All Products
Search

This Product

    Web Application Firewall:Lindungi instans ECS dari serangan flood HTTP

    Document Center

    Web Application Firewall:Lindungi instans ECS dari serangan flood HTTP

    Last Updated:Mar 28, 2026

    Web Application Firewall (WAF) memblokir lalu lintas berbahaya, serangan DDoS, dan ancaman otomatis sebelum mencapai aplikasi web Anda. Panduan ini menjelaskan cara mendaftarkan instans ECS ke WAF dan mengonfigurasi perlindungan terhadap serangan flood HTTP.

    Cakupan penerapan

    • Instans ECS menjalankan layanan web yang dapat diakses melalui Alamat IP publik.

    • Instans ECS harus berada di salah satu wilayah berikut:

      • Wilayah Tiongkok: Tiongkok (Chengdu), Tiongkok (Beijing), Tiongkok (Zhangjiakou), Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Shenzhen), Tiongkok (Qingdao), Tiongkok (Hong Kong)

      • Wilayah global: Malaysia (Kuala Lumpur), Indonesia (Jakarta), atau Singapura

      Jika instans ECS Anda tidak berada di wilayah yang didukung, gunakan CNAME access.

    Langkah 1: Aktifkan instans WAF pay-as-you-go

    1. Buka halaman pembelian Web Application Firewall 3.0 (Pay-As-You-Go).

    2. Atur Product Type menjadi Web Application Firewall 3.0 dan Billing Method menjadi Pay-as-you-go. Lalu, konfigurasikan pengaturan berikut.

      Parameter

      Deskripsi

      Region

      Wilayah instans WAF. Atur agar sama dengan wilayah instans ECS Anda. Opsi:

      • Chinese Mainland

      • Outside Chinese Mainland

      Version

      Default-nya adalah Pay-as-you-go 3.0. Tidak perlu dikonfigurasi.

      Traffic Billing Protection Threshold

      Pertahankan nilai default. Anda dapat mengubahnya nanti.

      Service-Linked Role

      WAF perlu mengakses sumber daya layanan cloud Anda untuk menyediakan layanan seperti kontrol akses traffic dan analitik pemantauan. Klik Create Service-Linked Role. Sistem secara otomatis membuat peran AliyunServiceRoleForWaf. Jangan ubah peran ini secara manual.

    3. Klik Buy Now dan selesaikan pembayaran.

    Langkah 2: Daftarkan instans ECS ke WAF

    1. Masuk ke Konsol Web Application Firewall 3.0. Di bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland). Di panel navigasi kiri, klik Onboarding. Lalu pilih tab Cloud Native. Dari daftar jenis produk cloud, pilih Elastic Compute Service (ECS).

    2. Temukan instans ECS target Anda dan klik Add Now di kolom Actions. Jika instans tidak muncul dalam daftar, klik Synchronize Assets di pojok kanan atas.image

    3. Konfigurasikan protokol dan port website Anda:

      1. Di bagian Select instances & ports to protect, klik Add Port di kolom Actions.

      2. Di kotak dialog Add Port, konfigurasikan port dan protokol.

        Jenis website

        Protokol

        Port

        Konfigurasi tambahan

        HTTP (http://yourdomain.com)

        HTTP

        80

        Tidak ada

        HTTPS (https://yourdomain.com)

        HTTPS

        443

        Unggah Sertifikat SSL atau pilih yang sudah ada

        Port kustom (http://yourdomain.com:8080)

        HTTP/HTTPS

        Port kustom

        Sesuaikan dengan konfigurasi aktual Anda

        Unggah Sertifikat SSL atau pilih yang sudah ada

        1. Di bidang Port, masukkan nomor port yang digunakan oleh website.

        2. Di bagian Protocol Type, pilih HTTPS.

        3. Pertahankan pengaturan default untuk HTTP2, TLS Version, Cipher Suite, dan Additional Certificate.

        4. Di bagian Default Certificate, pilih metode untuk mengunggah sertifikat.

          • Manual upload: Untuk sertifikat yang dikelola di luar Alibaba Cloud Certificate Management Service (Original SSL Certificate).

          • Select existing certificate: Untuk sertifikat yang telah diterbitkan atau diunggah ke Alibaba Cloud Certificate Management Service (Original SSL Certificate).

        Manual upload

        • Certificate Name: Masukkan nama unik untuk sertifikat tersebut. Nama tidak boleh sama dengan sertifikat yang sudah ada.

        • Certificate File: Buka file sertifikat di editor teks dan tempel konten sertifikat tersebut. Sertifikat harus dalam format PEM, CER, atau CRT.

        • Contoh format: -----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----

          • Konversi format: Jika sertifikat Anda dalam format seperti PFX atau P7B, gunakan certificate tool untuk mengonversinya ke format PEM.

          • Rantai sertifikat: Jika mencakup sertifikat perantara, tempel sertifikat server terlebih dahulu, diikuti oleh sertifikat perantara.

        • Private Key: Buka file kunci privat di editor teks dan tempel konten kunci privat tersebut. Kunci privat harus dalam format PEM.

        • Contoh format: -----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----

        Select existing certificate

        Dari daftar drop-down sertifikat, pilih sertifikat yang ingin Anda unggah ke WAF.

        Catatan

        Jika konsol WAF menampilkan pesan "Failed to verify the integrity of the certificate chain. If you use this certificate, service access may be affected.", rantai sertifikat tidak lengkap. Pastikan konten sertifikat benar dan lengkap, lalu unggah ulang di konsol Certificate Management Service. Untuk informasi lebih lanjut, lihat Upload, synchronize, and share SSL certificates.

    4. Pertahankan nilai default untuk pengaturan lainnya dan klik OK.

      Setelah proses onboarding selesai, status perlindungan instans ECS akan berubah menjadi Full Protection. WAF secara otomatis membuat objek yang dilindungi menggunakan format instance ID-port-asset type. Secara default, aturan perlindungan standar (seperti Web Core Protection) diaktifkan untuk objek ini. Anda dapat melihat dan mengelolanya di halaman Protection Configuration > Protected Objects.

    5. Verifikasi perlindungan dasar: Tambahkan string serangan ke URL website Anda (misalnya http://yourdomain/alert(xss)). Jika muncul halaman blokir WAF 405, berarti perlindungan aktif.

    Langkah 3: Konfigurasi perlindungan flood HTTP

    Serangan flood HTTP membanjiri server dengan permintaan berfrekuensi tinggi. Konfigurasikan aturan perlindungan:

    1. Di panel navigasi kiri, pilih Protection Configuration > Core Web Protection.

    2. Di bagian bawah halaman, pada bagian HTTP Flood Protection, klik Create Template.image

    3. Di panel Create Template, lengkapi konfigurasi berikut.

      Parameter

      Deskripsi

      Template Name

      Masukkan nama deskriptif untuk templat, misalnya ECS-HTTP-Flood-Protection.

      Save as Default Template

      Biarkan nonaktif.

      Defense Mode

      • Normal Mode: Hanya memblokir permintaan dengan karakteristik abnormal yang signifikan, dengan tingkat positif palsu rendah. Cocok untuk operasi bisnis harian dan skenario dengan traffic stabil.

      • Strict Mode: Menggunakan algoritma deteksi intensitas tinggi untuk memblokir efektif serangan flood HTTP, tetapi memiliki risiko positif palsu lebih tinggi. Aktifkan hanya jika mode normal gagal dan Anda mengalami penundaan respons atau beban sumber daya (CPU/memori) abnormal.

        Catatan

        Strict Mode hanya berlaku untuk layanan web (termasuk H5). Jangan gunakan untuk titik akhir API atau aplikasi asli untuk menghindari pemblokiran berlebihan.

      Action

      Tentukan tindakan yang diambil saat permintaan sesuai dengan aturan perlindungan, dan pilih JavaScript Validation.

      Apply To

      Di bagian Available Objects, pilih objek yang dilindungi yang sesuai dengan instans ECS. Klik ikon image untuk memindahkannya ke bagian Selected di sebelah kanan.

      image

    4. Klik OK.image

    Langkah 4: Pantau traffic serangan

    Setelah konfigurasi selesai, buka halaman Overview dari panel navigasi kiri. Di halaman ini, Anda dapat melihat informasi seperti Protection Overview dan Top 10 Attacks untuk analitik keamanan bisnis.image

    Langkah selanjutnya:

    Optimasi lanjutan: Tingkatkan perlindungan dan kendalikan biaya

    Berdasarkan konfigurasi dalam panduan ini, jika Anda ingin terus menggunakan WAF, Anda dapat menyesuaikan pengaturan lebih lanjut sebagai berikut agar sesuai dengan karakteristik bisnis spesifik Anda. Hal ini akan membantu Anda mencapai postur keamanan yang lebih baik dan menurunkan biaya.

    • Perlindungan kolaboratif multi-modul: Topik ini menjelaskan cara mengaktifkan modul HTTP Flood Protection, yang dapat Anda kombinasikan dengan modul perlindungan berikut untuk pertahanan kolaboratif.

      • Custom Rules: Gunakan kondisi pencocokan dan tindakan aturan yang fleksibel untuk perlindungan tepat terhadap pola serangan tertentu. Misalnya, Anda dapat mengonfigurasi aturan kontrol frekuensi untuk membatasi akses.

      • Whitelist: Izinkan permintaan yang memenuhi kriteria tertentu, seperti permintaan dari alamat IP tepercaya.

      • IP Blacklist: Blokir akses dari alamat IP berbahaya yang diketahui.

      • Geo-blocking: Blokir permintaan dari wilayah geografis tertentu dengan satu klik. Misalnya, jika bisnis Anda hanya melayani pengguna di Tiongkok daratan dan Anda mendeteksi banyak serangan dari negara lain, Anda dapat mengaktifkan fitur ini.

    • Konfigurasi onboarding lanjutan: WAF menyediakan beberapa metode untuk mengakses sumber daya. Pilih metode sesuai kebutuhan.

    • Saran optimasi biaya:

      • Traffic billing protection: Untuk mencegah biaya tinggi akibat lonjakan QPS selama serangan skala besar, atur ambang batas perlindungan penagihan traffic untuk membatasi QPS puncak yang dapat diproses WAF.

      • SeCU resource plan: Solusi hemat biaya untuk WAF pay-as-you-go. Setelah Anda mengaktifkan instans WAF pay-as-you-go, Anda dapat membeli paket sumber daya SeCU untuk mengimbangi total biaya WAF pay-as-you-go.

      • Subscription WAF: Jika Anda berencana menggunakan WAF dalam jangka panjang, beli instans WAF langganan untuk harga satuan yang lebih baik.

    Lepaskan sumber daya untuk menghentikan penagihan

    Jika Anda tidak lagi memerlukan instans WAF setelah menyelesaikan quick start ini, ikuti langkah-langkah berikut untuk menonaktifkan WAF dan menghentikan penagihan.

    Peringatan

    • Pemberitahuan penagihan: WAF pay-as-you-go menagih pemrosesan permintaan dan fitur, termasuk instans WAF itu sendiri. Setelah Anda mengaktifkan WAF, biaya akan dikenakan terlepas dari apakah Anda telah menambahkan sumber daya atau tidak. Jika Anda tidak lagi perlu menggunakan WAF, segera nonaktifkan instans WAF untuk mencegah biaya tambahan.

    • Catatan tentang CNAME access: Jika Anda hanya menggunakan mode cloud native yang dijelaskan dalam topik ini, abaikan catatan ini. Jika Anda telah mengonfigurasi CNAME access, pastikan bahwa rekaman DNS untuk nama domain website terkait telah dialihkan kembali ke origin server sebelum mengakhiri instans WAF.

    1. Di panel navigasi kiri, buka halaman Overview. Di bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland) instans WAF.

    2. Jika halaman berikut ditampilkan, klik Go to Console di pojok kanan atas. Jika halaman ini tidak ditampilkan, lewati langkah ini.image

    3. Di bagian kanan halaman, klik Terminate WAF Service. Di kotak dialog yang muncul, centang kotak relevan dan klik OK.image