website Information, konfigurasikan parameter berikut lalu klik Next.

   Parameter	Deskripsi
   Domain Name	Nama domain website yang akan dilindungi
   Protection Resource	Jenis sumber daya perlindungan yang akan digunakan
   Protocol Type	Protokol yang didukung oleh website Anda
   Origin Server Address	IP: Alamat IP publik instance SLB atau ECS, atau IP server asal non-Alibaba Cloud Anda
   Destination Server Port	Port yang digunakan oleh server asal Anda, berdasarkan Protocol Type
   Load Balancing Algorithm	Jika Anda memiliki beberapa alamat server asal, pilih algoritma sesuai kebutuhan Anda
   Whether Layer 7 Proxy, Such as Anti-DDoS Pro, Anti-DDoS Premium, or Alibaba Cloud CDN, Is Deployed in Front of WAF	Atur ke Yes.
   Enable Traffic Mark	Tentukan apakah akan mengaktifkan fitur penandaan trafik WAF
   Resource Group	Pilih kelompok sumber daya untuk nama domain ini

   2. Di tab Domain Names, temukan domain yang telah Anda tambahkan dan salin CNAME yang diberikan WAF untuk domain tersebut.

   

   Transparent proxy mode

   1. Di halaman Add Domain Name, atur Access Mode ke Transparent Proxy Mode.

   2. Pada langkah Add Domain Name, konfigurasikan parameter berikut lalu klik Next.

   Parameter	Deskripsi
   Domain Name	Nama domain website yang akan dilindungi
   SLB-based Domains, Layer 7 SLB-based Domains, Layer 4 SLB-based Domains, dan ECS-based Domains	Pilih tipe instans dan port yang sesuai
   Whether Layer 7 Proxy, Such as Anti-DDoS Pro, Anti-DDoS Premium, or Alibaba Cloud CDN, Is Deployed in Front of WAF	Atur ke Yes.
   Enable Traffic Mark	Tentukan apakah akan mengaktifkan fitur penandaan trafik WAF
   Resource Group	Pilih kelompok sumber daya untuk nama domain ini

   3. Pada langkah Check and Confirm Added Information, tinjau informasi tersebut lalu klik Next.

   4. Klik Completed. Return to the website list. Di tab Servers, pilih Resource Instance ID dari daftar drop-down dan masukkan ID instans untuk menemukan alamat IP dan port instans yang telah Anda tambahkan.

   

Langkah 2: Arahkan CDN ke WAF

1. Masuk ke Konsol Alibaba Cloud CDN.

2. Di panel navigasi kiri, klik Domain Names.

3. Temukan nama domain tersebut lalu klik Manage di kolom Actions.

4. Di panel navigasi kiri, klik Basics. Di bagian Origin Information, klik Add Origin Server. Di kotak dialog, konfigurasikan parameter berikut lalu klik OK.

   Parameter	Deskripsi
   Origin Info	CNAME record mode: pilih Site Domain dan masukkan CNAME WAF dari Langkah 1. Transparent proxy mode: pilih IP dan masukkan alamat IP publik server asal Anda dari Langkah 1.
   Priority	Server asal utama memiliki prioritas lebih tinggi daripada server asal sekunder
   Weight	Ketika beberapa server asal memiliki prioritas yang sama, CDN mendistribusikan permintaan berdasarkan bobot
   Port	Port pada server asal yang menangani permintaan

5. Di panel navigasi kiri, klik Back-to-origin. Di tab Configurations, pastikan bahwa Default Origin Host dinonaktifkan.

   

6. Perbarui rekaman DNS Anda agar memetakan nama domain ke CNAME yang diberikan oleh Alibaba Cloud CDN. Lihat Tambahkan rekaman CNAME untuk nama domain.

Setelah langkah-langkah ini, CDN mempercepat pengiriman konten statis, dan WAF terus memeriksa serta melindungi trafik dinamis.

Verifikasi konfigurasi

Jalankan pemeriksaan berikut untuk memastikan pengaturan berfungsi:

1. Konektivitas: Buka nama domain di browser. Jika website dimuat, berarti trafik dialihkan melalui CDN dan WAF dengan benar.

2. Pemblokiran serangan: Tambahkan muatan XSS uji coba ke URL — misalnya, <your-domain>/alert(xss) dan alert(xss). Jika muncul halaman error 405, berarti WAF sedang memblokir serangan tersebut.

Operasi tambahan

Jika Anda ingin memberikan perlindungan WAF untuk domain yang dipercepat oleh Dynamic Route for CDN, Anda dapat mengaktifkan dan mengonfigurasi Edge WAF di Konsol DCDN. Setelah konfigurasi selesai, perlindungan WAF diterapkan pada node DCDN. Untuk informasi selengkapnya, lihat Panduan cepat Edge WAF.

Untuk melindungi nama domain yang menggunakan Dynamic Route for CDN (DCDN), aktifkan WAF di Konsol DCDN. Lihat Memulai WAF (baru).

Langkah berikutnya

• Tambahkan nama domain ke WAF — panduan detail untuk mode CNAME record

• Transparent proxy mode — panduan detail untuk mode transparent proxy

• Tambahkan nama domain — tambahkan nama domain ke Alibaba Cloud CDN