Untuk melindungi fungsi Function Compute (FC) yang terikat ke nama domain kustom dari serangan web, Anda dapat mengaktifkan proteksi Web Application Firewall (WAF). Solusi ini menyediakan kemampuan keamanan web berlatensi rendah dan ketersediaan tinggi bagi aplikasi Anda tanpa mengubah arsitektur jaringan atau konfigurasi DNS yang ada.
Cara kerja
Saat Anda mengintegrasikan nama domain kustom Function Compute dengan produk cloud, integrasi tersebut diimplementasikan melalui SDK integration. SDK tertanam dalam produk cloud dan bertanggung jawab atas ekstraksi trafik, deteksi, dan proteksi. WAF tidak terlibat dalam penerusan trafik, sehingga menghindari masalah kompatibilitas dan stabilitas akibat lapisan penerusan tambahan.
Lingkup
Jika nama domain kustom Function Compute Anda tidak memenuhi persyaratan berikut, gunakan CNAME integration sebagai gantinya.
Persyaratan akun: Nama domain kustom FC dan instans WAF harus dimiliki oleh Akun Alibaba Cloud yang sama (kecuali dalam skenario manajemen terpusat lintas akun perusahaan yang telah dikonfigurasi).
Persyaratan wilayah: Anda hanya dapat mengaktifkan proteksi WAF untuk nama domain kustom FC di wilayah China (Hangzhou), China (Shanghai), China (Beijing), China (Zhangjiakou), dan China (Shenzhen).
Prosedur
Buka Konsol:
Masuk ke Konsol Web Application Firewall 3.0. Di bilah navigasi atas, pilih kelompok sumber daya dan wilayah instans WAF (Chinese Mainland).Di panel navigasi kiri, klik Onboarding. Klik tab Cloud Native. Di daftar jenis produk cloud di sebelah kiri, pilih Function Compute.
Otorisasi produk cloud (untuk pengguna yang belum menyelesaikan otorisasi):
Ikuti petunjuk pada halaman dan klik Authorize Now untuk menyelesaikan otorisasi produk cloud. Anda dapat membuka halaman di Konsol RAM untuk melihat peran terkait layanan yang dibuat, yaitu AliyunServiceRoleForWAF.
Integrasikan nama domain kustom FC:
Klik Add. Anda akan diarahkan ke Konsol Function Compute.
Di bilah navigasi atas, pilih wilayah China (Hangzhou), China (Shanghai), China (Beijing), China (Zhangjiakou), dan China (Shenzhen). Di panel navigasi kiri, pilih . Temukan nama domain kustom yang telah dibuat dan klik Modify di kolom Actions.
Di halaman Modify Custom Domain Name, atur Web Application Firewall (WAF) menjadi Enable, lalu klik Save.
CatatanJika Anda belum membuat nama domain kustom di Function Compute, lihat Konfigurasi domain kustom.
Verifikasi efek proteksi:
Kembali ke halaman Custom Domains. Jika kolom Web Application Firewall (WAF) untuk nama domain kustom target menampilkan Enabled, integrasi berhasil. Pada titik ini, masukkan nama domain kustom Anda dan kode serangan web di browser untuk verifikasi (misalnya,
<your domain name>/alert(xss), di manaalert(xss)adalah kode serangan cross-site scripting yang digunakan untuk pengujian). Jika halaman intersepsi 405 ditampilkan, serangan tersebut telah berhasil dicegat dan proteksi WAF telah berlaku.
Langkah selanjutnya
Lihat dan konfigurasi aturan proteksi
Setelah integrasi selesai, WAF secara otomatis membuat objek proteksi dengan akhiran -fc dan mengaktifkan aturan proteksi untuk objek tersebut secara default, termasuk aturan dalam modul proteksi web inti. Anda dapat melihat objek proteksi tersebut di halaman di Konsol WAF. Jika aturan proteksi default tidak memenuhi kebutuhan bisnis Anda, Anda dapat membuat atau mengedit aturan proteksi. Untuk informasi lebih lanjut, lihat Ikhtisar konfigurasi proteksi.
Pengembalian integrasi
Nonaktifkan sementara proteksi WAF: Jika terjadi masalah setelah integrasi, seperti banyak false positive, dan Anda perlu menonaktifkan sementara proteksi WAF, Anda dapat membuka halaman Protected Objects di Konsol WAF dan matikan sakelar WAF Protection Status. Untuk informasi lebih lanjut, lihat Nonaktifkan proteksi WAF.
Hapus integrasi: Jika Anda tidak lagi ingin menggunakan WAF untuk melindungi nama domain kustom FC Anda, Anda dapat membuka Konsol Function Compute, pilih , temukan nama domain kustom yang telah dibuat, klik Modify di kolom Actions. Di halaman Modify Custom Domain Name, atur Web Application Firewall (WAF) menjadi Disable, lalu klik Save.
PentingSetelah integrasi dihapus, trafik bisnis Anda tidak lagi dilindungi oleh WAF, dan laporan keamanan tidak lagi mencakup data proteksi untuk trafik terkait.
Jika instans WAF Anda menggunakan model penagihan pay-as-you-go, tidak ada biaya pemrosesan permintaan yang dikenakan setelah integrasi dihapus. Namun, biaya fungsi tetap dikenakan karena adanya instans WAF itu sendiri dan aturan proteksi lainnya. Jika Anda tidak lagi ingin menggunakan WAF dan ingin menghentikan penagihan WAF, lihat Hentikan layanan WAF.
Kuota dan batasan
Jumlah instans yang diintegrasikan: Jumlahnya tidak melebihi batas atas spesifikasi instans WAF.
Instans WAF berlangganan: maksimal 300 untuk edisi Basic, 600 untuk edisi Advanced, 2.500 untuk edisi Enterprise, dan 10.000 untuk edisi Ultimate.
Instans WAF pay-as-you-go: maksimal 10.000.
Fitur yang tidak didukung: Objek proteksi yang diintegrasikan melalui Function Compute tidak mendukung fitur-fitur berikut: Pencegahan perubahan situs web, perlindungan data sensitif, Manajemen bot, dan keamanan API.
FAQ
Mengapa sakelar Enable untuk Web Application Firewall (WAF) tidak tersedia?
Hal ini menunjukkan bahwa nama domain kustom FC tidak memenuhi Lingkup. Saat ini, hanya nama domain kustom di wilayah Tiongkok daratan tertentu yang mendukung integrasi melalui metode integrasi produk cloud. Untuk menggunakan metode integrasi ini, Anda harus membeli instans WAF Tiongkok daratan untuk integrasi, atau gunakan CNAME integration sebagai gantinya.
Apa perbedaan antara integrasi produk cloud dan CNAME integration di WAF? Apakah keduanya dapat digunakan bersamaan?
WAF mendukung dua metode integrasi: integrasi produk cloud dan CNAME integration.
Integrasi produk cloud (metode yang dijelaskan dalam topik ini): Mengintegrasikan instans produk Alibaba Cloud dalam akun Anda secara cepat.
CNAME integration: Mengintegrasikan nama domain. Metode ini berlaku untuk berbagai skenario dan mendukung skenario lintas akun serta lintas cloud.
Kedua metode tidak dapat digunakan secara bersamaan. Setiap nama domain hanya dapat menggunakan satu metode integrasi. Konfigurasi ganda menyebabkan konflik penerusan trafik dan mengakibatkan kegagalan proteksi. Untuk informasi lebih lanjut mengenai perbedaannya, lihat topik Ikhtisar.