Lindungi Nama Domain CDN dengan WAF melalui Mode CNAME atau Cloud Native - Web Application Firewall - Alibaba Cloud - Web Application Firewall

Ketika sebuah domain dihubungkan ke CDN untuk akselerasi konten, server origin terpapar pada serangan web seperti SQL injection dan XSS. Praktik terbaik ini memandu Anda melalui penerapan WAF pada jalur pengembalian origin CDN untuk menyaring lalu lintas berbahaya sekaligus mempertahankan akselerasi CDN.

Lingkup

Arsitektur yang berlaku: Dokumen ini berlaku untuk arsitektur campuran dinamis-statis dengan CDN dan ECS, memastikan bahwa konten statis tetap dipercepat oleh CDN sementara WAF fokus melindungi sumber daya dinamis. Untuk arsitektur hosting statis murni CDN+OSS, perlindungan WAF terbatas karena OSS hanya menyimpan file statis tanpa risiko serangan pada lapisan aplikasi. Dalam kasus ini, penambahan WAF akan memperpanjang rantai permintaan origin dan meningkatkan latensi akses, sehingga tidak disarankan.
Prasyarat: Domain target harus terhubung ke Alibaba Cloud CDN, DCDN, atau penyedia CDN lainnya.
Catatan: Dokumen ini menggunakan Alibaba Cloud CDN sebagai contoh. Logika yang sama berlaku untuk DCDN atau layanan CDN dari penyedia lain.
Dampak bisnis: Lakukan operasi ini selama jam sepi untuk meminimalkan dampak terhadap layanan.

Pilih metode koneksi

WAF mendukung penerapan kolaboratif dengan produk cloud lainnya untuk membangun arsitektur pertahanan berlapis. Pada arsitektur tanpa WAF, permintaan pengguna diselesaikan melalui DNS ke node CDN lalu langsung diarahkan ke server origin. Artinya, baik lalu lintas serangan maupun lalu lintas sah mencapai server origin tanpa filter.

WAF menyediakan dua metode koneksi: akses CNAME dan akses cloud native. Bandingkan opsi di bawah ini dan pilih metode yang paling sesuai dengan arsitektur Anda.

Fitur	Akses Cloud Native	Akses CNAME
Keunggulan	Tidak perlu mengubah konfigurasi origin CDN. Dampak minimal terhadap layanan. Cocok untuk skenario koneksi cepat.	Penerapan luas. Lebih sedikit batasan fungsional. Mendukung penerapan cross-account dan cross-cloud.
Target Koneksi	Instans produk Alibaba Cloud.	Nama domain.
Batasan	Batasan akun: Jika manajemen terpadu lintas beberapa akun belum dikonfigurasi, hanya instans produk cloud dalam akun saat ini yang dapat dihubungkan. Batasan wilayah: Instans produk cloud di beberapa wilayah tidak mendukung koneksi. Batasan protokol: Instans ECS, CLB, dan NLB tipe IPv6 tidak didukung. Batasan produk: OSS tidak didukung.	Konfigurasi sedikit lebih kompleks. Memerlukan pengaturan konfigurasi origin CDN dan pengambilan IP client sebenarnya.

Untuk informasi lebih lanjut tentang perbandingan dan prinsip metode koneksi, lihat Ikhtisar.

Prosedur

Aktifkan WAF (hanya jika WAF belum diaktifkan): Jika WAF belum diaktifkan, kunjungi halaman pembelian Web Application Firewall 3.0 (pay-as-you-go). Untuk penggunaan pertama kali, kami merekomendasikan Metode Pembayaran sebagai Pay-as-you-go. Untuk proses pembelian, lihat Aktifkan instans WAF 3.0 pay-as-you-go.
Buka konsol WAF: Masuk ke konsol Web Application Firewall. Di bilah navigasi atas, pilih kelompok sumber daya dan wilayah instans WAF (Chinese Mainland, Outside Chinese Mainland). Di panel navigasi kiri, klik Onboarding.

Hubungkan aset: Pilih satu dari metode berikut untuk menghubungkan aset guna perlindungan: akses CNAME atau akses cloud native.

Catatan

Operasi berikut memerlukan referensi terhadap konfigurasi CDN yang sudah ada. Untuk memastikan akurasi, buka konsol CDN untuk mengonfirmasi nama domain, origin, dan konfigurasi terkait sebelum melanjutkan.

Akses CNAME

Pada tab CNAME Record, klik Add. Pada halaman Configure Listener, konfigurasikan parameter berikut.

Parameter	Deskripsi
Domain Name	Masukkan nama domain yang sudah terhubung ke CDN. Hanya satu nama domain yang akan dilindungi dapat dimasukkan. Nama domain eksak (misalnya, `www.aliyundoc.com`) dan nama domain wildcard (misalnya, `*.aliyundoc.com`) didukung.
Protocol Type dan Port	Pilih berdasarkan protokol dan port origin yang sudah dikonfigurasi di CDN: Protokol: Harus konsisten dengan protokol origin CDN. Port: Harus konsisten dengan port origin CDN. Secara default, ketika port origin CDN diatur ke 443, HTTPS digunakan untuk permintaan origin. Untuk semua port lainnya, HTTP digunakan. Jika HTTPS digunakan, unggah file sertifikat yang sesuai dengan nama domain. Jika sertifikat telah diunggah ke Certificate Management Service akun tersebut, sertifikat yang ada dapat dipilih langsung.
Is a Layer 7 proxy such as Anti-DDoS Proxy or CDN deployed in front of WAF	Karena trafik diarahkan melalui CDN, pilih Yes di sini. Jika salah dikonfigurasi, WAF tidak dapat memperoleh IP client sebenarnya, dan laporan akan menunjukkan semua permintaan berasal dari node CDN. Atur Obtain Actual IP Address of Client ke [Recommended] Use the First IP Address in Specified Header Field as Actual IP Address of Client to Prevent X-Forwarded-For Forgery. Atur Header Field ke `ali-cdn-real-ip`. Ini adalah header permintaan HTTP yang secara default dibawa oleh Alibaba Cloud CDN dalam permintaan origin untuk menyimpan IP client sebenarnya. Catatan Bidang yang digunakan oleh permintaan origin Alibaba Cloud CDN untuk menyimpan IP client sebenarnya adalah `ali-cdn-real-ip`. Saat menggunakan produk CDN dari penyedia lain, rujuk dokumentasi resminya untuk mengonfirmasi nama bidang yang sesuai. Atau, CDN juga dapat dikonfigurasi untuk menambahkan header permintaan outbound kustom dan menggunakan bidang permintaan origin kustom.

Klik Next untuk menuju halaman Configure Forwarding Rule. Masukkan Origin Address dan klik Submit.
Alamat origin harus sama dengan yang dikonfigurasi di konsol CDN.
Pada halaman Add Completed, klik Copy CNAME.
Buka konsol CDN. Klik Domain Names, temukan domain yang terhubung ke WAF, lalu klik Actions di kolom Manage. Di bagian Origin Information, klik Actions di kolom Modify. Ubah Origin Info menjadi alamat CNAME yang disalin pada langkah sebelumnya. Operasi ini mengarahkan jalur origin CDN ke WAF.

Penting

Dalam skenario berikut, konfigurasi tambahan diperlukan:

Konfigurasi HOST origin CDN: Jika HOST origin default dikonfigurasi, perbarui agar mengarahkan jalur origin CDN ke WAF.
Lewati WAF untuk file statis: Untuk mengurangi overhead performa pada permintaan file statis yang melewati WAF, konfigurasikan conditional origin untuk CDN atau tambahkan sumber daya terkait ke daftar putih WAF.
Server origin mencatat IP client sebenarnya: Agar server origin (misalnya, access.log NGINX) mencatat IP client sebenarnya, konfigurasikan server origin untuk mengekstrak bidang IP sebenarnya. Untuk informasi lebih lanjut, lihat Dapatkan Alamat IP Sebenarnya dari Klien.
Fitur lanjutan akses CNAME: Metode akses CNAME WAF mendukung fitur lanjutan seperti HTTPS, IPv6, load balancing origin, dan ketersediaan tinggi. Untuk menyesuaikan konfigurasi ini, lihat Tambahkan domain ke WAF melalui CNAME.

Akses Cloud Native

Pada tab Cloud Native, pilih jenis produk cloud yang akan dihubungkan. Sebagai contoh, klik Elastic Compute Service (ECS), temukan instans target, lalu klik Add Now di kolom Actions-nya.
Catatan
Saat menghubungkan produk cloud lainnya, rujuk item konfigurasi berikut dan lengkapi pengaturan berdasarkan dokumentasi mode cloud native yang sesuai.
Pada kotak dialog Add Now yang muncul, klik Add Port di kolom Actions. Pilih berdasarkan protokol dan port origin yang sudah dikonfigurasi di CDN:
- Protokol: Harus konsisten dengan protokol origin CDN.
- Port: Harus konsisten dengan port origin CDN.
Secara default, ketika port origin CDN diatur ke 443, HTTPS digunakan untuk permintaan origin. Untuk semua port lainnya, HTTP digunakan.
Jika HTTPS digunakan, unggah file sertifikat yang sesuai dengan nama domain. Jika sertifikat telah diunggah ke Certificate Management Service akun tersebut, sertifikat yang ada dapat dipilih langsung. Setelah konfigurasi, klik OK.
Kembali ke halaman Add Now. Karena trafik diarahkan melalui CDN, pilih Yes pada bagian Is a Layer 7 proxy such as Anti-DDoS Proxy or CDN deployed in front of WAF. Jika salah dikonfigurasi, WAF tidak dapat memperoleh IP client sebenarnya, dan laporan akan menunjukkan semua permintaan berasal dari node CDN.
- Atur Obtain Actual IP Address of Client ke [Recommended] Use the First IP Address in Specified Header Field as Actual IP Address of Client to Prevent X-Forwarded-For Forgery.
- Atur Header Field ke ali-cdn-real-ip. Ini adalah header permintaan HTTP yang secara default dibawa oleh Alibaba Cloud CDN dalam permintaan origin untuk menyimpan IP client sebenarnya.
Catatan
Bidang yang digunakan oleh permintaan origin Alibaba Cloud CDN untuk menyimpan IP client sebenarnya adalah ali-cdn-real-ip.
Saat menggunakan produk CDN dari penyedia lain, rujuk dokumentasi resminya untuk mengonfirmasi nama bidang yang sesuai. Atau, CDN juga dapat dikonfigurasi untuk menambahkan header permintaan outbound kustom dan menggunakan bidang permintaan origin kustom.
Klik OK untuk menyelesaikan koneksi.
Catatan
Untuk mengurangi overhead performa pada permintaan file statis yang melewati WAF, juga konfigurasikan conditional origin untuk CDN atau tambahkan sumber daya terkait ke daftar putih WAF.

Pengujian verifikasi: Masukkan nama domain website yang dilindungi di browser untuk menguji apakah koneksi CDN dan WAF berhasil.
1. Tambahkan kode serangan web setelah nama domain (misalnya, <protected-domain>/alert(xss), di mana alert(xss) adalah kode serangan cross-site scripting yang digunakan untuk pengujian). Jika halaman blokir 405 ditampilkan, serangan tersebut dicegat dan perlindungan WAF berhasil.
2. Tekan F12 untuk membuka developer tools browser. Setelah merefresh halaman, beralih ke tab Network. Klik sumber daya statis target. Di tab Headers, temukan bidang X-Cache. Jika nilainya hit dan bukan miss, cache berhasil diakses dan akselerasi CDN berlaku.
Konfigurasikan aturan perlindungan WAF kustom: WAF mengaktifkan serangkaian aturan perlindungan default untuk objek yang terhubung, yang cocok untuk skenario perlindungan harian. Lihat aturan tersebut di halaman Protection Config > Protected Objects. Saat aturan default tidak memenuhi kebutuhan (misalnya, memasukkan ke daftar putih permintaan dengan karakteristik tertentu), buat atau modifikasi aturan perlindungan. Untuk informasi lebih lanjut, lihat Ikhtisar konfigurasi perlindungan.

FAQ

Apa yang harus saya lakukan jika konsol WAF menampilkan "The issue of unknown DNS resolution occurs.A proxy is deployed." setelah akses CNAME?

Saat menggunakan metode akses CNAME, prompt ini di konsol bersifat normal. Hal ini terjadi karena resolusi DNS nama domain langsung mengarah ke CDN, sehingga WAF tidak dapat langsung memperoleh status resolusi. Prompt ini dapat diabaikan.

Untuk mengonfirmasi apakah koneksi berhasil, ikuti langkah pengujian verifikasi yang dijelaskan sebelumnya.

Apakah saya perlu merefresh cache CDN setelah menghubungkan WAF?

Dalam kebanyakan kasus, merefresh cache CDN tidak diperlukan.

Namun, dalam perubahan konfigurasi tertentu, operasi refresh manual diperlukan. Lihat detail berikut:

Tidak perlu refresh
Jika hanya konfigurasi koneksi WAF yang diselesaikan tanpa perubahan pada konten server origin, refresh tidak diperlukan. Karena sumber daya statis di server origin tidak berubah, cache yang ada di node CDN tetap valid.
Perlu refresh
Jika salah satu kondisi berikut terpenuhi, refresh cache CDN secara manual untuk memastikan konfigurasi berlaku:
- File sumber daya statis di server origin dimodifikasi.
- Header respons HTTP terkait kebijakan cache disesuaikan.
- Fitur Bot Management WAF diaktifkan dan koneksi otomatis web SDK dikonfigurasi.

Apa yang harus saya lakukan jika website menampilkan "too many redirects" setelah koneksi?

Hal ini biasanya terjadi karena server origin dikonfigurasi dengan aturan redirect paksa HTTP ke HTTPS, yang menciptakan loop redirect antara WAF/CDN dan server origin.

Konfigurasikan protokol origin sebagai HTTPS pada perangkat tepat sebelum server origin. Lokasi konfigurasi spesifik tergantung pada metode koneksi yang digunakan:

Akses CNAME: Perangkat hop sebelumnya adalah WAF.
Akses cloud native: Perangkat hop sebelumnya adalah CDN.

Untuk informasi lebih lanjut, lihat Too many redirects setelah akselerasi CDN.

Apa perbedaan antara fitur perlindungan WAF yang tersedia di konsol ESA dan WAF yang dijelaskan dalam dokumen ini?

ESA adalah peningkatan generasi berikutnya dari CDN. ESA tidak hanya mencakup sepenuhnya semua kemampuan akselerasi CDN, tetapi juga mengintegrasikan fitur perlindungan keamanan dan komputasi tepi yang lebih kuat.

Mengenai perbedaan WAF:

Perbedaan penagihan: Fitur perlindungan WAF ESA terintegrasi secara mendalam. Biayanya termasuk dalam penagihan ESA. WAF yang dijelaskan dalam dokumen ini adalah produk cloud independen yang memerlukan aktivasi terpisah dan ditagih sesuai metode penagihan sendiri.
Perbedaan fitur: Fitur WAF bawaan ESA terutama disesuaikan untuk skenario akselerasi keamanan tepi dan memenuhi kebutuhan perlindungan website umum. Produk WAF yang dijelaskan dalam dokumen ini lebih komprehensif. WAF ini tidak hanya mencakup semua kemampuan WAF ESA, tetapi juga menyediakan aturan perlindungan yang mencakup berbagai skenario bisnis secara lengkap.

Apakah saya perlu memodifikasi rekaman DNS setelah mengintegrasikan WAF dengan CDN?

Tidak. Anda tidak perlu memodifikasi rekaman DNS Anda. Untuk kedua jenis koneksi—cloud-native maupun CNAME—permintaan klien pertama kali mencapai titik keberadaan CDN, sehingga tidak diperlukan perubahan pada rekaman DNS domain Anda. Namun, penyesuaian konfigurasi berikut diperlukan:

Jika Anda menggunakan jenis koneksi CNAME, ubah URL origin CDN menjadi alamat CNAME yang disediakan oleh WAF, dan konfigurasikan WAF untuk mengambil alamat IP asal klien. Untuk informasi lebih lanjut, lihat prosedur di atas.