全部产品
Search

搜索本产品

    Web Application Firewall:Lindungi instans ECS dari serangan flood HTTP

    文档中心

    Web Application Firewall:Lindungi instans ECS dari serangan flood HTTP

    更新时间:Jan 30, 2026

    Web Application Firewall (WAF) memblokir lalu lintas berbahaya, serangan DDoS, dan ancaman otomatis sebelum mencapai aplikasi web Anda. Panduan ini menjelaskan cara mendaftarkan instans ECS ke WAF dan mengonfigurasi perlindungan terhadap serangan flood HTTP.

    Cakupan yang berlaku

    • Instans ECS menjalankan layanan web yang dapat diakses melalui Alamat IP publik.

    • Instans ECS harus berada di salah satu wilayah berikut:

      • Wilayah Tiongkok: Tiongkok (Chengdu), Tiongkok (Beijing), Tiongkok (Zhangjiakou), Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Shenzhen), Tiongkok (Qingdao), Tiongkok (Hong Kong)

      • Wilayah global: Malaysia (Kuala Lumpur), Indonesia (Jakarta), atau Singapura

      Jika instans ECS Anda tidak berada di wilayah yang didukung, gunakan akses CNAME.

    Langkah 1: Aktifkan instans WAF bayar sesuai penggunaan

    1. Buka halaman pembelian Web Application Firewall 3.0 (Bayar Sesuai Penggunaan).

    2. Atur Product Type menjadi Web Application Firewall 3.0 dan Billing Method menjadi Pay-as-you-go. Kemudian, konfigurasikan pengaturan berikut.

      Parameter

      Deskripsi

      Region

      Wilayah instans WAF. Atur agar sama dengan wilayah instans ECS Anda. Opsi:

      • Chinese Mainland

      • Outside Chinese Mainland

      Version

      Default-nya adalah Pay-as-you-go 3.0. Tidak perlu dikonfigurasi.

      Traffic Billing Protection Threshold

      Pertahankan nilai default. Anda dapat mengubahnya nanti.

      Service-Linked Role

      WAF perlu mengakses sumber daya layanan cloud Anda untuk menyediakan layanan seperti kontrol akses traffic dan analitik pemantauan. Klik Create Service-Linked Role. Sistem secara otomatis membuat peran AliyunServiceRoleForWaf. Jangan ubah peran ini secara manual.

    3. Klik Buy Now dan selesaikan pembayaran.

    Langkah 2: Daftarkan instans ECS ke WAF

    1. Masuk ke konsol Web Application Firewall 3.0. Di bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland). Di panel navigasi kiri, klik Onboarding. Lalu pilih tab Cloud Native. Dari daftar jenis produk cloud, pilih Elastic Compute Service (ECS).

    2. Temukan instans ECS target Anda dan klik Add Now di kolom Actions. Jika instans tidak muncul dalam daftar, klik Synchronize Assets di pojok kanan atas.image

    3. Konfigurasikan protokol dan port website Anda:

      1. Di bagian Select instances & ports to protect, klik Add Port di kolom Actions.

      2. Di kotak dialog Add Port, konfigurasikan port dan protokol.

        Jenis website

        Protokol

        Port

        Konfigurasi tambahan

        HTTP (http://yourdomain.com)

        HTTP

        80

        Tidak ada

        HTTPS (https://yourdomain.com)

        HTTPS

        443

        Unggah Sertifikat SSL atau pilih yang sudah ada

        Port kustom (http://yourdomain.com:8080)

        HTTP/HTTPS

        Port kustom

        Sesuaikan dengan konfigurasi aktual Anda

        Unggah Sertifikat SSL atau pilih yang sudah ada

        1. Di bidang Port, masukkan nomor port yang digunakan oleh website.

        2. Di bagian Protocol Type, pilih HTTPS.

        3. Pertahankan pengaturan default untuk HTTP2, TLS Version, Cipher Suite, dan Additional Certificate.

        4. Di bagian Default Certificate, pilih metode untuk mengunggah sertifikat.

          • Manual upload: Untuk sertifikat yang dikelola di luar Alibaba Cloud Certificate Management Service (Original SSL Certificate).

          • Select existing certificate: Untuk sertifikat yang sudah diterbitkan atau diunggah ke Alibaba Cloud Certificate Management Service (Original SSL Certificate).

        Manual upload

        • Certificate Name: Masukkan nama unik untuk sertifikat tersebut. Nama tidak boleh sama dengan sertifikat yang sudah ada.

        • Certificate File: Buka file sertifikat di editor teks dan tempel konten sertifikat tersebut. Sertifikat harus dalam format PEM, CER, atau CRT.

        • Contoh format: -----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----

          • Konversi format: Jika sertifikat Anda dalam format seperti PFX atau P7B, gunakan tool sertifikat untuk mengonversinya ke format PEM.

          • Rantai sertifikat: Jika termasuk sertifikat perantara, tempel Sertifikat server terlebih dahulu, diikuti oleh sertifikat perantara.

        • Private Key: Buka file kunci privat di editor teks dan tempel konten kunci privat tersebut. Kunci privat harus dalam format PEM.

        • Contoh format: -----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----

        Select existing certificate

        Dari daftar drop-down sertifikat, pilih sertifikat yang ingin Anda unggah ke WAF.

        Catatan

        Jika Konsol WAF menampilkan pesan "Failed to verify the integrity of the certificate chain. If you use this certificate, service access may be affected.", berarti rantai sertifikat tidak lengkap. Pastikan konten sertifikat telah benar dan lengkap, lalu unggah ulang melalui Konsol Layanan Manajemen Sertifikat. Untuk informasi selengkapnya, lihat Unggah, sinkronkan, dan bagikan sertifikat SSL.

    4. Pertahankan nilai default untuk pengaturan lainnya dan klik OK.

      Setelah proses onboarding selesai, status perlindungan instans ECS akan berubah menjadi Full Protection. WAF secara otomatis membuat objek yang dilindungi menggunakan format instance ID-port-asset type. Secara default, aturan perlindungan standar (seperti Web Core Protection) diaktifkan untuk objek ini. Anda dapat melihat dan mengelolanya di halaman Protection Config > Protected Objects.

    6. Verifikasi perlindungan dasar: Tambahkan string serangan ke URL website Anda (misalnya http://yourdomain/alert(xss)). Jika halaman blokir WAF 405 muncul, perlindungan telah aktif.

    Langkah 3: Konfigurasikan perlindungan flood HTTP

    Serangan flood HTTP membanjiri server dengan permintaan berfrekuensi tinggi. Konfigurasikan aturan perlindungan:

    1. Di panel navigasi kiri, pilih Protection Config > Core Web Protection.

    2. Di bagian bawah halaman, pada bagian HTTP Flood Protection, klik Create Template.image

    3. Di panel Create Template, lengkapi konfigurasi berikut.

      Parameter

      Deskripsi

      Template Name

      Masukkan nama deskriptif untuk templat, misalnya ECS-HTTP-Flood-Protection.

      Save as Default Template

      Biarkan nonaktif.

      Rule Action

      Pilih tindakan yang akan diambil saat permintaan memicu aturan. Opsi:

      • Protection: Cocok untuk perlindungan harian. Mode ini hanya memblokir permintaan yang sangat tidak normal dan memiliki tingkat positif palsu rendah.

      • Protection-emergency: Cocok untuk pemulihan darurat ketika serangan flood HTTP berfrekuensi tinggi menyebabkan gangguan bisnis. Mode ini secara efisien memblokir serangan flood HTTP tetapi mungkin memiliki tingkat positif palsu lebih tinggi. Aktifkan mode ini jika mode Protection gagal dan Anda mengamati penundaan respons website, lonjakan traffic, atau penggunaan CPU atau memori yang tidak normal.

      Catatan

      Mode Protection-emergency ditujukan untuk halaman web atau halaman H5. Mode ini tidak berlaku untuk layanan API atau aplikasi native.

      Apply To

      Di bagian Available Objects, pilih objek yang dilindungi yang sesuai dengan instans ECS. Klik ikon image untuk memindahkannya ke bagian Selected di sebelah kanan.

      image

    4. Klik OK.image

    Langkah 4: Pantau traffic serangan

    Setelah konfigurasi selesai, buka halaman Overview dari panel navigasi kiri. Di halaman ini, Anda dapat melihat informasi seperti Protection Overview dan Top 10 Attacks untuk analitik keamanan bisnis.image

    Langkah selanjutnya:

    Optimasi lanjutan: Tingkatkan perlindungan dan kendalikan biaya

    Berdasarkan konfigurasi dalam panduan ini, jika Anda ingin terus menggunakan WAF, Anda dapat menyesuaikan pengaturan lebih lanjut sebagai berikut agar sesuai dengan karakteristik bisnis spesifik Anda. Hal ini akan membantu Anda mencapai postur keamanan yang lebih baik dan menekan biaya.

    • Perlindungan kolaboratif multi-modul: Topik ini membahas cara mengaktifkan modul HTTP Flood Protection, yang dapat Anda kombinasikan dengan modul perlindungan berikut untuk pertahanan kolaboratif.

      • Custom Rules: Gunakan kondisi pencocokan fleksibel dan tindakan aturan untuk perlindungan tepat terhadap pola serangan tertentu. Misalnya, Anda dapat mengonfigurasi aturan kontrol frekuensi untuk membatasi akses.

      • Whitelist: Izinkan permintaan yang memenuhi kriteria tertentu, seperti permintaan dari alamat IP tepercaya.

      • IP Blacklist: Blokir akses dari alamat IP berbahaya yang diketahui.

      • Geo-blocking: Blokir permintaan dari wilayah geografis tertentu dengan sekali klik. Misalnya, jika bisnis Anda hanya melayani pengguna di Tiongkok daratan dan Anda mendeteksi banyak serangan dari negara lain, Anda dapat mengaktifkan fitur ini.

    • Konfigurasi onboarding lanjutan: WAF menyediakan beberapa metode untuk mengakses sumber daya. Pilih metode sesuai kebutuhan.

    • Saran optimasi biaya:

      • Traffic billing protection: Untuk mencegah biaya tinggi akibat lonjakan QPS selama serangan skala besar, atur ambang batas perlindungan penagihan traffic untuk membatasi QPS puncak yang dapat diproses oleh WAF.

      • SeCU resource plan: Solusi hemat biaya untuk WAF bayar sesuai penggunaan. Setelah Anda mengaktifkan instans WAF bayar sesuai penggunaan, Anda dapat membeli paket sumber daya SeCU untuk mengimbangi total biaya WAF bayar sesuai penggunaan.

      • Subscription WAF: Jika Anda berencana menggunakan WAF dalam jangka panjang, beli instans WAF langganan untuk harga satuan yang lebih baik.

    Lepaskan sumber daya untuk menghentikan penagihan

    Jika Anda tidak lagi memerlukan instans WAF setelah menyelesaikan quick start ini, ikuti langkah-langkah berikut untuk menonaktifkan WAF dan menghentikan penagihan.

    Peringatan

    • Pemberitahuan penagihan: WAF bayar sesuai penggunaan menagih berdasarkan pemrosesan permintaan dan fitur, termasuk instans WAF itu sendiri. Setelah Anda mengaktifkan WAF, biaya akan dikenakan terlepas dari apakah Anda telah menambahkan sumber daya atau tidak. Jika Anda tidak lagi memerlukan WAF, nonaktifkan instans WAF sesegera mungkin untuk mencegah biaya tambahan.

    • Catatan tentang akses CNAME: Jika Anda hanya menggunakan mode cloud native yang dijelaskan dalam topik ini, abaikan catatan ini. Jika Anda telah mengonfigurasi akses CNAME, pastikan rekaman DNS untuk nama domain website terkait dialihkan kembali ke origin server sebelum menghentikan instans WAF.

    1. Di panel navigasi kiri, buka halaman Overview. Di bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland) dari instans WAF.

    2. Jika halaman berikut ditampilkan, klik Go to Console di pojok kanan atas. Jika halaman ini tidak ditampilkan, lewati langkah ini.image

    3. Di bagian kanan halaman, klik Terminate WAF Service. Di kotak dialog yang muncul, centang kotak yang relevan dan klik OK.image