全部产品
Search

搜索本产品

    Web Application Firewall:Aktifkan perlindungan WAF untuk nama domain yang dipercepat yang ditambahkan ke Alibaba Cloud CDN

    文档中心

    Web Application Firewall:Aktifkan perlindungan WAF untuk nama domain yang dipercepat yang ditambahkan ke Alibaba Cloud CDN

    更新时间:Jul 30, 2025

    Alibaba Cloud CDN dan Web Application Firewall (WAF) banyak digunakan dalam skenario komputasi awan. Alibaba Cloud CDN mempercepat pengiriman konten statis seperti file HTML, CSS, dan JavaScript. WAF melindungi server dan mengurangi ancaman keamanan terhadap aplikasi web. Anda dapat menerapkan WAF bersama dengan Alibaba Cloud CDN dan layanan jaringan pengiriman konten (CDN) yang disediakan oleh vendor lain, seperti Wangsu, Qiniu, dan Upyun. Topik ini menjelaskan cara mengaktifkan perlindungan WAF untuk nama domain yang dipercepat yang ditambahkan ke Alibaba Cloud CDN.

    Informasi latar belakang

    URI biasanya digunakan untuk memisahkan lalu lintas statis dan dinamis untuk nama domain, terutama dalam skenario situs web dengan lalu lintas tinggi dan aplikasi web yang kompleks. Arsitektur jaringan ini secara signifikan meningkatkan kinerja situs web, mengoptimalkan penggunaan sumber daya, dan meningkatkan pengalaman pengguna. Dalam kebanyakan kasus, sumber daya statis seperti gambar, file CSS, dan file JavaScript di-cache oleh Alibaba Cloud CDN dan didistribusikan ke node CDN global. Pengguna dapat meminta sumber daya tersebut dari node CDN terdekat, yang secara signifikan mengurangi waktu pemuatan. Permintaan untuk sumber daya dinamis diarahkan ke reverse proxy atau load balancer seperti NGINX, HAProxy, AWS Elastic Load Balancing (ELB), dan Alibaba Cloud Server Load Balancer (SLB). Load balancer kemudian mendistribusikan permintaan ke sekelompok server aplikasi web di backend berdasarkan kebijakan yang telah ditentukan seperti round-robin, koneksi paling sedikit, dan hashing alamat IP. Gambar berikut menunjukkan arsitektur jaringan untuk situs web yang mengimplementasikan pemisahan statis-dinamis.

    Permintaan untuk sumber daya statis:

    1. Perangkat pengguna mengirim permintaan untuk xxx.xxx.xxx/static/logo.png.

    2. Permintaan diarahkan ke node CDN terdekat. Jika tidak ada sumber daya yang di-cache pada node tersebut, permintaan diteruskan ke server asal.

    3. Server asal merespons permintaan dan mengembalikan data.

    4. Alibaba Cloud CDN menyimpan cache data yang dikembalikan oleh server asal dan mengembalikan data ke klien.

    5. Perangkat pengguna mengirim permintaan untuk xxx.xxx.xxx/static/logo.png lagi.

    6. Node CDN memeriksa apakah sumber daya di-cache. Jika ya, node CDN mengembalikan data.

    Permintaan untuk sumber daya dinamis:

    1. Perangkat pengguna mengirim permintaan untuk xxx.xxx.xxx/getInfo. Permintaan diarahkan ke node CDN terdekat.

    2. Node CDN meneruskan permintaan ke server asal berdasarkan kondisi yang ditentukan.

    3. Server asal memproses lalu lintas dinamis dan mengembalikan data ke klien.

    Prasyarat

    • Situs web dibangun, dan pemisahan statis-dinamis diimplementasikan pada nama domain situs web tersebut.

    • Alibaba Cloud CDN diaktifkan, dan nama domain ditambahkan ke Alibaba Cloud CDN. Untuk informasi lebih lanjut, lihat Untuk pemula.

    • Sebuah instance WAF dibeli.

    Ikhtisar solusi

    Anda dapat menggunakan arsitektur jaringan berikut untuk menerapkan WAF bersama dengan Alibaba Cloud CDN untuk sebuah situs web. Terapkan Alibaba Cloud CDN di lapisan ingress untuk mempercepat distribusi konten. Terapkan WAF di lapisan perantara untuk melindungi aplikasi. Terapkan server asal pada instance Elastic Compute Service (ECS), pada instance SLB, di virtual private cloud (VPC), atau di pusat data. Lalu lintas situs web Anda mencapai Alibaba Cloud CDN terlebih dahulu dan kemudian diteruskan ke WAF untuk penyaringan. Hanya lalu lintas normal yang diteruskan ke server asal. Ini memastikan keamanan layanan dan data situs web.

    Gambar berikut menunjukkan arsitektur jaringan di mana WAF bekerja sama dengan Alibaba Cloud CDN untuk melindungi layanan web dan mempercepat akses data.

    Langkah 1: Tambahkan nama domain ke WAF

    Tambahkan nama domain situs web yang ingin Anda lindungi ke WAF dalam mode rekaman CNAME atau mode cloud native.

    1. Masuk ke Konsol WAF. Di bilah navigasi atas, pilih kelompok sumber daya dan wilayah tempat instance WAF diterapkan. Wilayah bisa berupa Chinese Mainland atau Outside Chinese Mainland.

    2. Di panel navigasi kiri, klik Website Configuration.

    3. Tambahkan nama domain ke WAF.

      Mode rekaman CNAME

      Setelah Anda menambahkan nama domain ke WAF dalam mode rekaman CNAME, WAF secara otomatis menghasilkan CNAME untuk nama domain tersebut.

      1. Pada tab CNAME Record, klik Add.

      2. Di langkah Configure Listener, konfigurasikan parameter dan klik Next.

        Parameter

        Deskripsi

        Domain Name

        Masukkan nama domain situs web yang ingin Anda lindungi.

        Protocol Type

        Pilih protokol yang didukung oleh situs web Anda. Kemudian, masukkan port server asal. Dalam contoh ini, masukkan 8080.

        Whether Layer 7 Proxy, Such As Anti-DDoS Pro, Anti-DDoS Premium, Or Alibaba Cloud CDN, Is Deployed In Front Of WAF

        Pilih Yes. Kemudian, atur parameter Obtain Actual IP Address Of Client ke [Direkomendasikan] Gunakan Alamat IP Pertama di Bidang Header yang Ditentukan sebagai Alamat IP Aktual Klien untuk Mencegah Pemalsuan X-Forwarded-For.

        image

      3. Di langkah Configure Forwarding Rule, konfigurasikan parameter Origin Server Address dan klik Submit.

      4. Di halaman Provisioning, temukan nama domain yang ditambahkan dan klik ikon salin di sebelah CNAME nama domain tersebut.

        image

        Catatan

        Untuk informasi lebih lanjut tentang cara mengonfigurasi parameter lainnya seperti sertifikat HTTPS dan algoritma penyeimbangan beban, lihat Tambahkan nama domain ke WAF.

      5. Setelah nama domain ditambahkan, konfigurasikan perangkat lunak keamanan atau kebijakan kontrol akses untuk server asal agar mengizinkan lalu lintas masuk dari blok CIDR back-to-origin WAF. Untuk informasi lebih lanjut, lihat Izinkan akses dari blok CIDR back-to-origin WAF.

      Mode cloud native

      1. Pada tab Cloud Native, klik tipe yang diperlukan di daftar layanan cloud di sebelah kiri. Dalam contoh ini, klik CLB(HTTP/HTTPS). Jika lalu lintas dinamis Anda ditujukan untuk instance Classic Load Balancer (CLB) Layer 7, Anda dapat mengklik CLB(HTTP/HTTPS). imageKlik Add.

      2. Di panel Configure Instance- Layer 7 CLB, lihat instance CLB yang ada dan pilih instance CLB untuk menambahkan Traffic Redirection Ports. Setel parameter Apakah Proxy Layer 7, Seperti Anti-DDoS Pro, Anti-DDoS Premium, atau Alibaba Cloud CDN, Diterapkan di Depan WAF ke Ya dan parameter Dapatkan Alamat IP Aktual Klien ke [Recommended] Use The First IP Address In Specified Header Field As Actual IP Address Of Client To Prevent X-Forwarded-For Forgery. Kemudian, masukkan bidang header kustom.

        Catatan

        Topik ini menggunakan contoh menghubungkan ke CLB (HTTP/HTTPS). Untuk informasi lebih lanjut tentang menghubungkan ke produk cloud lainnya, lihat Hubungkan ke produk cloud.

        Parameter

        Operasi

        Select The Instance And Port To Be Added.

        1. Temukan instance yang ingin Anda tambahkan ke WAF dan klik Add Port di kolom Actions.

        2. Pilih port HTTP atau HTTPS Port yang ingin Anda tambahkan ke WAF dan klik OK.

        Catatan

        Jika instance yang ingin Anda tambahkan ke WAF tidak ada di daftar instance, klik Synchronize Instances untuk menyegarkan daftar instance.

        Whether Layer 7 Proxy, Such As Anti-DDoS Pro, Anti-DDoS Premium, Or Alibaba Cloud CDN, Is Deployed In Front Of WAF

        Pilih Yes. Kemudian, setel parameter Dapatkan Alamat IP Aktual Klien ke [Recommended] Use The First IP Address In Specified Header Field As Actual IP Address Of Client To Prevent X-Forwarded-For Forgery.

        Dalam contoh ini, tambahkan port pendengar 8080 dari instance CLB dan tentukan header di bidang Header Field.

        image

      3. Klik OK. Di tab Cloud Native, Anda dapat melihat instance CLB yang ditambahkan. image

    4. Lihat objek yang dilindungi di halaman Protection Configuration > Protected Objects dan konfigurasikan aturan perlindungan untuk objek yang dilindungi. Setelah Anda menambahkan nama domain atau instance ke WAF, WAF secara otomatis menghasilkan objek yang dilindungi. Secara default, aturan perlindungan modul aturan perlindungan inti diaktifkan untuk objek yang dilindungi.

    Penting

    Jika tidak ada template perlindungan default di halaman Protection Configuration > Core Web Protection di bagian Core Protection Rule, Anda harus secara manual mengaktifkan aturan perlindungan modul aturan perlindungan inti untuk objek yang dilindungi.

    Langkah 2: Aktifkan perlindungan WAF untuk objek yang dilindungi

    Untuk secara manual mengaktifkan aturan perlindungan untuk objek yang dilindungi, Anda harus memilih objek yang dilindungi di bagian Apply To dari template perlindungan tempat aturan perlindungan tersebut termasuk.

    1. Masuk ke Konsol WAF. Di panel navigasi kiri, pilih Protection Configuration > Core Web Protection. Di bagian Core Protection Rule dari halaman Core Web Protection, temukan template perlindungan yang ada yang ingin Anda kelola dan klik Edit di kolom Tindakan.

      Catatan

      Jika Anda ingin menggunakan template perlindungan baru, Anda dapat membuat template perlindungan. Untuk informasi lebih lanjut, lihat Buat template perlindungan kustom.

    2. Di panel Edit - Core Protection Rule, setel parameter Action ke Block dan pilih objek yang dilindungi yang dihasilkan di Langkah 1 di bagian Apply To.

    3. Klik OK untuk menyimpan pengaturan.

    Langkah 3: Modifikasi alamat back-to-origin di Alibaba Cloud CDN

    Sumber daya statis mungkin disimpan di Object Storage Service (OSS) atau layanan backend. Informasi server asal Alibaba Cloud CDN bervariasi berdasarkan lokasi penyimpanan sumber daya statis. Oleh karena itu, operasi yang diperlukan untuk memodifikasi alamat back-to-origin juga bervariasi.

    Sumber daya statis disimpan di OSS

    Jika sumber daya statis disimpan di OSS dan Alibaba Cloud CDN digunakan untuk percepatan, Anda dapat melihat bagian Basic Origin Server Information dan Conditional Origin di bagian Informasi Asal nama domain Anda. Anda hanya perlu memodifikasi pengaturan di bagian Asal Bersyarat. image

    1. Masuk ke Konsol Alibaba Cloud CDN. Di panel navigasi kiri, klik Domain Names. Di daftar nama domain, temukan nama domain yang ingin Anda aktifkan perlindungan WAF dan klik Manage di kolom Actions.

    2. Konfigurasikan asal bersyarat. Di tab Basics, temukan aturan yang diperlukan di bagian Asal Bersyarat dan klik Modify di kolom Tindakan. Kemudian, modifikasi parameter di kotak dialog Asal Bersyarat.

      Parameter

      Deskripsi

      Rule Condition

      Kondisi aturan dapat mengidentifikasi parameter dalam permintaan untuk menentukan apakah aturan berlaku pada permintaan. Dalam contoh ini, konfigurasikan aturan untuk meneruskan permintaan yang URI-nya tidak mengandung /static/* ke alamat server asal yang Anda tentukan. image

      Origin Address

      • Jika nama domain Anda ditambahkan ke WAF dalam mode rekaman CNAME, masukkan alamat yang ditentukan oleh parameter Server Asal di WAF. image

      • Jika nama domain Anda ditambahkan ke WAF dalam mode cloud native, masukkan alamat IP publik instance layanan cloud terkait. image

      Penting

      Kotak dialog Asal Bersyarat tidak menyediakan opsi port. Secara default, permintaan HTTP diteruskan ke port 80 server asal, dan permintaan HTTPS diteruskan ke port 443 server asal. Jika Anda ingin menentukan port saat mengonfigurasi parameter Alamat Asal, Anda dapat menentukan alamat IP bersama dengan port.

    3. Klik OK. Anda dapat melihat alamat back-to-origin baru di bagian Asal Bersyarat. image

    Sumber daya statis disimpan di layanan backend

    Jika sumber daya statis disimpan di layanan backend dan Alibaba Cloud CDN digunakan untuk percepatan, Anda hanya perlu memodifikasi pengaturan di bagian Informasi Dasar Server Asal di bagian Informasi Asal.

    image

    1. Masuk ke Konsol Alibaba Cloud CDN. Di panel navigasi kiri, klik Domain Names. Di daftar nama domain, temukan nama domain yang ingin Anda aktifkan perlindungan WAF dan klik Manage di kolom Actions.

    2. Di tab Basics, klik Add Origin Server. Di kotak dialog Tambah Server Asal, konfigurasikan parameter dan klik OK.

    3. Parameter

      Deskripsi

      Origin Info

      • Jika nama domain Anda ditambahkan ke WAF dalam mode rekaman CNAME, pilih Site Domain dan masukkan CNAME yang dihasilkan untuk nama domain tersebut. image

      • Jika nama domain Anda ditambahkan ke WAF dalam mode cloud native, pilih IP dan masukkan alamat IP publik instance layanan cloud terkait. image

      Priority

      Tentukan prioritas server asal. Server asal utama memiliki prioritas lebih tinggi daripada server asal sekunder.

      Weight

      Tentukan bobot server asal. Jika beberapa server asal memiliki prioritas yang sama, Alibaba Cloud CDN meneruskan permintaan ke server asal berdasarkan bobot.

      Port

      Masukkan nomor port tempat Alibaba Cloud CDN meneruskan permintaan back-to-origin. Dalam contoh ini, masukkan 8080.

    Penting

    Jika Anda menambahkan nama domain Anda ke WAF dalam mode rekaman CNAME di Langkah 1, Anda harus menghapus alamat server asal asli.

    Catatan

    Konfigurasi di Alibaba Cloud CDN tidak segera berlaku. Waktu yang diperlukan untuk konfigurasi berlaku dipengaruhi oleh faktor-faktor seperti waktu efektif catatan Domain Name System (DNS), sinkronisasi konfigurasi Alibaba Cloud CDN, dan segarkan serta ambil ulang cache. Untuk memastikan konfigurasi berlaku tepat waktu, kami sarankan Anda menyegarkan dan mengambil ulang cache setelah menyelesaikan konfigurasi. Dengan cara ini, pengguna dapat memperoleh konfigurasi terbaru selama akses.

    Langkah 4: Konfigurasikan sertifikat SSL

    Terapkan sertifikat SSL ke Alibaba Cloud CDN untuk mengaktifkan percepatan aman HTTPS dan mengenkripsi transmisi data antara klien dan node CDN.

    1. Di panel navigasi kiri, klik Domain Names. Pada halaman Domain Names, temukan nama domain yang ingin Anda kelola dan klik Manage di kolom Actions.

    2. Di pohon navigasi kiri yang muncul, klik HTTPS. Di bagian HTTPS Certificate, klik Modify.

    3. Di kotak dialog Modify HTTPS Settings, aktifkan HTTPS Secure Acceleration dan konfigurasikan parameter terkait sertifikat.

      image

      1. Jika Anda menggunakan sertifikat yang dibeli dari Layanan Manajemen Sertifikat Alibaba Cloud, atur parameter Sumber Sertifikat ke SSL Certificates Service dan pilih sertifikat yang dibeli dari daftar drop-down Certificate Name. Anda dapat melihat sertifikat yang ada di halaman Manajemen Sertifikat SSL.

        Catatan

        Periksa apakah nama domain yang terikat pada sertifikat yang dibeli adalah nama domain situs web Anda.

      2. Jika Anda menggunakan sertifikat yang diterbitkan oleh penyedia layanan sertifikat pihak ketiga, atur parameter Sumber Sertifikat ke Custom Certificate (Certificate + Private Key). Setelah Anda mengonfigurasi parameter Certificate Name, konfigurasikan parameter Certificate (Public Key) dan Private Key. Kemudian, sertifikat diunggah ke Layanan Manajemen Sertifikat. Anda dapat melihat sertifikat di halaman Manajemen Sertifikat SSL.

        Parameter

        Deskripsi

        Certificate Name

        Masukkan nama untuk sertifikat yang ingin Anda unggah.

        Nama dapat berisi huruf, angka, titik (.), garis bawah (_), dan tanda hubung (-).

        Catatan

        • Nama sertifikat harus unik. Anda dapat melihat sertifikat yang ada di halaman Manajemen Sertifikat SSL.

        • Jika sistem memberi tahu bahwa nama sertifikat sudah ada, ubah nama sertifikat dan unggah ulang sertifikat tersebut.

        Certificate (Public Key)

        Masukkan konten file sertifikat yang dikodekan dalam format PEM.

        Anda dapat menggunakan editor teks untuk membuka file sertifikat dalam format PEM. Lalu, salin kontennya ke bidang Sertifikat (Kunci Publik).

        Anda dapat mengklik PEM Encoding Reference di bawah bidang untuk mendapatkan kode contoh.

        Private Key

        Masukkan konten file kunci privat yang dikodekan dalam format PEM.

        Anda dapat menggunakan editor teks untuk membuka file kunci privat dalam format KEY. Lalu, salin kontennya ke bidang Kunci Privat.

        Anda dapat mengklik PEM Encoding Reference di bawah bidang untuk mendapatkan kode contoh.

        Catatan

        Jika kunci privat Anda dimulai dengan "-----BEGIN PRIVATE KEY-----" dan diakhiri dengan "-----END PRIVATE KEY-----", Anda harus menggunakan alat OpenSSL untuk mengonversi format kunci privat tersebut. Lalu, salin konten file new_server_key.pem ke bidang Kunci Privat. Perintah OpenSSL:

        openssl rsa -in old_server_key.pem -out new_server_key.pem

    4. Klik OK.

    Verifikasi konfigurasi

    1. Masukkan URI xxx.xxx.xxx/123.php di browser untuk menginisiasi permintaan. Permintaan tersebut diblokir, yang menunjukkan bahwa lalu lintas dinamis yang menuju server asal dilindungi oleh WAF. image

    2. Masuk ke Konsol WAF. Di panel navigasi kiri, pilih Detection And Response > Security Reports. Di halaman yang muncul, lihat catatan serangan di tab Core Protection Rule. Dalam contoh ini, permintaan dengan URI xxx.xxx.xxx/123.php diblokir berdasarkan aturan webshell. image

    3. Akses jalur sumber daya statis xxx.xxx.xxxx/static/1.png. Di halaman yang muncul, tekan tombol F12 atau klik kanan halaman dan pilih Periksa untuk membuka alat pengembang. Di panel yang muncul, klik tab Jaringan. Anda dapat melihat bahwa percepatan diaktifkan oleh Alibaba Cloud CDN dalam kode.image

      Catatan

      Bidang X-Cache menunjukkan apakah cache terkena. Nilai MISS menunjukkan tidak, dan nilai HIT menunjukkan ya.

    Hasil verifikasi menunjukkan bahwa lalu lintas statis dipercepat oleh Alibaba Cloud CDN dan lalu lintas dinamis yang menuju server asal dilindungi oleh WAF.

    Operasi terkait

    • Tambahkan nama domain ke WAF: Topik ini menjelaskan cara menambahkan nama domain ke WAF dalam mode rekaman CNAME setelah Anda mengaktifkan WAF.

    • Tambahkan nama domain: Topik ini menjelaskan cara menambahkan nama domain ke Alibaba Cloud CDN setelah Anda mengaktifkan Alibaba Cloud CDN.

    • Jika Anda memerlukan Dynamic Content Delivery Network (DCDN), lihat Apa itu DCDN?

    • Jika Anda ingin mengaktifkan perlindungan WAF untuk nama domain yang ditambahkan ke DCDN, Anda dapat mengaktifkan WAF di Konsol DCDN. Lalu, Anda dapat menggunakan WAF untuk melindungi layanan web Anda di node DCDN. Untuk informasi lebih lanjut, lihat Memulai dengan WAF (baru).

      Catatan

      Untuk informasi lebih lanjut tentang perbedaan antara Alibaba Cloud CDN dan DCDN, lihat Apa itu Alibaba Cloud CDN?

    • Ambil alamat IP asal klien: Topik ini menjelaskan cara mendapatkan alamat IP asal klien setelah lalu lintas diteruskan berkali-kali.