全部产品
Search

搜索本产品

    Web Application Firewall:Aktifkan perlindungan WAF untuk situs web Anda menggunakan rekaman CNAME

    文档中心

    Web Application Firewall:Aktifkan perlindungan WAF untuk situs web Anda menggunakan rekaman CNAME

    更新时间:Nov 15, 2025

    Lindungi situs web publik Anda dari serangan web dengan Web Application Firewall (WAF) 3.0. Perubahan DNS sederhana mengarahkan lalu lintas Anda melalui WAF untuk pemeriksaan—tanpa perubahan infrastruktur yang diperlukan. WAF menyaring permintaan berbahaya, meneruskan lalu lintas bersih ke server origin Anda, dan melindungi situs web apa pun secara mulus, baik yang di-host di cloud maupun on-premises.

    Cara kerja

    Rekaman CNAME mengarahkan lalu lintas situs web Anda melalui WAF untuk pemeriksaan. Hal ini dicapai dengan mengarahkan rekaman DNS domain yang ada ke target CNAME yang disediakan oleh WAF.

    • Server origin: Server yang meng-host situs web Anda. Jika load balancer, seperti Application Load Balancer (ALB), Classic Load Balancer (CLB), atau Network Load Balancer (NLB), atau Gateway NAT ditempatkan di depan server, server origin adalah perangkat next-hop yang menerima lalu lintas dari WAF.

    • Kembali-ke-asal: Proses WAF meneruskan lalu lintas yang telah diperiksa ke Server Origin Anda. Lalu lintas ini berasal dari rentang alamat IP publik WAF (blok CIDR). Untuk memastikan pengiriman, Anda harus menambahkan alamat IP ini ke daftar izin pada firewall atau grup keamanan server origin Anda.

    Catatan

    WAF telah men-deploy 11 node perlindungan di Tiongkok (Beijing), Tiongkok (Hangzhou), Tiongkok (Shenzhen), Tiongkok (Hong Kong), Singapura, Malaysia, AS (Silicon Valley), Jerman, Indonesia, Dubai, dan Jepang. Ketika layanan Anda dilindungi oleh kluster publik, WAF secara otomatis mengarahkan lalu lintas Anda ke node perlindungan optimal berdasarkan lokasi geografis server origin Anda.

    Catatan penggunaan

    Sebelum memulai, pastikan Anda memenuhi persyaratan berikut:

    • Kepemilikan domain: Anda harus memiliki izin untuk memodifikasi rekaman DNS domain.

    • Sertifikat domain: Untuk melindungi lalu lintas HTTPS, Anda harus memiliki Sertifikat SSL untuk domain tersebut.

    Prosedur

    Buka halaman Konsol Web Application Firewall 3.0. Di bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland). Di panel navigasi sebelah kiri, pilih Onboarding. Di tab CNAME Record, klik Add.

    Langkah 1: Konfigurasi pendengar

    1. Di bidang Domain Name, masukkan nama domain yang akan dilindungi, seperti nama domain eksak (www.aliyundoc.com) atau nama domain wildcard (*.aliyundoc.com).

      • Aturan pencocokan domain wildcard:

        • Hanya mencocokkan subdomain pada level yang sama. Misalnya, *.aliyundoc.com cocok dengan www.aliyundoc.com dan example.aliyundoc.com, tetapi tidak cocok dengan www.example.aliyundoc.com.

        • Ketika diterapkan pada domain tingkat kedua seperti *.aliyundoc.com, juga mencocokkan domain tingkat kedua itu sendiri (juga dikenal sebagai domain apex) aliyundoc.com.

        • Ketika diterapkan pada domain tingkat ketiga seperti *.example.aliyundoc.com, tidak mencocokkan domain tingkat ketiga itu sendiri example.aliyundoc.com.

      • Aturan prioritas: Jika baik nama domain eksak maupun nama domain wildcard ditambahkan, dan domain yang dilindungi cocok dengan keduanya, aturan perlindungan untuk nama domain eksak memiliki prioritas lebih tinggi.

      Untuk mengonfirmasi kepemilikan domain, Anda harus menyelesaikan verifikasi. Jika sistem meminta verifikasi setelah Anda memasukkan nama domain, pilih salah satu metode berikut.

      • Validasi DNS (direkomendasikan): Tambahkan secara manual rekaman TXT yang disediakan oleh WAF di penyedia DNS domain Anda.

      • Validasi file: Unggah file validasi yang disediakan oleh WAF ke direktori root yang ditentukan di server origin Anda. Ini memerlukan akses operasional ke server origin dan kebijakan grup keamanan yang mengizinkan akses IP publik, memastikan WAF dapat memvalidasi file dari Internet.

      Validasi DNS

      1. Di area prompt validasi, klik tab Method 1: DNS Record.

      2. Tambahkan rekaman TXT di penyedia layanan resolusi nama domain Anda menggunakan Record Type, Host Name, dan Record Value dari konsol WAF.

        Jika Anda menggunakan DNS Alibaba Cloud, ikuti langkah-langkah berikut. Jika tidak, lakukan langkah serupa di sistem mereka.

        1. Di halaman Zona Publik, temukan nama domain utama dan klik DNS Settings di sebelah kanan.

        2. Klik Add Zone, konfigurasi parameter berikut, biarkan parameter lain pada nilai default-nya, lalu klik OK.

          • Untuk Record Type, pilih TXT.

          • Hostname: Masukkan awalan nama domain. Misalnya, verification.

          • Record Value: Masukkan nilai catatan yang dihasilkan oleh WAF, seperti verify_8fca29dec226****.

      3. Tunggu hingga rekaman TXT berlaku. Rekaman TXT baru berlaku segera, tetapi perubahan pada rekaman TXT yang sudah ada biasanya berlaku setelah 10 menit. Waktu pastinya tergantung pada Time to Live (TTL) yang dikonfigurasi untuk pengaturan DNS domain, yang secara default adalah 10 menit.

      4. Kembali ke konsol WAF dan klik Verify.

        • Validasi yang berhasil mengonfirmasi kepemilikan domain Anda.

        • Jika validasi gagal, pesan kesalahan akan memberikan detail tentang penyebabnya. Lakukan pemecahan masalah sebagai berikut:

          1. Periksa rekaman TXT: Pastikan catatan host dan nilai catatan yang Anda tambahkan persis sama dengan informasi yang disediakan di konsol WAF. Jika ada perbedaan, hapus catatan yang salah, tambahkan lagi, dan validasi ulang.

          2. Tunggu hingga rekaman DNS berlaku: Rekaman DNS mungkin tidak langsung berlaku. Waktu yang diperlukan agar rekaman DNS berlaku tergantung pada waktu cache TTL yang diatur di server DNS. Kami menyarankan Anda menunggu 10 menit lalu validasi ulang.

          3. Ganti metode validasi: Jika validasi berulang kali gagal, kami menyarankan menggunakan Metode 2: Verifikasi File.

      Validasi file

      1. Di area prompt validasi, klik tab Method 2: Verification File.

      2. Klik tautan untuk mengunduh file validasi (① pada gambar).image..png

        Penting

        • File validasi hanya berlaku selama 3 hari setelah diunduh. Jika Anda tidak menyelesaikan validasi file dalam periode ini, Anda harus mengunduhnya lagi.

        • Jangan memodifikasi file validasi dengan cara apa pun, seperti mengedit atau mengganti namanya.

        • WAF mengakses server origin berdasarkan jenis protokol yang dipilih. Pastikan aturan grup keamanan atau firewall server origin Anda mengizinkan lalu lintas yang sesuai:

          • Jika Anda memilih HTTP, izinkan lalu lintas TCP arah masuk pada port 80 dari 0.0.0.0/0.

          • Jika Anda memilih HTTPS, izinkan lalu lintas TCP arah masuk pada port 443 dari 0.0.0.0/0.

      3. Unggah secara manual file validasi ke direktori root web server origin domain Anda, seperti instance Elastic Compute Service (ECS), bucket Object Storage Service (OSS), instance Cloud Virtual Machine (CVM), bucket Cloud Object Storage (COS), atau instance Elastic Compute Cloud (EC2) (② pada gambar).

        Catatan

        Jika Anda menambahkan nama domain wildcard, seperti *.aliyun.com, Anda harus mengunggah file validasi ke direktori root aliyun.com.

        Setelah pengunggahan selesai, Anda dapat memeriksa apakah file validasi berhasil diunggah dengan mengikuti metode di bawah ini.

      4. Kembali ke konsol WAF dan klik Verify.

        • Validasi yang berhasil mengonfirmasi kepemilikan domain Anda.

        • Jika validasi gagal, pesan kesalahan akan memberikan detail tentang penyebabnya. Lakukan pemecahan masalah berdasarkan pesan kesalahan:

          Masalah

          Solusi

          Tidak dapat mengakses nama domain.

          1. Periksa rekaman DNS domain untuk memastikan ada catatan yang mengarah ke server origin. Untuk DNS Alibaba Cloud, lihat Tambahkan rekaman DNS.

          2. Periksa aturan grup keamanan atau firewall server origin untuk memastikan permintaan akses publik diizinkan. Untuk grup keamanan ECS, lihat Tambahkan aturan grup keamanan.

          File validasi tidak ada.

          Unggah ulang file validasi ke server origin domain Anda.

          Konten file salah

          1. Buka server origin domain Anda dan hapus file validasi yang salah.

          2. Unggah ulang file validasi yang benar.

      5. Karena aturan yang mengizinkan akses dari semua alamat IP (0.0.0.0/0) merupakan risiko keamanan, kami menyarankan menghapus aturan sementara ini setelah kepemilikan dikonfirmasi, kecuali jika konfigurasi keamanan awal server origin Anda sudah mencakupnya.

    2. Pilih Protocol Type (HTTP atau HTTPS) dan masukkan konfigurasi yang diperlukan. Anda dapat mengonfigurasi kedua protokol secara bersamaan.

      Catatan

      Edisi Kustom WAF untuk host virtual bersama tidak mendukung HTTPS.

      HTTP

      1. HTTP Port

        Masukkan port yang digunakan pengguna untuk mengakses situs web. Kami menyarankan menggunakan port 80 untuk protokol HTTP. Untuk menyesuaikan port, tentukan satu dalam rentang port. Tekan Enter setelah memasukkan setiap port.

      HTTPS

      1. HTTPS Port

        Masukkan port yang digunakan pengguna untuk mengakses situs web. Kami menyarankan menggunakan port 443 untuk protokol HTTPS. Untuk menyesuaikan port, tentukan satu dalam rentang port. Tekan Enter setelah memasukkan setiap port.

      2. HTTPS Upload Type

        Untuk memungkinkan WAF mendengarkan dan melindungi lalu lintas HTTPS situs web Anda, Anda harus mengunggah Sertifikat SSL yang terkait dengan domain ke WAF. Opsi yang tersedia adalah:

        • Unggah: Gunakan ini jika sertifikat Anda belum diunggah ke Certificate Management Service (Original SSL Certificate) Alibaba Cloud.

        • Pilih Sertifikat yang Ada: Pilih sertifikat yang telah diterbitkan atau diunggah di Certificate Management Service (Original SSL Certificate) Alibaba Cloud.

        • Beli Sertifikat: Jika Anda belum memiliki Sertifikat SSL untuk domain tersebut, Anda harus membelinya dan menunggu hingga diterbitkan sebelum menambahkan domain ke WAF.

        Unggah

        • Certificate Name: Tetapkan nama unik untuk sertifikat tersebut. Nama ini tidak boleh sama dengan sertifikat yang sudah diunggah.

        • Certificate File: Gunakan editor teks untuk membuka dan menempelkan konten sertifikat dalam format PEM, CER, atau CRT.

          Contoh format: -----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----

          • Konversi format: Jika sertifikat dalam format seperti PFX atau P7B, gunakan alat sertifikat untuk mengonversinya ke format PEM.

          • Rantai sertifikat: Jika ada sertifikat perantara, gabungkan sertifikat server dan sertifikat perantara dalam urutan tersebut sebelum menempelkan.

        • Private Key: Gunakan editor teks untuk membuka dan menempelkan konten kunci privat dalam format PEM.

          • RSA: -----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----

          • ECC: -----BEGIN EC PRIVATE KEY-----......-----END EC PRIVATE KEY-----

        Pilih Sertifikat yang Ada

        Dari daftar drop-down sertifikat, pilih sertifikat yang akan diunggah ke WAF.

        Catatan

        Jika konsol WAF menampilkan pesan "Failed to verify the integrity of the certificate chain. If you use this certificate, service access may be affected.", artinya ada masalah pada rantai sertifikat. Periksa kebenaran dan kelengkapan konten sertifikat dan unggah ulang di konsol Layanan Manajemen Sertifikat. Untuk detailnya, lihat Unggah, sinkronkan, dan bagikan sertifikat SSL.

        Pembelian Sertifikat

        Jika Anda belum membeli sertifikat, lihat Beli sertifikat resmi.

      Penting

      Jika server origin Anda tidak dikonfigurasi untuk atau tidak mendukung HTTPS (misalnya, tidak ada sertifikat SSL/TLS yang diterapkan), Anda harus mengaktifkan kembali-ke-asal HTTP. Jika tidak, permintaan kembali-ke-asal akan gagal, dan situs web Anda tidak dapat diakses.

    3. Untuk menyesuaikan pengaturan seperti Aktifkan HTTPS berbasis SM, HTTP2, Aktifkan Pengalihan HTTPS, Versi TLS, Paket Sandi HTTPS, Apakah Proxy Lapisan 7, Seperti Proxy Anti-DDoS atau CDN Alibaba Cloud, Ditempatkan di Depan WAF, IPv6, IP Eksklusif, Penyeimbangan Beban Cerdas Berbasis Kluster Bersama, atau Kelompok Sumber Daya, lihat Konfigurasi lanjutan. Jika tidak perlu penyesuaian, biarkan nilai default untuk parameter lain dan klik Berikutnya.

    Langkah 2: Konfigurasi penerusan

    1. Di area Server Address, masukkan alamat IP atau nama domain server origin sesuai dengan jenis servernya. WAF menggunakan konfigurasi ini untuk meneruskan permintaan layanan ke server origin. Jika Anda tidak yakin dengan alamat server origin, lihat FAQ.

      Penting

      Jangan kelirukan Domain Name (Such as CNAME) yang ditentukan di sini dengan nama domain yang Anda tambahkan di Langkah 1. Bidang ini digunakan ketika alamat server origin adalah nama domain, seperti CNAME. Misalnya, jika server origin adalah instance ALB, masukkan nama DNS-nya, seperti alb-xxx.cn-shanghai.alb.aliyuncsslb.com.

    2. Setelah Anda menentukan jenis server origin, lengkapi konfigurasi berikut.

      IP

      • Origin Port: Port yang digunakan server origin. Pengguna mengakses situs web Anda melalui port HTTP/HTTPS yang Anda konfigurasi di Langkah 1. WAF kemudian menggunakan Origin Port untuk mengakses server origin. Jika Anda tidak yakin port mana yang digunakan situs web Anda, lihat FAQ.

        • Secara default, nilai ini sama dengan port HTTP/HTTPS yang dikonfigurasi untuk Protocol Type pada langkah sebelumnya. Anda dapat menyesuaikan port kembali-ke-asal dalam rentang port. Penyesuaian ini untuk skenario di mana Anda perlu menentukan port agar WAF menggunakannya untuk permintaan kembali-ke-asal.

      • Origin IP Address: Masukkan alamat IP server origin.

        • Harus berupa alamat IP yang dapat diakses publik.

        • Anda dapat memasukkan beberapa alamat IP. Tekan Enter setelah memasukkan setiap alamat IP. Tambahkan hingga 20 alamat IP server origin. Jika Anda memasukkan beberapa alamat IP, WAF akan meneruskan permintaan kembali-ke-asal berdasarkan algoritma penyeimbangan beban yang Anda pilih.

        • Anda dapat mengonfigurasi alamat IPv4 dan IPv6 secara terpisah atau bersamaan. Jika ingin mengonfigurasi alamat IPv6, terlebih dahulu aktifkan perlindungan IPv6 di Configure Listener.

      Nama Domain (seperti CNAME)

      • Origin Port: Port yang digunakan server origin Anda. Pengguna mengakses situs web Anda melalui Port HTTP/HTTPS yang dikonfigurasi di Langkah 1, dan WAF menggunakan Origin Port untuk meneruskan permintaan ke server origin. Jika Anda tidak tahu port mana yang digunakan situs web Anda, lihat FAQ.

        • Secara default, port ini sama dengan port yang ditentukan untuk Protocol Type pada langkah sebelumnya. Jika Anda ingin WAF menggunakan port tertentu untuk permintaan kembali-ke-asal, Anda dapat menyesuaikan port dalam rentang port.

      • Origin Domain Name: Masukkan nama domain server origin.

        • WAF hanya mendukung penerusan permintaan klien ke alamat IPv4 yang diselesaikan dari nama domain ini. Untuk situs web IPv6, pilih metode IP untuk koneksi.

      Penting

      Jika alamat server origin berubah, Anda harus segera memperbarui alamat server di sini.

    3. Untuk menyesuaikan pengaturan seperti Algoritma Penyeimbangan Beban, Kembali-ke-asal Tautan Cadangan, Kembali-ke-asal HTTP, Sumber SNI, Konfigurasi field header permintaan, Tag Lalu Lintas, Konfigurasi Timeout Kembali-ke-asal, Ulangi Permintaan Kembali-ke-asal, atau Permintaan Keep-alive Kembali-ke-asal, lihat Konfigurasi lanjutan. Jika tidak perlu penyesuaian, biarkan nilai default untuk item konfigurasi lain dan klik Kirim.

    Langkah 3: Alihkan lalu lintas

    Setelah menyelesaikan konfigurasi konsol WAF, Anda harus melakukan langkah-langkah berikut untuk mengalihkan lalu lintas ke WAF. Jika tidak, perlindungan WAF tidak akan aktif.

    1. Izinkan rentang alamat IP kembali-ke-asal WAF: Jika Anda telah mengonfigurasi kebijakan kontrol akses, seperti aturan grup keamanan atau aturan firewall, di server origin Anda, atau jika Anda menggunakan perangkat lunak keamanan, seperti Safedog atau Yunsuo, Anda harus menambahkan rentang alamat IP kembali-ke-asal WAF ke daftar putih di server origin. Jika tidak, lalu lintas kembali-ke-asal dari WAF mungkin diblokir, yang menyebabkan gangguan layanan.

      Catatan

      Kami menyarankan menerapkan daftar putih yang ketat pada lalu lintas masuk server origin Anda, hanya mengizinkan koneksi dari rentang alamat IP kembali-ke-asal WAF. Apa pun yang kurang dari itu membuat WAF tidak efektif melawan penyerang yang tekun.

      1. Di pojok kanan atas halaman Add Completed, klik WAF IP Address.

      2. Di kotak dialog Back-to-origin CIDR Block, klik Copy untuk menyalin semua alamat IP kembali-ke-asal WAF ke clipboard.

        Catatan

        Alamat IP kembali-ke-asal yang disalin dipisahkan oleh koma (,). Alamat tersebut mencakup alamat seperti 2408:400a:3c:xxxx::/56, yang merupakan rentang alamat IPv6.

      3. Izinkan rentang alamat IP tersebut di firewall server Anda atau lokasi lainnya. Misalnya, jika server origin adalah instance ECS Alibaba Cloud, tambahkan rentang IP ke grup keamanan ECS. Untuk informasi lebih lanjut tentang operasi grup keamanan, lihat Tambahkan aturan grup keamanan.

        1. Di halaman detail instance ECS, klik Security Groups > Security Groups, lalu pilih grup keamanan target untuk membuka halaman detailnya.

        2. Di halaman detail grup keamanan, di bawah Security Group Details > Inbound, klik Add Rule.

        3. Karena satu aturan grup keamanan tidak dapat berisi alamat IPv4 dan IPv6 sekaligus, Anda harus membuat aturan terpisah untuk masing-masing.

          1. Tambahkan aturan IPv4: Di area Source, tempel segmen IP yang Anda salin pada langkah sebelumnya dan hapus secara manual alamat IPv6-nya. Atur Port Range ke port origin yang Anda konfigurasi di Langkah 2. Biarkan parameter lain pada nilai default-nya dan klik Sav.

          2. Tambahkan aturan IPv6: Klik lagi Add Rule, ikuti langkah sebelumnya untuk menambahkan segmen alamat IPv6, dan pilih IPv6 di area Source.

    2. Verifikasi konfigurasi WAF secara lokal: Sebelum mengubah pengaturan DNS domain, kami menyarankan Anda memverifikasi konfigurasi dengan memodifikasi file hosts lokal untuk memetakan nama domain. Hal ini dapat mencegah gangguan layanan yang disebabkan oleh konfigurasi yang salah.

      1. Di halaman wizard Add Completed, klik Copy CNAME untuk menyalin CNAME WAF.

      2. Buka Analisis Diagnostik Jaringan dan pilih Network Diagnostic Analysis, masukkan alamat CNAME yang disalin, seperti xxx.c.yundunwaf2.com, lalu klik OK.

      3. Salin alamat IP dari DNS service provider analysis results dan tambahkan ke file hosts komputer lokal Anda.

        Windows

        1. Gunakan Notepad untuk membuka file C:\Windows\System32\drivers\etc\hosts. Tambahkan catatan berikut di akhir file dan simpan.

          <Alamat IP yang diperoleh pada langkah sebelumnya> <Nama domain yang saat ini ditambahkan ke WAF>

        2. Buka cmd dan jalankan perintah ping <Nama domain yang saat ini ditambahkan ke WAF>. Jika alamat IP pada output cocok dengan yang Anda tambahkan, modifikasi file hosts telah berlaku. Jika tidak, jalankan ipconfig /flushdns untuk menghapus cache DNS lalu jalankan perintah ping lagi.

        3. Buka browser dan masukkan domain yang dilindungi di bilah alamat.

          • Jika situs web dimuat secara normal, konfigurasi domain WAF sudah benar. Anda dapat melanjutkan ke langkah berikutnya untuk memodifikasi resolusi DNS.

          • Jika akses situs web tidak normal, mungkin menunjukkan kesalahan dalam konfigurasi domain WAF. Kami menyarankan memeriksa konfigurasi di atas, memperbaiki masalah apa pun, dan menjalankan kembali verifikasi lokal.

        4. Setelah verifikasi lokal selesai, kembalikan file hosts ke kondisi semula.

        macOS

        1. Tekan Command + Space bar untuk mencari dan membuka Terminal.

        2. Masukkan sudo vim /etc/hosts untuk membuka file hosts.

        3. Tambahkan baris berikut di akhir file dan simpan.

          <Alamat IP yang diperoleh pada langkah sebelumnya> <Nama domain yang saat ini ditambahkan ke WAF>

        4. Jalankan perintah ping <Nama domain yang saat ini ditambahkan ke WAF>. Jika alamat IP pada output cocok dengan yang Anda tambahkan, modifikasi file hosts telah berlaku. Jika tidak, jalankan sudo killall -HUP mDNSResponder untuk menghapus cache DNS dan coba ping lagi.

        5. Buka browser dan masukkan domain yang dilindungi di bilah alamat.

          • Jika situs web dimuat secara normal, konfigurasi domain WAF sudah benar. Anda dapat melanjutkan ke langkah berikutnya untuk memodifikasi resolusi DNS.

          • Jika akses situs web tidak normal, mungkin menunjukkan kesalahan dalam konfigurasi domain WAF. Kami menyarankan memeriksa konfigurasi di atas, memperbaiki masalah apa pun, dan menjalankan kembali verifikasi lokal.

        6. Setelah verifikasi lokal selesai, hapus entri tersebut dari file hosts Anda.

    3. Modifikasi resolusi DNS domain: Arahkan resolusi DNS domain Anda ke alamat CNAME yang disediakan oleh WAF untuk memastikan permintaan web ke domain tersebut diarahkan melalui WAF untuk perlindungan keamanan.

      Catatan

      Kami menyarankan melakukan operasi ini di luar jam sibuk untuk meminimalkan dampak bisnis.

      1. Di halaman wizard Add Completed, klik Copy CNAME untuk mendapatkan alamat CNAME WAF.

      2. Atur alamat resolusi DNS domain Anda ke alamat yang Anda salin pada langkah sebelumnya. Jika DNS domain Anda di-host oleh DNS Alibaba Cloud, ikuti langkah-langkah berikut. Jika tidak, lakukan langkah serupa di sistem mereka.

        1. Di halaman Zona Publik, temukan domain target dan klik Settings di kolom Actions.

        2. Di halaman Settings, temukan Hostname yang ingin Anda modifikasi, lalu klik Edit di kolom Actions. Misalnya, jika domain yang ditambahkan ke WAF adalah www.aliyundoc.com, Anda perlu menemukan dan memodifikasi entri dengan catatan host www di bawah domain utama aliyundoc.com.

        3. Di panel Edit Record, atur Record Type ke CNAME dan Record Value ke nilai rekaman CNAME yang disediakan oleh WAF. Biarkan pengaturan lain tidak berubah.

          Saat memodifikasi rekaman DNS:

          • Untuk catatan host yang sama, Anda hanya dapat memiliki satu nilai rekaman CNAME. Anda perlu mengubahnya ke alamat CNAME WAF.

          • Rekaman CNAME bertentangan dengan tipe catatan lain seperti A, MX, dan TXT untuk catatan host yang sama. Anda harus menghapus catatan yang bertentangan sebelum menambahkan rekaman CNAME baru.

            Peringatan

            Selama perubahan DNS, beberapa pengguna mungkin mengalami gangguan layanan sementara. Oleh karena itu, Anda harus menambahkan rekaman CNAME baru segera setelah menghapus yang lama.

        4. Klik OK untuk menyimpan pengaturan DNS. Rekaman DNS yang diperbarui kemudian akan berlaku.

          Catatan

          Diperlukan waktu agar rekaman DNS tersebar. Jika situs web tidak dapat diakses setelah perubahan, tunggu 10 menit dan muat ulang halaman untuk mencoba lagi.

    Langkah 4: Verifikasi perlindungan

    Setelah menyelesaikan pengaturan, ikuti langkah-langkah berikut untuk memverifikasi bahwa domain telah berhasil ditambahkan.

    1. Masukkan domain situs web yang ditambahkan di browser Anda. Jika dimuat secara normal, domain telah berhasil ditambahkan.

      Catatan

      Akses domain situs web Anda, bukan CNAME yang disediakan oleh WAF. CNAME hanya untuk resolusi DNS dan tidak dapat diakses langsung.

    2. Di browser Anda, masukkan nama domain situs web yang ditambahkan dan kode serangan web, misalnya, <nama domain yang dilindungi>/alert(xss), di mana alert(xss) adalah uji serangan cross-site scripting). Jika halaman blokir 405 muncul, artinya WAF telah mencegat serangan dan berfungsi dengan benar.

    Penting

    Setelah menyelesaikan pengaturan CNAME, perhatikan juga hal-hal berikut:

    • Aturan perlindungan kustom: WAF mengaktifkan serangkaian aturan perlindungan default untuk domain yang ditambahkan. Anda dapat melihat aturan ini di halaman Protection Configuration > Protected Objects. Jika aturan default tidak memenuhi kebutuhan bisnis Anda (misalnya, untuk menambahkan alamat IP tertentu ke daftar putih agar mengizinkan semua permintaan dari alamat tersebut), Anda dapat membuat atau memodifikasi aturan perlindungan. Untuk informasi lebih lanjut, lihat Ikhtisar Pengaturan Mitigasi.

    • Dapatkan IP klien di server origin: Secara default, semua permintaan yang diterima server origin tampak berasal dari alamat IP WAF. Untuk mendapatkan alamat IP asli klien di server origin, lihat Dapatkan alamat IP asal klien.

    Konfigurasi lanjutan

    Saat mengikuti Prosedur, Anda dapat mengatur konfigurasi lanjutan berikut untuk meningkatkan keamanan, meningkatkan kinerja, dan menyederhanakan manajemen. Anda juga dapat memodifikasi pengaturan setelah integrasi selesai. Di tab CNAME Record, temukan domain target dan klik Edit di kolom Tindakan.

    Tingkatkan tingkat perlindungan keamanan (HTTPS)

    Parameter

    Deskripsi

    Aktifkan HTTPS SM

    Mendukung algoritma SM2 untuk memenuhi persyaratan keamanan dan kepatuhan tertentu. Saat ini, hanya enkripsi SM dari klien ke WAF yang didukung. Kembali-ke-asal SM tidak didukung. Anda perlu menyediakan sertifikat SM dan kunci privat dalam format PEM.

    HTTP2

    Menggunakan protokol HTTP/2 untuk meningkatkan kecepatan pemuatan halaman web, mengurangi latensi, dan meningkatkan pengalaman pengguna. Jika situs web Anda mendukung HTTP/2, aktifkan fitur ini. Setelah diaktifkan, HTTP/2 dan HTTPS menggunakan port yang sama.

    Aktifkan pengalihan HTTPS paksa

    Memaksa semua akses HTTP dialihkan ke HTTPS dan mengaktifkan HSTS secara default, memastikan klien selalu mengakses melalui koneksi aman. Ini hanya tersedia ketika HTTP tidak dipilih sebagai protokol pendengar.

    Versi TLS

    Menentukan versi TLS yang diizinkan antara klien dan WAF. Versi yang lebih tinggi menawarkan keamanan yang lebih kuat tetapi memiliki kompatibilitas yang lebih rendah dengan klien lama. Untuk skenario keamanan tinggi, kami menyarankan memilih TLS 1.2 dan versi yang lebih baru.

    Paket sandi HTTPS

    Menentukan algoritma enkripsi yang diizinkan antara klien dan WAF. Paket sandi yang kuat menawarkan keamanan tinggi tetapi memiliki kompatibilitas rendah dengan klien lama. Untuk skenario keamanan tinggi, kami menyarankan memilih paket sandi yang kuat.

    Aktifkan kembali-ke-asal HTTP

    Mengizinkan WAF terhubung ke origin melalui HTTP ketika server origin tidak mendukung HTTPS. Anda harus mengaktifkan ini jika server origin Anda tidak memiliki sertifikat SSL; jika tidak, situs web Anda tidak dapat diakses.

    Aktifkan SNI origin

    Ketika server origin meng-host layanan HTTPS untuk beberapa nama domain pada alamat IP yang sama, Anda harus mengaktifkan fitur ini untuk memastikan perutean yang benar.

      1. Di halaman Configure Listener, Anda dapat mengaktifkan sakelar Enable SM-based HTTPS.

      2. Di area SM Certificate Upload Mode, pilih metode unggah yang sesuai:

        • Unggah manual: Pilih sertifikat SM lokal dalam format PEM. Sertifikat harus mencakup empat file: SM Certificate (seperti server_enc.pem), Encryption Private Key (seperti server_enc.key), SM Signing Certificate (seperti server_sign.pem), dan Signing Private Key (seperti server_sign.key). Jika sertifikat dalam format lain, seperti PFX atau P7B, ubah ke format PEM.

        • Pilih Sertifikat yang Ada: Pilih sertifikat yang telah diterbitkan atau diunggah di Certificate Management Service (Original SSL Certificate) Alibaba Cloud.

        • Terapkan Sertifikat Baru: Jika Anda belum memiliki Sertifikat SSL untuk nama domain, Anda harus terlebih dahulu membeli sertifikat. Tunggu hingga sertifikat diterbitkan sebelum menambahkannya ke WAF.

      3. Opsional: Jika Anda hanya ingin mengizinkan klien berbasis sertifikat SM mengakses situs web Anda, Anda dapat mengaktifkan sakelar Allow Access Only from SM Certificate-based Clients.

    • HTTP/2

      Di halaman Configure Listener, pilih HTTP2.

    • Di halaman Configure Listener, perluas Advanced Settings dan klik Enable HTTPS Routing.

    • Di halaman Configure Listener, perluas Advanced Settings, dan pilih TLS Version yang diinginkan:

      • TLS 1.0 and Later (Best Compatibility and Low Security): Mendukung semua klien lama.

      • TLS 1.1 and Later (High Compatibility and High Security): Mencegah klien yang hanya mendukung TLS 1.0 mengakses situs web.

      • TLS 1.2 and Later (High Compatibility and Best Security): Memenuhi persyaratan kepatuhan keamanan terbaru tetapi akan menyebabkan klien lama yang menggunakan TLS 1.0 dan 1.1 tidak dapat mengakses situs web.

      • Support TLS 1.3: Pilih ini jika situs web Anda mendukung protokol TLS 1.3. WAF tidak mendengarkan permintaan klien TLS 1.3 secara default.

    • HTTPS Cipher Suite

      Di halaman Configure Listener, perluas Advanced Settings dan pilih HTTPS Cipher Suite yang diinginkan:

      • All Cipher Suites (High Compatibility and Low Security)

      • Custom Cipher Suite (Select It based on protocol version. Proceed with caution.): Jika situs web Anda hanya mendukung paket sandi tertentu, pilih opsi ini dan pilih dari daftar paket yang didukung.

        Paket sandi kuat

        Paket sandi lemah

        • ECDHE-ECDSA-AES128-GCM-SHA256

        • ECDHE-ECDSA-AES256-GCM-SHA384

        • ECDHE-ECDSA-AES128-SHA256

        • ECDHE-ECDSA-AES256-SHA384

        • ECDHE-RSA-AES128-GCM-SHA256

        • ECDHE-RSA-AES256-GCM-SHA384

        • ECDHE-RSA-AES128-SHA256

        • ECDHE-RSA-AES256-SHA384

        • ECDHE-ECDSA-AES128-SHA

        • ECDHE-ECDSA-AES256-SHA

        • AES128-GCM-SHA256

        • AES256-GCM-SHA384

        • AES128-SHA256

        • AES256-SHA256

        • ECDHE-RSA-AES128-SHA

        • ECDHE-RSA-AES256-SHA

        • AES128-SHA

        • AES256-SHA

        • DES-CBC3-SHA

        Catatan

        • Rekomendasi keamanan paket sandi: Paket sandi ECDHE-RSA-AES128-SHA256 dan ECDHE-RSA-AES256-SHA384 menggunakan ECDHE untuk pertukaran kunci dan RSA untuk otentikasi, dengan AES-CBC untuk enkripsi. Keamanan dan kinerjanya lebih rendah daripada paket yang menggunakan mode enkripsi terautentikasi seperti AES-GCM. Beberapa pemindai keamanan mungkin mengidentifikasi mereka sebagai lemah. Jika ini terjadi, pilih paket sandi kustom dan secara manual kecualikan kedua paket ini.

        • Standar penamaan paket sandi: Standar penamaan untuk paket sandi bervariasi. WAF menampilkannya dalam format OpenSSL, sedangkan beberapa pemindai mungkin menggunakan standar IANA. Misalnya, ECDHE-ECDSA-AES256-SHA384 dalam OpenSSL sesuai dengan TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 dalam IANA. Untuk menemukan korespondensi dengan cepat, kunjungi ciphersuite.info atau gunakan alat kueri TLS lainnya.

    • Di halaman Configure Forwarding Rule, perluas Advanced HTTPS Settings dan klik Enable HTTP Routing. Port kembali-ke-asal default adalah 80. Ubah port ini jika diperlukan.

    • Di halaman Configure Forwarding Rule, perluas Advanced HTTPS Settings dan pilih Origin SNI. Anda kemudian dapat mengatur nilai untuk field ekstensi SNI. Nilai yang valid:

      Gunakan Nama Domain di Header Host

      Nilai SNI permintaan kembali-ke-asal sama dengan nilai field Host di header permintaan HTTP. Misalnya, jika nama domain yang ditambahkan adalah *.aliyundoc.com dan Host permintaan klien adalah www.aliyundoc.com, SNI kembali-ke-asal adalah www.aliyundoc.com.

      Kustom

      Tentukan nilai SNI tetap, yang dapat berbeda dari field Host. Gunakan ini hanya ketika server origin memiliki persyaratan konfigurasi khusus, seperti perlu mengarahkan permintaan dari beberapa nama domain ke layanan backend tertentu.

    Perluas kemampuan akses jaringan (IPv6)

    Aktifkan IPv6

    • Deskripsi:

      • Jika situs web Anda mendukung IPv6, gunakan fitur ini untuk mengarahkan lalu lintas IPv6 ke WAF. Sistem menetapkan alamat IP IPv6 WAF ke nama domain.

      • Permintaan klien IPv4 diteruskan ke server origin IPv4. Permintaan klien IPv6 diutamakan diteruskan ke server origin IPv6. Jika tidak ada server origin IPv6 yang dikonfigurasi, permintaan tersebut diteruskan ke server origin IPv4.

      Penting

      • Fitur ini hanya tersedia untuk edisi bayar sesuai penggunaan, langganan Enterprise, dan Ultimate WAF di Chinese Mainland.

      • Jika fitur ini diaktifkan, Shared Cluster-based Intelligent Load Balancing tidak didukung.

    • Langkah-langkah: Di halaman Configure Listener, perluas More Settings, dan klik Enable IPv6.

    Tingkatkan ketersediaan dan kinerja layanan

    Parameter

    Deskripsi

    Aktifkan IP Eksklusif

    Semua nama domain yang ditambahkan ke instance WAF yang sama berbagi IP WAF secara default. Nama domain yang diaktifkan fitur ini akan diberikan alamat IP independen. Ketika nama domain lain mengalami serangan DDoS, nama domain ini tidak akan terpengaruh. Untuk informasi lebih lanjut, lihat Alamat IP eksklusif.

    Penting

    Instance Edisi Dasar langganan tidak mendukung fitur ini.

    Penyeimbangan Beban Cerdas Kluster Bersama

    Konfigurasikan setidaknya tiga node perlindungan di wilayah berbeda untuk instance WAF. Dikombinasikan dengan resolusi DNS cerdas dan algoritma kembali ke sumber waktu tercepat, ini memastikan jalur terpendek dan latensi terendah untuk lalu lintas dari node perlindungan ke server origin. Untuk informasi lebih lanjut, lihat penyeimbangan beban cerdas.

    Penting

    Instance Edisi Dasar langganan tidak mendukung fitur ini.

    Algoritma penyeimbangan beban

    Ketika server origin memiliki beberapa alamat, Anda dapat mengonfigurasi kebijakan penyeimbangan beban agar WAF meneruskan permintaan kembali-ke-asal sesuai kebijakan tersebut, mencapai distribusi lalu lintas.

    Aktifkan tautan cadangan kembali ke asal

    Konfigurasikan server asal sekunder untuk memastikan ketersediaan tinggi layanan. Ketika semua alamat tautan kembali-ke-asal utama tidak dapat dijangkau dan lalu lintas permintaan tidak kurang dari 100 QPS, sistem akan secara otomatis beralih ke tautan cadangan dalam waktu 30 detik. Sistem akan secara otomatis beralih kembali setelah tautan utama pulih.

    • Aktifkan IP Eksklusif

      Penting

      • Instance bayar sesuai penggunaan ditagih berdasarkan jumlah alamat IP eksklusif yang diaktifkan. Untuk informasi lebih lanjut, lihat Deskripsi penagihan bayar sesuai penggunaan.

      • Alamat IP eksklusif tidak tetap. Untuk memastikan stabilitas bisnis, ikuti secara ketat langkah-langkah dalam topik ini untuk memodifikasi pengaturan DNS domain. Untuk informasi lebih lanjut, lihat Dapatkah saya mengubah rekaman DNS ke VIP WAF?

      • Mengaktifkan fitur ini menonaktifkan Shared Cluster-based Intelligent Load Balancing.

      Di halaman Configure Listener, perluas More Settings dan klik Exclusive IP Address. Untuk instance langganan, jika opsi ini tidak tersedia, ikuti petunjuk di halaman untuk meningkatkan instance Anda dan membeli layanan bernilai tambah Exclusive IP sebelum melanjutkan konfigurasi.

    • Penting

      • Penagihan untuk instance bayar sesuai penggunaan ditentukan oleh apakah Shared Cluster-based Intelligent Load Balancing diaktifkan. Untuk informasi lebih lanjut, lihat Penagihan bayar sesuai penggunaan.

      • Jika mengaktifkan Shared Cluster-based Intelligent Load Balancing, Anda tidak dapat menggunakan IPv6 atau alamat IP eksklusif.

      Di halaman Configure Listener, perluas More Settings. Di area Protection Resource, pilih Shared Cluster-based Intelligent Load Balancing untuk mengaktifkan fitur ini. Jika Anda menggunakan instance langganan dan opsi ini tidak tersedia, ikuti petunjuk di layar untuk meningkatkan dan mengaktifkan layanan bernilai tambah Intelligent Load Balancing sebelum melanjutkan konfigurasi.

    • Di halaman Configure Forwarding Rule, pilih Load Balancing Algorithm dari opsi berikut:

      Round-robin

      Meneruskan permintaan klien secara berurutan ke setiap server dalam daftar alamat server origin. Ini ideal untuk skenario yang memerlukan distribusi beban merata di beberapa server origin.

      IP hash

      Meneruskan permintaan dari klien yang sama ke server origin yang sama. Ini cocok untuk skenario yang memerlukan persistensi sesi, tetapi dapat menyebabkan beban tidak seimbang.

      Waktu paling singkat

      Menggunakan resolusi DNS cerdas dan algoritma kembali ke sumber waktu tercepat untuk memastikan jalur terpendek dan latensi terendah untuk lalu lintas dari node perlindungan ke server origin.

      Penting

      Untuk menggunakan algoritma Least time, pastikan Protection Resource diatur ke Shared Cluster-based Intelligent Load Balancing selama Configure Listener. Untuk informasi lebih lanjut, lihat Penyeimbangan Beban Cerdas Kluster Bersama.

    • Di halaman Configure Forwarding Rule, klik Standby Link Back-to-origin. Anda dapat memasukkan hingga 20 alamat dalam format IP atau nama domain. Tekan Enter setelah memasukkan setiap alamat untuk mengonfirmasi. Jika Anda memasukkan beberapa alamat, WAF meneruskan permintaan origin sesuai konfigurasi Anda untuk algoritma penyeimbangan beban.

      • IP: Harus berupa alamat IP publik yang dapat diakses.

        • Alamat IPv4 dan IPv6 didukung, baik secara terpisah maupun bersamaan.

        • Sebelum mengonfigurasi alamat IPv6, Anda harus mengaktifkan perlindungan IPv6 selama Configure Listener. Untuk informasi lebih lanjut, lihat Aktifkan IPv6.

      • Nama domain: WAF hanya mendukung penerusan permintaan klien ke alamat IPv4 yang diselesaikan dari nama domain ini. Untuk situs web IPv6, gunakan metode IP.

      Penting

      Jika alamat server origin berubah, Anda harus segera memperbarui alamat server di sini.

    Dapatkan informasi klien sebenarnya

    Parameter

    Deskripsi

    Apakah ada proxy Lapisan 7 (Anti-DDoS/CDN, dll.) di depan WAF?

    Jika proxy Lapisan 7 (seperti CDN) ditempatkan di depan WAF, Anda harus mengatur Obtain Actual IP Address of Client untuk memastikan WAF dapat memperoleh informasi IP klien sebenarnya untuk analitik keamanan (misalnya, Attacker IP Address dalam Security Reports).

    Aktifkan penandaan lalu lintas

    Membantu server origin membedakan permintaan yang telah melewati WAF dan mendapatkan alamat IP asal klien atau port sumber.

    Konfigurasi penerusan field header permintaan

    WAF menyisipkan header tertentu ke permintaan HTTP yang diprosesnya secara default. Jika aplikasi web Anda perlu menangani header ini, Anda dapat mengonfigurasinya sesuai kebutuhan. Ketika WAF menyisipkan header, jika header tersebut sudah ada dalam permintaan, nilainya akan ditimpa. Jika tidak, WAF menambahkan header dengan nilai yang ditentukan.

    • Apakah proxy Lapisan 7 seperti Proxy Anti-DDoS atau CDN ditempatkan di depan WAF

      Di halaman Configure Listener, di bagian Is a Layer 7 proxy such as Anti-DDoS Proxy or CDN deployed in front of WAF, konfigurasikan pengaturan berikut:

      Tidak

      Menunjukkan bahwa permintaan bisnis yang diterima WAF berasal langsung dari klien.

      Ya

      Menunjukkan bahwa permintaan bisnis yang diterima WAF diteruskan dari layanan proxy Lapisan 7 lainnya. Anda perlu mengatur lebih lanjut cara menentukan IP klien.

      • Use the First IP Address in X-Forwarded-For Field as Actual IP Address of Client

        WAF memperoleh alamat IP klien dalam urutan berikut:

        1. Membaca X-Real-IP dari header permintaan sebagai alamat IP klien.

        2. Jika X-Real-IP tidak ada, menggunakan alamat IP pertama di X-Forwarded-For (XFF) sebagai alamat IP klien.

      • [Recommended] Use the First IP Address in Specified Header Field as Actual IP Address of Client to Prevent X-Forwarded-For Forgery

        Catatan

        Kami menyarankan mengonfigurasi layanan proxy lain untuk menulis alamat IP sumber klien ke field header yang ditentukan, seperti X-Real-IP atau X-Client-IP, dan pilih konfigurasi ini untuk mencegah penyerang melewati WAF dengan memalsukan field XFF.

        Di kotak Header Field, masukkan satu atau beberapa field header. Tekan Enter setelah memasukkan setiap field. WAF memperoleh IP klien dari field-field ini dalam urutan berikut:

        1. Mencocokkan Header Field yang dikonfigurasi secara berurutan.

        2. Jika tidak ada header yang ditentukan, mencoba membaca field X-Real-IP.

        3. Jika masih tidak ada hasil, menggunakan alamat IP pertama di XFF sebagai alamat IP klien.

    • Di halaman Configure Forwarding Rule, perluas Other Advanced Settings, pilih Enable Traffic Tag, dan konfigurasikan field penandaan berikut:

      • Custom Header: Dengan mengonfigurasi Header Name dan Header Value, WAF menambahkan header ini ke permintaan origin untuk mengidentifikasi permintaan yang telah melewati WAF. Misalnya, Anda dapat mengonfigurasi header sebagai WAF-TAG: Yes, di mana WAF-TAG adalah nama header dan Yes adalah nilai header. Setelah konfigurasi, server origin Anda dapat menggunakan field ini untuk membuat kebijakan validasi atau kontrol akses guna meningkatkan perlindungan keamanan dan deteksi permintaan.

        Penting

        Jangan masukkan field header HTTP standar, seperti User-Agent. Melakukannya akan menyebabkan konten header standar ditimpa oleh nilai kustom Anda.

      • Originating IP Address: Jika Anda menentukan field header yang berisi alamat IP asal klien, WAF mencatat field header ini dan meneruskannya ke server origin. Untuk informasi lebih lanjut tentang cara WAF menentukan alamat IP asal klien, lihat Apakah ada proxy Lapisan 7 (seperti Anti-DDoS atau CDN) di depan WAF?.

      • Source Port: Menentukan field header yang berisi port asal klien. WAF mencatat field header ini dan meneruskannya ke server origin.

    • Di halaman Configure Forwarding Rule, perluas Other Advanced Settings. Di area Request Header Forwarding, pilih field header yang akan disisipkan.

      • Insert X-Client-IP to get the real client IP: Meneruskan alamat IP asal klien.

      • Add X-True-IP with Real Client IP: Meneruskan alamat IP klien ke server origin.

      • Insert Web-Server-Type to get the server type: Proxy pertama biasanya menambahkan header ini untuk memberi tahu server backend tentang jenis server web frontend atau proxy yang memproses permintaan.

      • Add WL-Proxy-Client-IP with Real Client IP: Fitur ini mirip dengan X-Client-IP. WL-Proxy-Client-IP adalah header permintaan khusus untuk Oracle WebLogic Server.

      • Insert X-Forwarded-Proto to get the frontend protocol: Protokol yang digunakan klien untuk terhubung ke proxy pertama.

    Optimalkan kualitas tautan kembali-ke-asal

    Parameter

    Deskripsi

    Atur timeout kembali-ke-asal

    Ketika waktu pemrosesan server origin lama, yang menyebabkan kemungkinan masalah timeout, Anda dapat mengonfigurasi timeout untuk WAF dalam membuat koneksi baru dan membaca/menulis koneksi.

    Ulangi permintaan kembali-ke-asal

    Ketika upaya kembali-ke-asal gagal, WAF akan mencoba mengambil dari setiap server origin tiga kali secara default. Jika fitur ini dinonaktifkan, WAF tidak akan mencoba ulang jika upaya kembali-ke-asal gagal.

    Permintaan keep-alive kembali-ke-asal

    Konfigurasikan kemampuan untuk mempertahankan koneksi jangka panjang antara WAF dan server origin. Jika Anda mengalami kesalahan 502 sesekali setelah integrasi, periksa parameter terkait di server origin. Kami menyarankan mengatur nilai parameter koneksi persisten WAF agar kurang dari atau sama dengan nilai parameter yang sesuai di server origin.

    • Atur timeout kembali-ke-asal

      Di halaman Configure Forwarding Rule, perluas Other Advanced Settings dan konfigurasikan pengaturan berikut:

      • Connection Timeout Period: Periode timeout untuk WAF membuat koneksi dengan server origin. Dalam kebanyakan kasus, Anda tidak perlu menyesuaikan parameter ini. Tingkatkan parameter ini hanya jika koneksi lambat terbentuk karena latensi jaringan tinggi atau beban server origin yang sangat tinggi. Nilai default adalah 5 detik, dan rentang valid adalah 1 hingga 3.600 detik.

      • Read Connection Timeout Period: Timeout untuk menerima respons dari server origin. Anda dapat meningkatkan nilai parameter ini untuk operasi yang memerlukan waktu respons lama, seperti ekspor laporan dan pemrosesan data batch. Nilai valid: 1 hingga 3.600. Nilai default: 120. Satuan: detik.

      • Write Connection Timeout Period: Menentukan durasi timeout untuk permintaan yang dikirim dari WAF ke server origin. Dalam kebanyakan kasus, Anda dapat menggunakan nilai default. Tingkatkan timeout hanya jika server origin berada di bawah beban yang sangat tinggi dan memproses permintaan secara lambat. Nilai valid: 1 hingga 3.600. Nilai default: 120. Satuan: detik.

    • Ulangi permintaan kembali ke asal

      Di halaman Configure Forwarding Rule, perluas Other Advanced Settings dan konfigurasikan pengaturan di bagian Back-to-origin Retry.

    • Permintaan keep-alive kembali-ke-asal

      Penting

      Jika Anda menonaktifkan fitur ini, koneksi keep-alive kembali-ke-asal tidak akan mendukung protokol WebSocket.

      Di halaman Configure Forwarding Rule, perluas Other Advanced Settings. Kemudian, di area Back-to-origin Keep-alive Requests, aktifkan fitur ini dan konfigurasikan pengaturan berikut:

      • Max Requests per Connection: Nilai default adalah 1.000. Rentang valid adalah 60 hingga 1.000. Misalnya, jika server origin Anda menggunakan Nginx, parameter ini sesuai dengan parameter Nginx keepalive_requests. Untuk informasi lebih lanjut, lihat dokumentasi Nginx.

      • Timeout Period of Idle Keep-alive Requests: Nilai default adalah 15 detik, dan rentang valid adalah 10 hingga 3.600 detik. Untuk server origin Nginx, parameter ini setara dengan parameter Nginx keepalive_timeout.

    Tingkatkan efisiensi manajemen sumber daya

    Resource Group

    • Deskripsi: Menyederhanakan manajemen sumber daya dan konfigurasi izin untuk meningkatkan efisiensi manajemen. Jika Anda tidak menentukan kelompok sumber daya, domain ditambahkan ke Default Resource Group. Untuk informasi lebih lanjut, lihat Kelompok sumber daya.

    • Langkah-langkah: Di halaman Configure Listener, di area Resource Group, pilih kelompok sumber daya untuk nama domain dari daftar drop-down.

    Pemeliharaan

    Perbarui sertifikat yang mengamankan nama domain

    Jika sertifikat akan kedaluwarsa atau berubah karena alasan lain, seperti dicabut, Anda harus memperbarui sertifikat yang mengamankan nama domain tersebut.

    Beli sertifikat baru dari Alibaba Cloud

    1. Di konsol Certificate Management Service (Original SSL Certificate), perbarui Sertifikat SSL. Untuk informasi lebih lanjut, lihat Perbarui sertifikat SSL.

    2. Di konsol WAF, temukan nama domain di daftar rekaman CNAME dan klik Edit di kolom Actions.

    3. Di area HTTPS Upload Type, pilih Select Existing Certificate, pilih sertifikat yang diperbarui, lalu klik Next > Submit.

    Sudah membeli sertifikat baru dari platform lain

    1. Unduh file sertifikat dari platform pembelian asli.

    2. Di daftar akses CNAME konsol WAF, klik Edit di kolom Actions untuk nama domain target.

    3. Di area HTTPS Upload Type, pilih Upload dan masukkan informasi yang diperlukan.

      • Certificate Name: Tetapkan nama unik untuk sertifikat tersebut. Nama ini tidak boleh sama dengan sertifikat yang sudah diunggah.

      • Certificate File: Gunakan editor teks untuk membuka dan menempelkan konten sertifikat dalam format PEM, CER, atau CRT.

        Contoh format: -----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----

        • Rantai sertifikat: Jika sertifikat perantara disertakan, tempelkan setelah sertifikat server dalam urutan sertifikat server lalu sertifikat perantara.

        • Konversi format: Jika sertifikat dalam format seperti PFX atau P7B, gunakan alat sertifikat untuk mengonversinya ke format PEM.

      • Private Key: Gunakan editor teks untuk membuka dan menempelkan konten kunci privat dalam format PEM.

        Contoh format:

        • RSA: -----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----

        • ECC: -----BEGIN EC PRIVATE KEY-----......-----END EC PRIVATE KEY-----

    Catatan

    • Ketika sertifikat memiliki sisa masa berlaku kurang dari 30 hari kalender, WAF menampilkan ikon image.png di daftar koneksi untuk menunjukkan bahwa sertifikat akan segera kedaluwarsa. Kami menyarankan memperbaruinya segera untuk menghindari gangguan operasi bisnis normal.

    • Anda dapat mengatur pengingat pesan sertifikat SSL untuk menerima notifikasi melalui email, pesan teks, dan metode lain sebelum sertifikat kedaluwarsa. Untuk informasi lebih lanjut, lihat Atur notifikasi pesan untuk sertifikat SSL.

    • Untuk menghindari gangguan bisnis yang disebabkan oleh sertifikat kedaluwarsa, kami menyarankan mengaktifkan layanan penyimpanan sertifikat Alibaba Cloud Certificate Management Service (Original SSL Certificate). Layanan ini secara otomatis meminta sertifikat sebelum kedaluwarsa. Untuk informasi lebih lanjut, lihat Apa itu Layanan Penyimpanan Sertifikat?

    Tambahkan ulang domain setelah kedaluwarsa pendaftaran ICP

    Setelah domain ditambahkan melalui CNAME, WAF secara berkala memeriksa status pendaftaran ICP-nya. Jika pendaftaran kedaluwarsa, WAF akan secara otomatis berhenti meneruskan lalu lintas untuk domain tersebut. Setelah pendaftaran kedaluwarsa, Anda perlu mengajukan ulang. Setelah berhasil, kembali ke halaman onboarding CNAME dan klik Add Again.

    Nonaktifkan atau hapus perlindungan WAF

    • Nonaktifkan sementara perlindungan WAF: Jika Anda mengalami masalah setelah onboarding, seperti banyak positif palsu, dan perlu menonaktifkan sementara perlindungan WAF, matikan sakelar WAF Protection Status di halaman Protected Objects di konsol WAF. Untuk informasi lebih lanjut, lihat Nonaktifkan perlindungan WAF dengan satu klik.

    • Hapus instance: Jika Anda tidak lagi ingin menggunakan WAF untuk melindungi instance ECS, ikuti langkah-langkah berikut untuk menghapusnya.

      1. Ubah rekaman DNS domain kembali ke alamat server origin. Misalnya, atur ke alamat IP server origin.

      2. Di konsol WAF, klik Delete di kolom Tindakan untuk nama domain target.

    Peringatan

    • Dampak bisnis: Sebelum menghapus domain, Anda harus mengubah rekaman DNS domain kembali ke alamat server origin. Jika tidak, alamat CNAME yang ditunjuk oleh domain akan menjadi tidak valid, menyebabkan situs web Anda tidak dapat diakses.

    • Pengingat penagihan: Untuk instance WAF bayar sesuai penggunaan, selain biaya pemrosesan permintaan, Anda juga dikenai biaya untuk fitur-fitur, termasuk instance itu sendiri dan aturan perlindungan. Jika Anda ingin berhenti menggunakan WAF dan menghentikan penagihan, lihat Nonaktifkan WAF.

    Kelola domain WAF secara massal melalui API

    Ketika Anda memiliki banyak domain untuk dikelola di WAF, Anda dapat menggunakan API untuk melihat atau menambahkannya dengan cepat.

    • Untuk menambahkan domain ke instance WAF, lihat CreateDomain.

    • Untuk mengkueri detail konfigurasi domain CNAME, lihat DescribeDomain.

    Terapkan di lingkungan produksi

    Untuk memastikan keamanan dan stabilitas di lingkungan produksi, ikuti praktik terbaik berikut saat melakukan onboarding instance ECS produksi.

    • Konfigurasi HTTPS: Terapkan sertifikat di instance ECS Anda dan gunakan konfigurasi berikut untuk manajemen sertifikat yang efisien.

      • Unggah file sertifikat Anda ke Certificate Management Service (Original SSL Certificate).

      • Saat menambahkan instance ECS ke WAF, konfigurasikan port penerusan lalu lintas dengan tipe HTTPS. Di bagian Kontrol Versi TLS, konfigurasikan TLS 1.2 atau yang lebih baru.

      • Atur notifikasi untuk sertifikat SSL untuk memperbaruinya tepat waktu sebelum kedaluwarsa.

    • Peluncuran bertahap: Pertama, tambahkan instance ECS non-produksi selama jam tidak sibuk. Setelah menjalankannya untuk periode tertentu untuk memastikan layanan normal, lanjutkan menambahkan instance ECS produksi.

    • Periksa layanan: Setelah onboarding selesai, pastikan layanan Anda normal dengan cara berikut:

      • Periksa log: Periksa fluktuasi signifikan dalam persentase kode status 200 di log Anda dan cari lonjakan atau penurunan mendadak dalam QPS. Jika Anda telah mengaktifkan layanan log WAF, lihat Log WAF.

      • Pemantauan aplikasi: Periksa apakah fungsi aplikasi inti, seperti akses pengguna dan transaksi, berfungsi normal.

    • Pemeliharaan: Setelah onboarding di lingkungan produksi, diperlukan pemeliharaan berkelanjutan untuk memantau serangan dan kejadian positif palsu.

      • Penanganan kejadian: Periksa Laporan Keamanan dan konfigurasi notifikasi CloudMonitor untuk tetap mendapat informasi tentang serangan dan kejadian keamanan.

      • Penyesuaian aturan: Pantau terus log serangan untuk menganalisis apakah permintaan pengguna sah secara keliru diblokir dan optimalkan aturan perlindungan sesuai kebutuhan.

    FAQ

    Onboarding

    • Bagaimana cara melihat blok CIDR kembali-ke-asal WAF dan CNAME WAF?

      Anda dapat menemukan blok CIDR kembali-ke-asal WAF dan alamat CNAME yang disediakan WAF untuk setiap domain yang ditambahkan di halaman onboarding. Untuk mengizinkan rentang alamat IP kembali-ke-asal WAF, lihat Izinkan rentang alamat IP kembali-ke-asal WAF.image

    • Bagaimana cara memeriksa status DNS domain yang ditambahkan?

      Anda dapat memeriksa status DNS domain di daftar onboarding untuk segera mengidentifikasi domain yang berisiko mengalami anomali DNS dan menyesuaikan pengaturan resolusi DNS sesuai petunjuk konsol.

      Status DNS

      Tindakan

      Resolusi DNS normal

      DNS domain diselesaikan ke WAF seperti yang diharapkan. Tidak diperlukan tindakan.

      Resolusi DNS tidak normal, menggunakan rekaman A untuk koneksi

      Anda perlu menghapus rekaman A nama domain yang ditambahkan, menambahkan ulang rekaman CNAME, dan mengarahkan nilai catatan ke alamat CNAME yang disediakan oleh WAF. Untuk informasi lebih lanjut, lihat Ubah rekaman DNS domain.

      Resolusi DNS tidak normal, menggunakan IP WAF yang salah

      Anda perlu menghapus rekaman A nama domain yang ditambahkan, menambahkan ulang rekaman CNAME, dan mengarahkan nilai catatan ke alamat CNAME yang disediakan oleh WAF. Untuk informasi lebih lanjut, lihat Ubah rekaman DNS domain.

      Resolusi DNS tidak normal, menggunakan alamat CNAME yang salah

      Anda perlu mengubah nilai catatan di rekaman CNAME ke alamat CNAME yang disediakan oleh WAF. Untuk informasi lebih lanjut, lihat Ubah rekaman DNS domain.

      Resolusi DNS tidak diketahui, proxy diaktifkan untuk domain

      Proxy Lapisan 7 diaktifkan di depan WAF. Anda perlu memeriksa apakah alamat server origin yang dikonfigurasi di proxy adalah alamat CNAME yang disediakan oleh WAF. Jika benar, Anda dapat mengabaikan peringatan ini.

      Pemeriksaan DNS habis waktu

      Klik ikon update untuk menjalankan ulang pemeriksaan status DNS.

      Tidak ada rekaman DNS, silakan sambungkan ke WAF

      Anda perlu menambahkan rekaman CNAME dan memasukkan alamat CNAME yang disediakan oleh WAF sebagai nilai catatan. Untuk informasi lebih lanjut, lihat Ubah rekaman DNS domain.

      DNS tidak diselesaikan ke WAF, silakan sambungkan ke WAF

      Anda perlu memodifikasi rekaman CNAME dan memasukkan alamat CNAME yang disediakan oleh WAF sebagai nilai catatan. Untuk informasi lebih lanjut, lihat Ubah rekaman DNS domain.

    • Bagaimana cara menemukan IP publik atau nama domain server origin saya?

      Di bagian Forwarding Configuration > Server Address, jika Anda tidak yakin tentang alamat server origin, buka halaman Analisis Diagnostik Jaringan, masukkan nama domain situs web yang Anda tambahkan, dan periksa area DNS Provider Resolution Results. Jika catatan IP, seperti rekaman A atau AAAA, dikembalikan, masukkan IP yang sesuai di WAF. Jika catatan nama domain, seperti rekaman CNAME, dikembalikan, masukkan Domain Name (Such as CNAME) yang sesuai.

    • Bagaimana cara menentukan port yang digunakan situs web saya?

      Di bagian Configure Forwarding > Server Address, konfigurasikan port kembali-ke-asal yang digunakan situs web. Anda dapat menggunakan informasi berikut untuk mengonfirmasi port.

      • Port standar (default): Layanan web menggunakan port standar secara default. Oleh karena itu, Anda tidak perlu menentukannya di nama domain saat mengakses layanan web.

        • HTTP: Misalnya, http://yourdomain.com berarti port 80 digunakan.

        • HTTPS: Misalnya, https://yourdomain.com berarti port 443 digunakan.

      • Port non-standar: Jika situs web menggunakan port non-standar, nomor port ditampilkan langsung setelah nama domain dalam format domain:nomor port.

        • HTTP: Misalnya, http://yourdomain.com:8080 berarti port 8080 digunakan.

        • HTTPS: Misalnya, https://yourdomain.com:8443 berarti port 8443 digunakan.

        Catatan

        Untuk memastikan akurasi, kami menyarankan memeriksa file konfigurasi server web Anda, seperti Nginx atau Apache, seperti nginx.conf, untuk mendapatkan informasi port yang paling akurat.

    VIP WAF

    • Apa itu VIP WAF dan bagaimana cara melihatnya?

      Setelah nama domain ditambahkan ke WAF, sistem menetapkan alamat IP virtual (VIP) independen untuk menerima permintaan bisnis. VIP ini tidak dibagikan dengan penyewa lain. Instance WAF Alibaba Cloud menyediakan layanan perlindungan ketersediaan tinggi. VIP ini tidak terpasang pada perangkat fisik tertentu tetapi milik sumber daya kluster WAF Alibaba Cloud. Dalam instance WAF yang sama:

      • Jika IP eksklusif domain atau penyeimbangan beban cerdas tidak diaktifkan, semua nama domain berbagi satu VIP.

      • Jika IP eksklusif domain diaktifkan, setiap nama domain diberikan VIP independen.

      • Jika penyeimbangan beban cerdas dikonfigurasi, semua nama domain berbagi beberapa VIP.

      VIP WAF tidak dapat dilihat langsung di konsol. Anda perlu menggunakan perintah ping atau nslookup di klien untuk mengkueri nama domain yang telah ditambahkan ke WAF.

      ping example.com  #Ganti dengan nama domain yang ditambahkan ke WAF
      Penting

      VIP ini adalah alamat IP masuk WAF, bukan rentang alamat IP kembali-ke-asal WAF. Server origin harus dikonfigurasi secara ketat sesuai langkah-langkah di Izinkan rentang alamat IP kembali-ke-asal WAF.

    • Bagaimana cara mengatur kebijakan SSL atau TLS default agar VIP sesuai?

      Untuk memenuhi persyaratan komunikasi HTTPS dalam skenario kepatuhan, WAF mendukung penyesuaian sertifikat SSL dan kebijakan TLS untuk VIP. Sebelum melakukan pemindaian kepatuhan pada VIP WAF, ikuti langkah-langkah berikut untuk mengunggah sertifikat HTTPS yang sesuai dan mengaktifkan atau menonaktifkan versi protokol TLS dan paket sandi tertentu.

      Catatan

      Jika Anda mengaktifkan Exclusive IP Address, konfigurasi ini juga berlaku untuk alamat IP eksklusif.

      1. Klik Default SSL/TLS Settings di atas rekaman CNAME.image.png

      2. Di kotak dialog Default SSL/TLS Settings, konfigurasikan pengaturan berikut dan klik OK.

        Parameter

        Deskripsi

        HTTPS Upload Type

        Unggah sertifikat SSL. Operasinya sama dengan mengunggah sertifikat domain. Lihat Unggah sertifikat.

        TLS Version

        Opsi yang tersedia adalah:

        • TLS 1.0 and Later (Best Compatibility and Low Security)

        • TLS 1.1 and Later (High Compatibility and High Security): Klien lama yang menggunakan protokol TLS 1.0 tidak dapat mengakses situs web.

        • TLS 1.2 and Later (High Compatibility and Best Security): Memenuhi persyaratan kepatuhan keamanan terbaru, tetapi mencegah klien lama yang menggunakan protokol TLS 1.0 atau TLS 1.1 mengakses situs web.

        • Support TLS 1.3: Jika situs web Anda mendukung protokol TLS 1.3, pilih opsi ini.

        HTTPS Cipher Suite

        Pilih paket sandi yang akan diaktifkan. Opsi yang tersedia adalah:

        • All Cipher Suites (High Compatibility and Low Security)

        • Custom Cipher Suite (Select It based on protocol version. Proceed with caution.): Jika situs web Anda hanya mendukung paket sandi tertentu, pilih opsi ini. Untuk informasi lebih lanjut tentang paket sandi kustom yang didukung, lihat Paket sandi yang didukung WAF.

    • Saat saya memindai port domain saya, mengapa menunjukkan port berisiko tinggi terbuka yang tidak saya buka? Apakah ada risiko?

      Saat menggunakan alat seperti Nmap untuk memindai domain yang ditambahkan ke WAF melalui CNAME, Anda mungkin melihat port terbuka yang tidak terbuka di server origin Anda. Ini karena DNS domain mengarah ke VIP WAF, sehingga Anda sebenarnya memindai port VIP. Ini normal.

      WAF hanya meneruskan lalu lintas untuk port yang dikonfigurasi di konsol. Untuk port yang tidak dikonfigurasi, WAF mengirim paket RST untuk menghentikan koneksi segera setelah jabat tangan tiga arah TCP dan tidak meneruskan data apa pun. Oleh karena itu, tidak ada risiko keamanan untuk port yang tidak dikonfigurasi, dan port VIP tidak dapat ditutup secara manual. Untuk informasi lebih lanjut, lihat Petunjuk pembukaan port non-standar WAF.

    • Dapatkah saya mengubah rekaman DNS ke VIP WAF?

      Tidak. Saat menambahkan domain ke WAF melalui CNAME, Anda harus mengarahkan resolusi DNS ke CNAME yang disediakan oleh WAF, bukan ke alamat VIP WAF. Ini karena alamat VIP dapat berubah, misalnya, saat mengaktifkan atau menonaktifkan alamat IP eksklusif atau penyeimbangan beban cerdas, atau dalam kasus ekstrem kegagalan WAF. Mengarahkan langsung ke VIP dapat menyebabkan gangguan layanan. Menggunakan CNAME memastikan sistem mengalihkan alamat IP backend secara otomatis, yang menjamin kelangsungan bisnis.

    Kemampuan produk