All Products
Search

This Product

    Web Application Firewall:Tambahkan domain ke WAF melalui CNAME

    Document Center

    Web Application Firewall:Tambahkan domain ke WAF melalui CNAME

    Last Updated:Apr 25, 2026

    Aktifkan Web Application Firewall (WAF 3.0) untuk melindungi situs web publik Anda dari serangan web. Mode ini tidak memerlukan perubahan pada arsitektur jaringan Anda. Cukup tambahkan domain situs web Anda ke WAF dan perbarui rekaman DNS agar lalu lintas diarahkan melalui WAF. WAF kemudian memeriksa dan menyaring lalu lintas tersebut, meneruskan permintaan sah ke server asal Anda. Mode ini ideal untuk semua situs web publik yang di-deploy di penyedia cloud atau di pusat data on-premises.

    Cara kerja

    Akses berbasis CNAME menggunakan resolusi DNS untuk penjadwalan lalu lintas. Anda mencapai hal ini dengan mengubah rekaman DNS domain Anda agar mengarah ke target CNAME yang disediakan oleh WAF, yang meneruskan seluruh lalu lintas publik melalui WAF untuk pemeriksaan.

    • Server asal: Server yang meng-host situs web Anda. Jika load balancer (seperti Application Load Balancer (ALB), Classic Load Balancer (CLB), atau Network Load Balancer (NLB)) atau NAT Gateway dideploy di depan server, server asal adalah perangkat next-hop yang menerima lalu lintas dari WAF.

    • Kembali ke asal: Setelah WAF menyelesaikan pemeriksaan keamanan, WAF meneruskan lalu lintas sah ke server asal Anda. WAF mengirim permintaan kembali ke asal ini dari rentang alamat IP publiknya. Anda harus menambahkan rentang alamat IP ini ke daftar putih firewall atau security group server asal Anda untuk memastikan lalu lintas ini dikirimkan.

    Catatan

    WAF memiliki 11 node proteksi di Tiongkok (Beijing), Tiongkok (Hangzhou), Tiongkok (Shenzhen), Tiongkok (Hong Kong), Singapura, Malaysia (Kuala Lumpur), AS (Silicon Valley), Jerman (Frankfurt), Indonesia (Jakarta), UEA (Dubai), dan Jepang (Tokyo). Saat layanan Anda dilindungi oleh kluster publik, WAF secara otomatis mengarahkan lalu lintas Anda ke node proteksi optimal berdasarkan geolokasi server asal Anda.

    Prasyarat

    Pastikan Anda memenuhi persyaratan berikut:

    • Kepemilikan domain: Anda harus dapat memodifikasi rekaman DNS nama domain Anda.

    • Sertifikat SSL: Untuk melindungi lalu lintas HTTPS, Anda harus memiliki Sertifikat SSL untuk nama domain Anda.

    • Pendaftaran ICP: Jika server Anda berlokasi di Tiongkok daratan, nama domain Anda harus memiliki pendaftaran ICP. Untuk informasi lebih lanjut, lihat Bagaimana cara memeriksa informasi pendaftaran ICP untuk nama domain?

    Panduan cepat

    Masuk ke konsol Web Application Firewall 3.0. Di bilah menu atas, pilih kelompok sumber daya dan wilayah instans WAF (Chinese Mainland atau Outside Chinese Mainland). Di bilah navigasi kiri, klik Onboarding, lalu pada tab CNAME Record, klik Add.

    Langkah 1: konfigurasikan listener

    1. Masukkan satu Domain Name yang akan dilindungi. Domain dapat berupa nama domain eksak (misalnya www.aliyundoc.com) atau nama domain wildcard (misalnya *.aliyundoc.com).

      • Aturan pencocokan nama domain wildcard:

        • Wildcard hanya dapat mencocokkan subdomain pada level yang sama. Misalnya, *.aliyundoc.com mencocokkan www.aliyundoc.com dan example.aliyundoc.com, tetapi tidak mencocokkan www.example.aliyundoc.com.

        • Saat wildcard diterapkan pada nama domain tingkat kedua seperti *.aliyundoc.com, wildcard tersebut juga mencocokkan nama domain tingkat kedua itu sendiri, yaitu aliyundoc.com.

        • Saat wildcard diterapkan pada nama domain tingkat tiga seperti *.example.aliyundoc.com, wildcard tersebut tidak mencocokkan nama domain tingkat tiga itu sendiri, yaitu example.aliyundoc.com.

      • Aturan prioritas: Jika permintaan cocok dengan nama domain eksak dan wildcard sekaligus, aturan untuk nama domain eksak memiliki prioritas lebih tinggi.

      Anda harus menyelesaikan verifikasi kepemilikan untuk mengonfirmasi bahwa Anda memiliki nama domain tersebut. Jika sistem meminta Anda melakukan verifikasi setelah memasukkan nama domain, pilih salah satu metode berikut.

      • Validasi DNS (disarankan): Tambahkan secara manual rekaman TXT yang disediakan oleh WAF di penyedia DNS domain Anda.

      • Validasi file: Unggah file verifikasi yang disediakan oleh WAF ke direktori root tertentu di server asal Anda. Anda harus memiliki izin untuk mengakses server asal dan mengonfigurasi kebijakan security group yang mengizinkan akses dari semua alamat IP. Hal ini memastikan bahwa WAF dapat mengakses file verifikasi dari internet.

      Validasi DNS

      1. Di area prompt verifikasi, klik tab Method 1: DNS Record.

      2. Di penyedia DNS Anda, tambahkan rekaman TXT menggunakan Record Type, Hostname, dan Record Value yang disediakan di konsol WAF.

        Jika Anda menggunakan Alibaba Cloud DNS, ikuti langkah-langkah berikut. Jika Anda menggunakan penyedia DNS lain, ikuti prosedur sistem mereka.

        1. Di halaman Zona Publik, temukan nama domain utama target dan klik Settings di kolom Tindakan.

        2. Klik Add Record, konfigurasikan parameter berikut, lalu klik OK. Anda dapat membiarkan parameter lain pada nilai default-nya.

          • Record Type: Pilih TXT.

          • Hostname: Salin dan masukkan awalan nama domain. Contoh: verification.

          • Record Value: Salin dan masukkan nilai catatan yang dihasilkan WAF. Contoh: verify_8fca29dec226****.

      3. Tunggu hingga rekaman TXT berlaku. Rekaman TXT baru berlaku segera. Jika Anda memodifikasi rekaman TXT yang sudah ada, modifikasi biasanya membutuhkan waktu sekitar 10 menit untuk berlaku. Waktu pastinya tergantung pada TTL (Time to Live) yang dikonfigurasi di pengaturan DNS domain Anda. TTL default adalah 10 menit.

      4. Kembali ke konsol WAF dan klik Verify.

        • Jika ditampilkan Verifikasi berhasil, kepemilikan domain Anda telah diverifikasi.

        • Jika ditampilkan Verifikasi gagal, lakukan langkah-langkah berikut untuk memecahkan masalah:

          1. Periksa rekaman TXT: Pastikan hostname dan nilai catatan sesuai dengan informasi di konsol WAF. Jika tidak sesuai, hapus rekaman yang salah, tambahkan kembali rekaman tersebut, lalu jalankan verifikasi lagi.

          2. Tunggu hingga rekaman DNS berlaku: Rekaman DNS mungkin tidak langsung berlaku setelah dikonfigurasi. Waktu yang dibutuhkan agar rekaman berlaku tergantung pada TTL yang diatur di server nama domain. Tunggu 10 menit lalu verifikasi lagi.

          3. Ubah metode verifikasi: Jika verifikasi gagal beberapa kali, kami menyarankan Anda menggunakan Metode 2: Validasi File.

      Validasi file

      1. Di area prompt verifikasi, klik tab Method 2: Verification File.

      2. Klik tautan untuk mengunduh file verifikasi.image..png

        Penting

        • File verifikasi berlaku selama tiga hari setelah Anda mengunduhnya. Jika Anda tidak menyelesaikan validasi file dalam periode ini, Anda harus mengunduh file tersebut lagi.

        • Jangan memodifikasi file verifikasi. Misalnya, jangan mengedit atau mengganti nama file tersebut.

        • WAF mengakses server asal berdasarkan jenis protokol yang Anda pilih. Pastikan aturan security group atau firewall server asal Anda mengizinkan lalu lintas yang sesuai:

          • Jika Anda memilih HTTP, izinkan lalu lintas TCP inbound pada port 80 dari 0.0.0.0/0.

          • Jika Anda memilih HTTPS, izinkan lalu lintas TCP inbound pada port 443 dari 0.0.0.0/0.

      3. Unggah file verifikasi ke direktori root situs web Anda di server asal. Server asal dapat berupa instans ECS (Elastic Compute Service), bucket OSS (Object Storage Service), instans CVM (Cloud Virtual Machine), bucket COS (Cloud Object Storage), atau instans EC2 (Elastic Compute Cloud).

        Catatan

        Jika Anda menambahkan nama domain wildcard seperti *.aliyun.com, Anda harus mengunggah file verifikasi ke direktori root aliyun.com.

        • Direktori root default server Nginx: /usr/share/nginx/html

        • Direktori root default server IIS: C:\inetpub\wwwroot

      4. Kembali ke konsol WAF dan klik Verify.

        • Jika ditampilkan Verifikasi berhasil, kepemilikan domain Anda telah diverifikasi.

        • Jika ditampilkan Verifikasi gagal, pecahkan masalah berdasarkan pesan error:

          Masalah

          Solusi

          Tidak dapat mengakses nama domain

          1. Periksa resolusi DNS nama domain untuk memastikan bahwa rekaman DNS mengarah ke server asal. Untuk Alibaba Cloud DNS, lihat Tambahkan rekaman DNS.

          2. Periksa aturan security group atau firewall server asal untuk memastikan permintaan dari internet diizinkan. Untuk security group ECS, lihat Tambahkan aturan security group.

          File verifikasi tidak ada

          Unggah kembali file verifikasi ke server asal.

          Konten file salah

          1. Di server asal domain Anda, hapus file verifikasi yang salah.

          2. Unggah kembali file verifikasi.

      5. Aturan security group yang mengizinkan akses dari semua alamat IP (0.0.0.0/0) menimbulkan risiko keamanan. Setelah kepemilikan diverifikasi, kami menyarankan Anda menghapus aturan sementara untuk 0.0.0.0/0 guna menjaga keamanan server Anda.

    2. Pilih Protocol Type untuk situs web Anda (HTTP atau HTTPS) dan masukkan informasi konfigurasi yang diperlukan. Anda dapat mengonfigurasi kedua protokol tersebut.

      Catatan

      Paket langganan WAF untuk host virtual bersama tidak mendukung HTTPS.

      HTTP

      HTTP Port

      Masukkan port yang digunakan pengguna untuk mengakses situs web Anda. Kami menyarankan Anda menggunakan port 80 untuk protokol HTTP. Untuk menentukan port kustom, pilih port dari rentang port yang diizinkan. Tekan Enter setelah memasukkan setiap nomor port.

      HTTPS

      1. HTTPS Port

        Masukkan port yang digunakan pengguna untuk mengakses situs web Anda. Kami menyarankan Anda menggunakan port 443 untuk protokol HTTPS. Untuk menentukan port kustom, pilih port dari rentang port yang diizinkan. Tekan Enter setelah memasukkan setiap nomor port.

      2. HTTPS Upload Type

        Untuk melindungi lalu lintas HTTPS situs web Anda, Anda harus mengunggah sertifikat SSL-nya ke WAF. Opsi yang tersedia adalah:

        • Unggah Manual: Gunakan metode ini jika sertifikat Anda belum diunggah ke Certificate Management Service (Original SSL Certificate) Alibaba Cloud.

        • Pilih Sertifikat yang Ada: Pilih sertifikat yang telah diterbitkan atau diunggah di Certificate Management Service (Original SSL Certificate) Alibaba Cloud.

        • Daftar Sertifikat Baru: Jika Anda belum memiliki Sertifikat SSL untuk nama domain tersebut, Anda harus membelinya dan menunggu hingga diterbitkan sebelum menambahkan nama domain ke WAF.

        Unggah manual

        • Certificate Name: Masukkan nama unik untuk sertifikat tersebut. Nama harus unik.

        • Certificate File: Gunakan editor teks untuk membuka dan menempelkan konten sertifikat dalam format PEM, CER, atau CRT.

          Contoh format: -----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----

          • Konversi format: Jika sertifikat dalam format seperti PFX atau P7B, gunakan alat sertifikat untuk mengonversinya ke format PEM.

          • Rantai sertifikat: Jika sertifikat Anda mencakup sertifikat perantara, tempelkan konten sertifikat server diikuti konten sertifikat perantara.

        • Private Key: Gunakan editor teks untuk membuka dan menempelkan konten kunci privat dalam format PEM.

          • RSA: -----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----

          • ECC: -----BEGIN EC PRIVATE KEY-----......-----END EC PRIVATE KEY-----

        Pilih sertifikat yang ada

        Dari daftar drop-down sertifikat, pilih sertifikat yang akan diunggah ke WAF.

        Catatan

        Jika konsol WAF menampilkan pesan "Failed to verify the integrity of the certificate chain. If you use this certificate, service access may be affected.", hal ini menunjukkan bahwa rantai sertifikat tidak lengkap. Periksa kebenaran dan kelengkapan konten sertifikat dan unggah kembali di konsol Certificate Management Service. Untuk informasi lebih lanjut, lihat Unggah, sinkronkan, dan bagikan sertifikat SSL.

        Daftar sertifikat baru

        Jika Anda belum membeli sertifikat, Anda harus melihat Beli sertifikat komersial untuk membelinya. Anda dapat mengklik Apply untuk membaca dokumentasi tentang pendaftaran sertifikat.

      Penting

      Jika server asal Anda tidak dikonfigurasi untuk menggunakan atau tidak mendukung HTTPS (yaitu, tidak ada sertifikat SSL/TLS yang dideploy), Anda harus mengaktifkan kembali ke asal HTTP. Jika tidak, permintaan kembali ke asal akan gagal, dan situs web Anda menjadi tidak dapat diakses.

    3. Untuk menyesuaikan pengaturan seperti HTTPS berbasis SM, HTTP/2, pengalihan HTTPS paksa, Versi TLS, paket sandi HTTPS, apakah proxy Layer 7 (seperti CDN) dideploy di depan WAF, IPv6, IP eksklusif, penyeimbangan beban cerdas berbasis kluster bersama, atau kelompok sumber daya, lihat Pengaturan lanjutan. Jika tidak perlu penyesuaian, Anda dapat membiarkan pengaturan lain pada nilai default-nya dan klik Next.

    Langkah 2: konfigurasikan penerusan

    1. Di bagian Alamat Server, masukkan alamat IP atau nama domain server asal berdasarkan jenisnya. WAF menggunakan konfigurasi ini untuk meneruskan permintaan sah ke server asal. Jika Anda tidak yakin dengan alamat server asal, lihat FAQ.

      Penting

      Domain Name (Such as CNAME) yang ditentukan di sini adalah untuk server asal, bukan nama domain yang dilindungi dari Langkah 1. Opsi ini digunakan ketika alamat server asal adalah nama domain (seperti CNAME). Misalnya, jika server asal adalah instans ALB (Application Load Balancer), masukkan nama DNS-nya, seperti alb-xxx.cn-shanghai.alb.aliyuncsslb.com.

    2. Setelah menentukan jenis server asal, selesaikan konfigurasi berikut.

      IP

      • Origin Port: Port yang digunakan server asal. Pengguna mengakses situs web Anda melalui port HTTP/HTTPS yang Anda konfigurasi di Langkah 1. WAF kemudian menggunakan Origin Port yang ditentukan di sini untuk mengakses server asal. Jika Anda tidak yakin port mana yang digunakan situs web Anda, lihat FAQ.

        • Secara default, port ini sama dengan port HTTP/HTTPS yang ditentukan untuk Protocol Type pada langkah sebelumnya. Anda dapat menyesuaikan port asal dalam rentang port yang diizinkan. Ini berguna untuk skenario di mana Anda perlu WAF menggunakan port tertentu untuk permintaan kembali ke asal.

      • Origin IP Address: Masukkan alamat IP server asal.

        • Alamat IP harus berupa alamat IP publik.

        • Anda dapat memasukkan beberapa alamat IP. Tekan Enter setelah memasukkan setiap alamat IP. Anda dapat menambahkan hingga 20 alamat IP asal. Jika Anda memasukkan beberapa alamat IP, WAF meneruskan permintaan kembali ke asal berdasarkan algoritma penyeimbangan beban yang Anda pilih.

        • Anda dapat mengonfigurasi alamat IPv4 dan IPv6, baik secara terpisah maupun bersamaan. Jika ingin mengonfigurasi alamat IPv6, Anda harus terlebih dahulu mengaktifkan proteksi IPv6 di langkah Configure Listener.

      Domain Name (Such as CNAME)

      • Origin Port: Port yang digunakan server asal Anda. Pengguna mengakses situs web Anda melalui port HTTP/HTTPS yang dikonfigurasi di Langkah 1. WAF kemudian menggunakan Origin Port yang ditentukan di sini untuk meneruskan permintaan ke server asal. Jika Anda tidak tahu port mana yang digunakan situs web Anda, lihat FAQ.

        • Secara default, port ini sama dengan port yang ditentukan untuk Protocol Type pada langkah sebelumnya. Jika Anda perlu WAF menggunakan port tertentu untuk permintaan kembali ke asal, Anda dapat menyesuaikan port dalam rentang port yang diizinkan.

      • Origin Domain Name: Masukkan nama domain server asal.

        • WAF hanya mendukung penerusan permintaan klien ke alamat IPv4 yang diselesaikan dari nama domain ini. Untuk situs web yang menggunakan IPv6, pilih metode IP untuk menambahkan situs web ke WAF.

      Penting

      Jika alamat server asal Anda berubah, segera perbarui di sini.

    3. Untuk menyesuaikan pengaturan seperti algoritma penyeimbangan beban, tautan cadangan kembali ke asal, kembali ke asal HTTP, SNI asal, Konfigurasi Header Permintaan, tag lalu lintas, timeout kembali ke asal, retry kembali ke asal, atau keep-alive kembali ke asal, lihat Pengaturan lanjutan. Jika tidak perlu penyesuaian, biarkan pengaturan lain pada nilai default-nya dan klik Submit.

    Langkah 3: alihkan lalu lintas (onboarding selesai)

    Setelah menyelesaikan konfigurasi di konsol WAF, Anda harus mengalihkan lalu lintas ke WAF untuk mengaktifkan proteksi.

    1. Izinkan rentang alamat IP kembali ke asal WAF: Jika Anda telah mengonfigurasi kebijakan kontrol akses, seperti aturan security group atau aturan firewall, di server asal Anda, atau jika Anda menggunakan perangkat lunak keamanan seperti Safedog atau Yunsuo, Anda harus menambahkan rentang alamat IP kembali ke asal WAF ke daftar putih di server asal. Jika tidak, lalu lintas kembali ke asal dari WAF mungkin diblokir, yang menyebabkan gangguan layanan.

      Catatan

      Kami menyarankan Anda mengonfigurasi server asal agar hanya mengizinkan rentang alamat IP kembali ke asal WAF. Hal ini mencegah penyerang melewati WAF untuk menyerang server asal Anda secara langsung.

      1. Di pojok kanan atas halaman wizard Add Completed, klik WAF IP Address.

      2. Di kotak dialog Back-to-origin CIDR Block, klik Copy untuk menyalin semua alamat IP kembali ke asal WAF ke clipboard.

        Catatan

        Alamat IP kembali ke asal yang disalin dipisahkan oleh koma (,). Alamat tersebut mencakup alamat seperti 2408:400a:3c:xxxx::/56, yang merupakan rentang alamat IPv6.

      3. Izinkan rentang alamat IP ini di firewall server Anda. Misalnya, jika server asal Anda adalah instans ECS Alibaba Cloud, Anda harus menambahkan rentang alamat IP ke security group instans ECS tersebut. Untuk informasi lebih lanjut tentang security group, lihat Tambahkan aturan security group.

        1. Di halaman detail instans ECS, buka tab Security Groups > Security Groups, lalu pilih security group target untuk membuka halaman detailnya.

        2. Di tab Detail Security Group > Inbound, klik Add Rule.

        3. Anda harus membuat aturan terpisah untuk alamat IPv4 dan IPv6, karena satu aturan security group tidak dapat berisi keduanya sekaligus.

          1. Tambahkan aturan IPv4: Di panel Create Security Group Rule, tempelkan rentang alamat IP yang Anda salin ke bidang Source dan hapus secara manual alamat IPv6. Atur Destination ke port asal yang Anda konfigurasi di Langkah 2. Biarkan parameter lain pada nilai default-nya dan klik OK.

          2. Tambahkan aturan IPv6: Klik Add Rule lagi. Ikuti langkah sebelumnya untuk menambahkan rentang alamat IPv6, dan pilih IPv6 di bidang Source.

    2. Verifikasi konfigurasi WAF secara lokal: Sebelum mengubah resolusi DNS untuk nama domain Anda, kami menyarankan Anda memverifikasi konfigurasi dengan memodifikasi file hosts lokal untuk memetakan nama domain tersebut. Hal ini membantu mencegah gangguan layanan akibat konfigurasi yang salah.

      1. Di halaman wizard Add Completed, klik Copy CNAME untuk menyalin alamat CNAME yang disediakan WAF.

      2. Buka Analisis Diagnostik Jaringan, pilih Analisis Diagnostik Jaringan, masukkan alamat CNAME yang disalin (misalnya, xxx.c.yundunwaf2.com), lalu klik Start Test.

      3. Salin alamat IP dari Hasil Resolusi Penyedia DNS. Modifikasi file hosts komputer lokal Anda.

        Windows

        1. Gunakan editor teks untuk membuka file C:\Windows\System32\drivers\etc\hosts. Tambahkan rekaman berikut ke akhir file dan simpan file tersebut.

          <Alamat IP yang disalin di langkah c> <Nama domain yang ditambahkan ke WAF>

        2. Buka cmd dan jalankan perintah ping <Nama domain yang ditambahkan ke WAF>. Jika alamat IP output sesuai dengan yang Anda tambahkan, modifikasi file hosts telah berlaku. Jika tidak, jalankan ipconfig /flushdns untuk membersihkan cache DNS lalu jalankan perintah ping lagi.

        3. Buka browser dan masukkan nama domain yang dilindungi di bilah alamat.

          • Jika situs web dimuat secara normal, konfigurasi domain WAF benar. Anda dapat melanjutkan untuk memodifikasi resolusi DNS.

          • Jika situs web tidak dapat diakses, konfigurasi domain WAF mungkin salah. Kami menyarankan Anda memeriksa konfigurasi, memperbaiki masalah, lalu memverifikasi kembali secara lokal.

        4. Setelah verifikasi lokal selesai, kembalikan file hosts ke kondisi semula.

        macOS

        1. Tekan Command+Space untuk mencari dan membuka Terminal.

        2. Masukkan sudo vim /etc/hosts untuk membuka file hosts.

        3. Tambahkan baris berikut ke akhir file dan simpan file tersebut.

          <Alamat IP yang disalin di langkah c> <Nama domain yang ditambahkan ke WAF>

        4. Jalankan perintah ping <Nama domain yang ditambahkan ke WAF>. Jika alamat IP output sesuai dengan yang Anda tambahkan, modifikasi file hosts telah berlaku. Jika tidak, jalankan sudo killall -HUP mDNSResponder untuk membersihkan cache DNS lalu coba ping lagi.

        5. Buka browser dan masukkan nama domain yang dilindungi di bilah alamat.

          • Jika situs web dimuat secara normal, konfigurasi domain WAF benar. Anda dapat melanjutkan untuk memodifikasi resolusi DNS.

          • Jika situs web tidak dapat diakses, konfigurasi domain WAF mungkin salah. Kami menyarankan Anda memeriksa konfigurasi, memperbaiki masalah, lalu memverifikasi kembali secara lokal.

        6. Setelah verifikasi lokal selesai, kembalikan file hosts ke kondisi semula.

    3. Modifikasi resolusi DNS untuk nama domain Anda: Arahkan resolusi DNS untuk nama domain Anda ke alamat CNAME yang disediakan WAF. Hal ini mengarahkan lalu lintas web domain Anda melalui WAF untuk proteksi.

      Catatan

      Kami menyarankan Anda melakukan operasi ini selama jam sepi untuk meminimalkan dampak pada bisnis Anda.

      1. Di halaman wizard Add Completed, klik Copy CNAME untuk mendapatkan alamat CNAME dari WAF.

      2. Ubah alamat resolusi DNS nama domain Anda ke alamat yang Anda salin pada langkah sebelumnya. Jika nama domain Anda di-host di Alibaba Cloud DNS, ikuti langkah-langkah berikut. Jika Anda menggunakan penyedia DNS lain, lakukan langkah serupa di sistem mereka.

        1. Di halaman Public Zone, temukan nama domain yang ingin Anda konfigurasi, dan klik Settings di kolom Actions.

        2. Di halaman Settings, temukan Hostname yang ingin Anda modifikasi, lalu klik Edit di kolom Actions. Misalnya, jika nama domain yang ditambahkan ke WAF adalah www.aliyundoc.com, Anda harus menemukan dan memodifikasi entri dengan hostname www di bawah nama domain utama aliyundoc.com.

        3. Di panel Edit Record, atur Record Type ke CNAME dan ubah Record Value ke alamat CNAME yang disediakan WAF. Biarkan pengaturan lain tidak berubah.

          Saat memodifikasi rekaman DNS:

          • Untuk hostname yang sama, Anda hanya dapat memiliki satu nilai rekaman CNAME. Anda harus mengubahnya ke alamat CNAME WAF.

          • Untuk hostname yang sama, rekaman CNAME bertentangan dengan jenis rekaman lain seperti A, MX, dan TXT. Anda harus menghapus rekaman yang bertentangan sebelum menambahkan rekaman CNAME baru.

            Peringatan

            Untuk meminimalkan gangguan layanan selama perubahan DNS, tambahkan rekaman CNAME baru segera setelah menghapus yang lama.

        4. Klik OK untuk menyimpan pengaturan DNS. Rekaman DNS yang diperbarui kemudian akan berlaku.

          Catatan

          Rekaman DNS memerlukan waktu untuk disebarluaskan. Jika situs web tidak dapat diakses setelah perubahan, tunggu 10 menit lalu coba lagi.

    Langkah 4: Verifikasi proteksi WAF

    Setelah menyelesaikan pengaturan, ikuti langkah-langkah berikut untuk memverifikasi bahwa nama domain berhasil ditambahkan.

    1. Di browser web, masukkan nama domain yang Anda tambahkan. Jika situs web dimuat dengan benar, domain berhasil ditambahkan.

      Catatan

      Akses situs web Anda melalui nama domain-nya, bukan CNAME yang disediakan WAF. CNAME hanya digunakan untuk resolusi DNS dan tidak dapat diakses secara langsung.

    2. Di browser web, masukkan nama domain yang telah Anda tambahkan diikuti oleh kode serangan web, misalnya <nama domain yang dilindungi>/alert(xss), di mana alert(xss) merupakan kode uji untuk serangan cross-site scripting. Jika halaman blokir 405 muncul, berarti WAF telah berhasil mencegat serangan tersebut.

    Penting

    Setelah menyelesaikan pengaturan CNAME, pertimbangkan hal berikut:

    • Aturan proteksi kustom: WAF menerapkan aturan proteksi default ke semua nama domain yang Anda tambahkan. Anda dapat melihat aturan ini di halaman Protection Config > Protected Objects. Jika aturan default tidak memenuhi kebutuhan bisnis Anda, Anda dapat membuat atau memodifikasi aturan proteksi. Misalnya, Anda dapat menambahkan alamat IP tertentu ke daftar putih untuk mengizinkan semua permintaan dari alamat tersebut. Untuk informasi lebih lanjut, lihat Ikhtisar Pengaturan Mitigasi.

    • Mendapatkan alamat IP klien sebenarnya: Secara default, semua permintaan ke server asal tampak berasal dari alamat IP WAF. Untuk mendapatkan alamat IP klien sebenarnya, lihat Dapatkan alamat IP asal klien.

    Konfigurasi lanjutan

    Anda dapat mengonfigurasi pengaturan lanjutan berikut selama panduan cepat untuk meningkatkan keamanan, meningkatkan kinerja, dan menyederhanakan manajemen. Untuk memodifikasi pengaturan ini setelah pengaturan, buka tab CNAME Record, temukan domain tersebut, lalu klik Edit di kolom Actions.

    Keamanan dengan HTTPS

    Parameter

    Deskripsi

    Listener HTTP/2 dan Kembali ke Asal HTTP/2

    Menggunakan protokol HTTP/2 untuk meningkatkan kecepatan pemuatan halaman, mengurangi latensi, dan meningkatkan pengalaman pengguna. Jika server asal Anda mendukung HTTP/2, Anda dapat mengaktifkan HTTP/2 untuk koneksi listener dan kembali ke asal. Saat diaktifkan, HTTP/2 dan HTTPS menggunakan port yang sama.

    Saat Anda mengaktifkan HTTP/2 untuk koneksi kembali ke asal, WAF menggunakan HTTP/2 untuk mengirim permintaan ke server asal dan memberlakukan koneksi persisten. Jika server asal tidak mendukung HTTP/2, WAF secara otomatis kembali ke HTTP/1.1 untuk koneksi kembali ke asal.

    Konfigurasi HSTS (Aktifkan Pengalihan Paksa ke HTTPS)

    Memaksa semua lalu lintas HTTP untuk dialihkan ke HTTPS dan memungkinkan Anda menyesuaikan kebijakan keamanan HSTS. Opsi ini hanya tersedia saat listener tidak dikonfigurasi untuk protokol HTTP.

    Versi TLS

    Menentukan versi TLS yang diizinkan untuk koneksi antara klien dan WAF. Versi yang lebih tinggi memberikan keamanan lebih kuat tetapi kompatibilitas lebih rendah dengan klien lama. Untuk skenario keamanan tinggi, kami menyarankan TLS 1.2 atau yang lebih baru.

    Paket Sandi HTTPS

    Menentukan paket sandi yang diizinkan untuk koneksi antara klien dan WAF. Paket sandi yang kuat memberikan keamanan lebih baik tetapi kompatibilitas lebih rendah dengan klien lama. Untuk skenario keamanan tinggi, kami menyarankan paket sandi yang kuat.

    Aktifkan HTTP Back-to-Origin

    Mengaktifkan WAF untuk terhubung ke server asal melalui HTTP jika server asal tidak mendukung HTTPS. Anda harus mengaktifkan fitur ini jika server asal Anda tidak memiliki sertifikat SSL; jika tidak, website Anda akan tidak dapat diakses.

    Aktifkan SNI Asal

    Aktifkan fitur ini untuk memastikan perutean yang benar saat server asal Anda meng-host beberapa domain HTTPS pada satu alamat IP.

    • Di halaman Configure Listener, pilih HTTP/2.

    • Di halaman Configure Listener, perluas Advanced Settings dan klik Enable HTTPS Routing. Setelah diaktifkan, Anda dapat mengonfigurasi parameter HSTS berikut:

      • Expired At: Menentukan berapa lama, dalam detik, kebijakan HSTS berlaku. Default-nya adalah 31.536.000 detik (1 tahun).

      • Include Subdomains: Jika diaktifkan, kebijakan HSTS berlaku untuk semua subdomain domain tersebut. Pastikan semua subdomain mendukung HTTPS sebelum mengaktifkan opsi ini. Jika tidak, subdomain tersebut mungkin menjadi tidak dapat diakses. 

      • Preload: Opsi ini hanya tersedia setelah Anda mengaktifkan Include Subdomains. Jika Anda mengaktifkan opsi ini, Anda dapat mengirimkan domain Anda ke daftar preload HSTS browser untuk keamanan global yang lebih baik.

    • Di halaman Configure Listener, perluas Advanced Settings dan pilih TLS Version:

      • TLS 1.0 and Later (Best Compatibility and Low Security): Mendukung semua klien lama.

      • TLS 1.1 and Later (High Compatibility and High Security): Mencegah klien yang hanya menggunakan TLS 1.0 mengakses situs web.

      • TLS 1.2 and Later (High Compatibility and Best Security): Memenuhi persyaratan kepatuhan keamanan terbaru tetapi mencegah klien yang hanya menggunakan TLS 1.0 atau TLS 1.1 mengakses situs web.

      • Support TLS 1.3: Pilih opsi ini jika situs web Anda mendukung TLS 1.3. Secara default, WAF tidak menerima permintaan klien melalui TLS 1.3.

    • HTTPS Cipher Suite

      Di halaman Configure Listener, perluas Advanced Settings dan pilih HTTPS Cipher Suite:

      • All Cipher Suites (High Compatibility and Low Security)

      • Custom Cipher Suite (Select It based on protocol version. Proceed with caution.): Jika situs web Anda hanya mendukung paket sandi tertentu, pilih opsi ini dan pilih dari daftar paket yang didukung.

        Paket sandi kuat

        Paket sandi lemah

        • ECDHE-ECDSA-AES128-GCM-SHA256

        • ECDHE-ECDSA-AES256-GCM-SHA384

        • ECDHE-ECDSA-AES128-SHA256

        • ECDHE-ECDSA-AES256-SHA384

        • ECDHE-RSA-AES128-GCM-SHA256

        • ECDHE-RSA-AES256-GCM-SHA384

        • ECDHE-RSA-AES128-SHA256

        • ECDHE-RSA-AES256-SHA384

        • ECDHE-ECDSA-AES128-SHA

        • ECDHE-ECDSA-AES256-SHA

        • ECDHE-RSA-CHACHA20-POLY1305

        • AES128-GCM-SHA256

        • AES256-GCM-SHA384

        • AES128-SHA256

        • AES256-SHA256

        • ECDHE-RSA-AES128-SHA

        • ECDHE-RSA-AES256-SHA

        • AES128-SHA

        • AES256-SHA

        • DES-CBC3-SHA

        • ECDHE-RSA-RC4-SHA

        Catatan

        • Rekomendasi keamanan paket sandi: Paket sandi ECDHE-RSA-AES128-SHA256 dan ECDHE-RSA-AES256-SHA384 menggunakan ECDHE untuk pertukaran kunci, RSA untuk autentikasi, dan mode enkripsi AES-CBC. Dibandingkan dengan paket sandi yang menggunakan mode enkripsi terautentikasi seperti AES-GCM, paket ini menawarkan keamanan dan kinerja lebih rendah. Beberapa alat pemindaian keamanan mungkin mengidentifikasi paket ini sebagai paket sandi lemah. Jika hal ini terjadi, pilih paket sandi kustom dan secara manual kecualikan dua paket ini.

        • Konvensi penamaan paket sandi: Karena konvensi penamaan paket sandi berbeda, WAF menampilkan paket sandi dalam format OpenSSL, sedangkan beberapa alat pemindaian mungkin menggunakan standar IANA. Misalnya, ECDHE-ECDSA-AES256-SHA384 dalam OpenSSL sesuai dengan TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 dalam IANA. Untuk mencari pemetaan dengan cepat, kunjungi ciphersuite.info atau gunakan alat pencarian TLS lainnya.

    • Di halaman Configure Forwarding Rule, perluas Advanced HTTPS Settings dan klik Enable HTTP Back-to-Origin. Port kembali ke asal default adalah 80, yang dapat Anda sesuaikan sesuai kebutuhan.

    • Di halaman Configure Forwarding Rule, perluas Advanced HTTPS Settings dan pilih Origin SNI. Setelah Anda mengaktifkan opsi ini, Anda dapat menentukan nilai SNI. Opsi yang tersedia adalah:

      Cocokkan host permintaan

      Nilai SNI kembali ke asal cocok dengan bidang Host di header permintaan HTTP. Misalnya, jika domain yang ditambahkan adalah *.aliyundoc.com dan host permintaan klien adalah www.aliyundoc.com, SNI kembali ke asal adalah www.aliyundoc.com.

      Custom

      Tentukan nilai SNI tetap, yang dapat berbeda dari bidang Host. Gunakan opsi ini hanya saat server asal memiliki persyaratan konfigurasi khusus, seperti mengarahkan permintaan dari beberapa domain ke layanan backend tertentu.

    • Jika Anda memilih HTTP/2 di halaman Configure Listener, Anda dapat Enable HTTP/2 to Origin di halaman Configure Forwarding Rule.

      Setelah diaktifkan, Anda dapat mengonfigurasi Max Concurrent Streams to Origin. Default-nya adalah 128, dan rentang yang dapat dikonfigurasi adalah 1 hingga 512. Biasanya Anda tidak perlu mengubah nilai ini. Namun, jika Anda mengalami error 502 intermiten setelah pengaturan, periksa parameter terkait di server asal Anda. Kami menyarankan Anda mengatur nilai ini kurang dari atau sama dengan parameter yang sesuai di server asal. Misalnya, jika server asal Anda menggunakan Nginx, parameter ini sesuai dengan parameter Nginx http2_max_concurrent_streams. Untuk informasi lebih lanjut, lihat dokumentasi Nginx

    Akses jaringan IPv6

    Aktifkan IPv6

    • Deskripsi:

      • Jika situs web Anda mendukung IPv6, Anda dapat mengaktifkan fitur ini untuk mengarahkan lalu lintas IPv6 melalui WAF. WAF kemudian akan menetapkan alamat IP IPv6 WAF ke domain Anda.

      • WAF mengarahkan permintaan dari klien IPv4 ke server asal IPv4. Untuk klien IPv6, WAF mengarahkan permintaan ke server asal IPv6 yang dikonfigurasi atau, jika tidak dikonfigurasi, ke server asal IPv4.

      Penting

      • Fitur ini hanya tersedia untuk edisi pay-as-you-go, langganan Enterprise, dan Ultimate WAF di Chinese Mainland.

      • Fitur ini tidak kompatibel dengan Shared Cluster-based Intelligent Load Balancing.

    • Prosedur: Di halaman Configure Listener, perluas More Settings dan klik IPv6.

    Tingkatkan ketersediaan dan kinerja layanan

    Parameter

    Deskripsi

    Aktifkan IP eksklusif

    Secara default, semua nama domain yang ditambahkan ke instans WAF yang sama berbagi alamat IP WAF. Saat diaktifkan, fitur ini menetapkan alamat IP eksklusif ke domain tersebut. Hal ini mengisolasi domain dari dampak serangan DDoS pada domain lain. Untuk informasi lebih lanjut, lihat alamat IP eksklusif.

    Penting

    Instans Edisi Dasar langganan tidak mendukung fitur ini.

    Penyeimbangan beban cerdas kluster bersama

    Fitur ini menggabungkan resolusi DNS cerdas dan algoritma kembali ke asal waktu tercepat untuk mengarahkan lalu lintas dari node proteksi ke server asal melalui jalur terpendek dengan latensi terendah. Fitur ini mengharuskan Anda mengonfigurasi minimal tiga node proteksi di wilayah berbeda. Untuk informasi lebih lanjut, lihat penyeimbangan beban cerdas.

    Penting

    Instans Edisi Dasar langganan tidak mendukung fitur ini.

    Algoritma penyeimbangan beban

    Jika server asal memiliki beberapa alamat, Anda dapat mengonfigurasi kebijakan penyeimbangan beban. WAF kemudian menggunakan kebijakan ini untuk mendistribusikan permintaan kembali ke asal di seluruh alamat tersebut.

    Aktifkan tautan cadangan kembali ke asal

    Memungkinkan Anda mengonfigurasi server asal sekunder untuk memastikan ketersediaan tinggi. Jika semua alamat kembali ke asal primer tidak dapat dijangkau dan lalu lintas permintaan minimal 100 QPS, sistem secara otomatis beralih ke tautan sekunder dalam waktu 30 detik. Sistem secara otomatis mengalihkan lalu lintas kembali setelah tautan primer dipulihkan.

    • IP eksklusif

      Penting

      • Untuk instans pay-as-you-go, penagihan didasarkan pada jumlah alamat IP eksklusif yang diaktifkan. Untuk informasi lebih lanjut, lihat Deskripsi penagihan pay-as-you-go.

      • Alamat IP eksklusif tidak statis. Untuk memastikan stabilitas layanan, Anda harus memodifikasi pengaturan DNS domain Anda dengan mengikuti langkah-langkah dalam topik ini secara ketat. Untuk informasi lebih lanjut, lihat Dapatkah saya mengubah rekaman DNS agar mengarah ke VIP WAF?

      • Setelah Anda mengaktifkan fitur ini, Shared Cluster-based Intelligent Load Balancing tidak didukung.

      Di halaman Configure Listener, perluas More Settings dan klik Exclusive IP Address. Untuk instans langganan, jika opsi ini tidak tersedia, ikuti petunjuk di layar untuk meningkatkan instans Anda dan membeli layanan bernilai tambah Exclusive IP Addresses.

    • Penting

      • Instans pay-as-you-go ditagih berdasarkan apakah Shared Cluster-based Intelligent Load Balancing diaktifkan. Untuk informasi lebih lanjut, lihat Deskripsi penagihan pay-as-you-go.

      • Setelah Anda mengaktifkan Shared Cluster-based Intelligent Load Balancing, IPv6 dan IP eksklusif tidak didukung.

      Di halaman Configure Listener, perluas More Settings, dan di bagian Protection Resource, pilih Shared Cluster-based Intelligent Load Balancing untuk mengaktifkan fitur ini. Untuk instans langganan, jika opsi ini tidak tersedia, ikuti petunjuk di layar untuk meningkatkan instans Anda dan mengaktifkan layanan bernilai tambah Intelligent Load Balancing.

    • Di halaman Configure Forwarding Rule, pilih Load Balancing Algorithm. Opsi yang tersedia adalah:

      Round-robin

      Algoritma ini meneruskan permintaan klien secara berurutan ke setiap server dalam daftar alamat server asal. Algoritma ini cocok untuk skenario dengan beberapa server asal yang memerlukan distribusi lalu lintas merata.

      IP hash

      Algoritma ini meneruskan permintaan dari klien yang sama ke server asal yang sama. Algoritma ini cocok untuk skenario yang memerlukan persistensi sesi tetapi dapat mengakibatkan distribusi lalu lintas tidak seimbang.

      Waktu paling singkat

      Algoritma ini menggunakan resolusi DNS cerdas dan algoritma kembali ke asal waktu tercepat untuk memastikan jalur terpendek dan latensi terendah untuk lalu lintas dari node proteksi ke server asal.

      Penting

      Untuk menggunakan algoritma least time, Anda harus mengatur Protection Resource ke Shared Cluster-based Intelligent Load Balancing pada halaman Configure Listener. Untuk informasi selengkapnya, lihat penyeimbangan beban cerdas kluster bersama.

    • Di halaman Configure Forwarding Rule, klik Standby Link Back-to-origin untuk mengonfigurasi fitur ini. Anda dapat memasukkan hingga 20 alamat dalam format IP atau nama domain. Tekan Enter setelah memasukkan setiap alamat. Jika Anda memasukkan beberapa alamat, WAF meneruskan permintaan kembali ke asal berdasarkan algoritma penyeimbangan beban yang Anda pilih.

      • IP: Alamat harus berupa alamat IP publik.

        • Anda dapat mengonfigurasi alamat IPv4 dan IPv6, baik secara individual maupun bersamaan.

        • Untuk mengonfigurasi alamat IPv6, Anda harus terlebih dahulu mengaktifkan proteksi IPv6 di halaman Configure Listener. Untuk informasi lebih lanjut, lihat Aktifkan Proteksi IPv6.

      • Nama domain: WAF hanya dapat meneruskan permintaan klien ke alamat IPv4 yang diselesaikan dari nama domain yang ditentukan. Untuk situs web yang menggunakan IPv6, Anda harus menentukan server asal berdasarkan alamat IP-nya.

      Penting

      Jika alamat server asal Anda berubah, segera perbarui di sini.

    Informasi klien sebenarnya

    Parameter

    Deskripsi

    Apakah ada proxy Layer 7 (Anti-DDoS/CDN, dll.) di depan WAF?

    Jika proxy Layer 7 seperti CDN dideploy di depan WAF, Anda harus mengatur Obtain Actual IP Address of Client untuk memastikan WAF dapat memperoleh alamat IP klien sebenarnya untuk analitik keamanan (misalnya, Attacker IP Address dalam Security Reports).

    Aktifkan penandaan lalu lintas

    Memungkinkan server asal mengidentifikasi permintaan yang telah melewati WAF dan mengambil alamat IP sumber atau port sumber klien.

    Konfigurasikan penerusan header permintaan

    Secara default, WAF menyisipkan header permintaan tertentu ke permintaan HTTP yang diprosesnya. Jika aplikasi web Anda perlu menangani header permintaan ini, Anda dapat mengonfigurasinya sesuai kebutuhan. Jika header permintaan sudah ada, WAF menimpa nilainya; jika tidak, WAF menambahkan header baru.

    Penerusan protokol proxy

    WAF meneruskan header Protokol Proxy ke server asal. Hal ini memungkinkan server asal yang mendukung Protokol Proxy untuk mengambil alamat IP klien asli.

    • Di halaman Configure Listener, konfigurasikan pengaturan ini di bagian Is a Layer 7 proxy such as Anti-DDoS Proxy or CDN deployed in front of WAF. Opsi yang tersedia adalah:

      Tidak ada proxy lain

      Menunjukkan bahwa permintaan dikirim langsung dari klien ke WAF.

      Proxy lain

      Menunjukkan bahwa permintaan diteruskan ke WAF dari proxy layer 7 lain. Anda juga harus menentukan Obtain Actual IP Address of Client.

      • Use the First IP Address in X-Forwarded-For Field as Actual IP Address of Client

        Jika Anda memilih opsi ini, WAF memperoleh alamat IP sumber dalam urutan prioritas berikut:

        1. Nilai header permintaan X-Real-IP.

        2. Jika header X-Real-IP tidak ada, alamat IP pertama di header X-Forwarded-For (XFF).

      • [Recommended] Use the First IP Address in Specified Header Field as Actual IP Address of Client to Prevent X-Forwarded-For Forgery

        Catatan

        Kami menyarankan Anda mengonfigurasi layanan proxy upstream untuk menulis alamat IP sumber ke bidang header yang ditentukan, seperti X-Real-IP atau X-Client-IP. Menggunakan header yang ditentukan mencegah penyerang melewati WAF dengan memalsukan header XFF.

        Di kotak Header Field, masukkan satu atau beberapa bidang header. Tekan Enter setelah setiap bidang. WAF memperoleh alamat IP sumber dalam urutan prioritas berikut:

        1. Header Field yang ditentukan, dalam urutan yang dimasukkan.

        2. Jika tidak ada header yang ditentukan, nilai header X-Real-IP.

        3. Jika header X-Real-IP juga tidak ada, alamat IP pertama di header XFF.

      • Use the Client IP from the Proxy Protocol header as the client's source IP.: Jika proxy upstream telah mengaktifkan Protokol Proxy, Anda dapat memilih opsi ini untuk mengekstrak alamat IP klien asli. Metode ini mentransmisikan alamat IP sumber di lapisan transport, sehingga tidak dapat dipalsukan di lapisan HTTP. Metode ini ideal untuk skenario yang memerlukan tingkat kepercayaan tinggi terhadap alamat IP sumber. Jika Protokol Proxy tidak berisi alamat IP klien, WAF menggunakan alamat IP proxy upstream sebagai alamat IP sumber.

    • Di halaman Configure Forwarding Rule, perluas Other Advanced Settings, pilih Enable Traffic Tagging, lalu konfigurasikan jenis bidang tag berikut:

      • Custom Header: Dengan menentukan Header Name dan Header Value, Anda dapat menginstruksikan WAF untuk menambahkan informasi header ini ke permintaan kembali ke asal guna mengidentifikasi permintaan yang telah melewati WAF. Misalnya, Anda dapat mengonfigurasi tag WAF-TAG: Yes, di mana WAF-TAG adalah nama header dan Yes adalah nilai header. Server asal Anda kemudian dapat menggunakan bidang ini untuk membuat kebijakan validasi atau kontrol akses, guna meningkatkan keamanan dan mengidentifikasi permintaan.

        Penting

        Jangan gunakan bidang header HTTP standar, seperti User-Agent. Jika tidak, WAF akan menimpa nilai header asli dengan nilai kustom Anda.

      • Originating IP Address: Tentukan nama bidang header yang berisi alamat IP asal. WAF mencatat dan meneruskan bidang header ini ke server asal. Untuk informasi lebih lanjut tentang cara WAF menentukan alamat IP asal, lihat deskripsi parameter Apakah proxy layer 7 (seperti Anti-DDoS Proxy atau CDN) dideploy di depan WAF.

      • Source Port: Tentukan nama bidang header yang berisi port sumber. WAF mencatat dan meneruskan bidang header ini ke server asal.

    • Di halaman Configure Forwarding Rule, perluas Other Advanced Settings. Di bagian Request Header Forwarding, pilih bidang header yang ingin Anda sisipkan oleh WAF.

      • Insert X-Client-IP to get the real client IP: Meneruskan alamat IP asal klien.

      • Add X-True-IP with Real Client IP: Meneruskan alamat IP yang digunakan untuk membangun koneksi.

      • Insert Web-Server-Type to get the server type: Proxy upstream biasanya menambahkan header ini untuk memberi tahu server asal tentang jenis server web frontend atau proxy yang memproses permintaan.

      • Add WL-Proxy-Client-IP with Real Client IP: Header ini menyediakan fungsionalitas yang sama dengan X-Client-IP dan khusus untuk Oracle WebLogic Server.

      • Insert X-Forwarded-Proto to get the frontend protocol: Protokol yang digunakan untuk koneksi antara klien dan proxy upstream.

    • Di halaman Configure Forwarding Rule, perluas Other Advanced Settings, dan aktifkan Proxy Protocol Pass-through.

      Penting

      • Sebelum mengaktifkan fitur ini, pastikan server asal Anda mendukung Protokol Proxy. Jika tidak, permintaan kembali ke asal mungkin gagal.

      • Mengaktifkan fitur ini mengurangi tingkat penggunaan ulang Origin Keep-alive. Jika Anda perlu menggunakan Origin Keep-alive, aktifkan fitur ini dengan hati-hati.

      • Fitur ini tidak dapat diaktifkan saat Enable HTTP/2 to Origin juga diaktifkan.

    Optimalisasi tautan kembali ke asal

    Parameter

    Deskripsi

    timeout kembali ke asal

    Jika server asal Anda merespons lambat dan menyebabkan timeout, konfigurasikan timeout untuk membangun koneksi dan melakukan operasi baca/tulis.

    retry kembali ke origin

    Secara default, WAF mencoba ulang permintaan kembali ke asal yang gagal hingga tiga kali per server asal. Menonaktifkan fitur ini mencegah WAF mencoba ulang permintaan tersebut.

    keep-alive kembali ke asal

    Mengonfigurasi koneksi persisten (keep-alive) antara WAF dan server asal. Jika Anda mengalami error 502 intermiten setelah menambahkan layanan, pastikan nilai keep-alive WAF tidak melebihi nilai keep-alive di server asal Anda.

    • Timeout kembali ke asal

      Di halaman Configure Forwarding Rule, perluas Other Advanced Settings dan konfigurasikan hal berikut:

      • Connection Timeout Period: Menentukan timeout untuk WAF membangun koneksi dengan server asal. Umumnya, Anda tidak perlu menyesuaikan parameter ini. Tingkatkan nilai ini hanya jika pembentukan koneksi lambat karena latensi jaringan tinggi atau beban berat di server asal. Nilai default adalah 5 detik, dan rentang yang dapat dikonfigurasi adalah 1–3600 detik.

      • Read Timeout: Menentukan timeout untuk menerima respons dari server asal. Tingkatkan parameter ini untuk API dengan waktu respons lama, seperti ekspor laporan atau pemrosesan data batch. Nilai default adalah 120 detik, dan rentang yang dapat dikonfigurasi adalah 1–3600 detik.

      • Write Timeout: Menentukan timeout untuk WAF mengirim permintaan ke server asal. Umumnya, Anda tidak perlu menyesuaikan parameter ini. Tingkatkan nilai ini hanya jika server asal memproses permintaan lambat karena beban berat. Nilai default adalah 120 detik, dan rentang yang dapat dikonfigurasi adalah 1–3600 detik.

    • Retry kembali ke asal

      Di halaman Configure Forwarding Rule, perluas Other Advanced Settings dan konfigurasikan pengaturan untuk Retry on 5XX Error.

    • Koneksi keep-alive kembali ke asal

      Penting

      Saat fitur ini dinonaktifkan, koneksi keep-alive kembali ke asal tidak mendukung protokol WebSocket.

      Di halaman Configure Forwarding Rule, perluas Other Advanced Settings. Aktifkan Origin Keep-alive dan konfigurasikan hal berikut:

      • Max Requests per Connection: Nilai default adalah 1.000. Rentang yang dapat dikonfigurasi adalah 60–1.000. Misalnya, jika server asal menggunakan Nginx, parameter ini sesuai dengan parameter Nginx keepalive_requests. Untuk informasi lebih lanjut, lihat dokumentasi Nginx.

      • Idle Timeout: Nilai default adalah 15 detik dan rentang yang dapat dikonfigurasi adalah 10–3600 detik. Misalnya, saat server asal menggunakan Nginx, parameter ini sesuai dengan parameter Nginx keepalive_timeout.

    Ukuran file unggah

    Max Body Size (hanya Edisi Enterprise)

    • Fitur: Secara default, WAF mendukung ukuran unggah file maksimum 2 GB. Edisi Ultimate WAF memungkinkan Anda meningkatkan batas ini untuk unggah file besar.

    • Prosedur: Di halaman Configure Forwarding Rule, perluas Other Advanced Settings dan konfigurasikan Max Body Size. Nilai default adalah 2 GB dan dapat ditingkatkan hingga 10 GB. Setelah mengonfigurasi pengaturan ini, Anda juga harus meningkatkan Read Timeout dan Write Timeout.

    Sederhanakan manajemen sumber daya

    Resource Group

    • Deskripsi: Menyederhanakan manajemen sumber daya dan konfigurasi izin, meningkatkan efisiensi administratif. Jika Anda tidak menentukan kelompok sumber daya, domain akan default ke Default Resource Group. Untuk informasi lebih lanjut, lihat kelompok sumber daya.

    • Langkah: Di halaman Configure Listener, di area Resource Group, pilih kelompok sumber daya untuk domain dari daftar drop-down.

    Pemeliharaan

    Perbarui sertifikat domain

    Perbarui sertifikat untuk nama domain jika akan kedaluwarsa atau telah diubah, misalnya jika dicabut.

    Sertifikat Alibaba Cloud

    1. Di konsol Certificate Management Service (Original SSL Certificate), perbarui sertifikat SSL Anda. Untuk informasi lebih lanjut, lihat Perbarui sertifikat SSL.

    2. Di konsol WAF, pada daftar domain yang ditambahkan melalui CNAME, temukan domain target dan klik Edit di kolom Actions.

    3. Di bagian HTTPS Upload Type, pilih Select Existing Certificate dan pilih sertifikat baru. Lalu, klik Next > Submit.

    Sertifikat pihak ketiga

    1. Unduh file sertifikat dari penyedia.

    2. Di konsol WAF, pada daftar domain yang ditambahkan melalui CNAME, temukan domain target dan klik Edit di kolom Actions.

    3. Di bagian HTTPS Upload Type, pilih Upload dan masukkan informasi berikut.

      • Certificate Name: Masukkan nama unik untuk sertifikat tersebut. Nama tidak boleh sama dengan nama sertifikat yang sudah ada.

      • Certificate File: Tempelkan konten dari file sertifikat. Konten harus dalam format PEM, CER, atau CRT.

        Contoh format: -----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----

        • Rantai sertifikat: Jika file sertifikat Anda mencakup sertifikat perantara, gabungkan sertifikat server dan sertifikat perantara dalam urutan tersebut, lalu tempelkan konten gabungan.

        • Konversi format: Jika sertifikat Anda dalam format seperti PFX atau P7B, gunakan alat sertifikat untuk mengonversinya ke format PEM.

      • Private Key: Tempelkan konten dari file kunci privat. Konten harus dalam format PEM.

        Contoh format:

        • RSA: -----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----

        • ECC: -----BEGIN EC PRIVATE KEY-----......-----END EC PRIVATE KEY-----

    Catatan

    • Jika sertifikat kedaluwarsa kurang dari 30 hari, WAF menampilkan ikon image.png di daftar domain untuk menunjukkan bahwa sertifikat akan segera kedaluwarsa. Perbarui sertifikat segera untuk menghindari gangguan layanan.

    • Anda dapat mengatur notifikasi untuk sertifikat SSL guna menerima peringatan kedaluwarsa melalui email, SMS, dan metode lainnya. Untuk informasi lebih lanjut, lihat Atur notifikasi pesan untuk sertifikat SSL.

    • Untuk mencegah gangguan layanan akibat sertifikat kedaluwarsa, aktifkan layanan hosting sertifikat di Certificate Management Service (Original SSL Certificate) Alibaba Cloud. Layanan ini secara otomatis mengajukan sertifikat sebelum kedaluwarsa. Untuk informasi lebih lanjut, lihat Apa itu Layanan Hosting Sertifikat?.

    Tambahkan kembali domain setelah kedaluwarsa ICP

    Setelah Anda menambahkan domain menggunakan rekaman CNAME, WAF secara berkala memeriksa status pendaftaran ICP-nya. Jika pendaftaran kedaluwarsa, WAF secara otomatis menghentikan penerusan lalu lintas untuk domain tersebut. Jika pendaftaran ICP domain Anda kedaluwarsa, ajukan kembali. Setelah disetujui, buka halaman onboarding CNAME dan klik Add Again.

    Kembalikan onboarding

    • Jika Anda mengalami masalah seperti jumlah false positive yang tinggi setelah menambahkan nama domain, Anda dapat sementara menonaktifkan proteksi WAF dengan membuka halaman Protected Objects di konsol WAF dan mematikan sakelar WAF Protection Status. Untuk informasi lebih lanjut, lihat Nonaktifkan proteksi WAF dengan satu klik.

    • Untuk berhenti melindungi nama domain dengan WAF, ikuti langkah-langkah berikut.

      1. Ubah rekaman DNS nama domain agar mengarah kembali ke alamat server asal Anda. Misalnya, atur ke alamat IP server asal Anda.

      2. Di konsol WAF, temukan nama domain dan klik Delete di bawah kolom Tindakan.

    Peringatan

    • Penting: Sebelum menghapus nama domain, Anda harus mengubah rekaman DNS-nya agar mengarah kembali ke alamat server asal. Jika tidak, alamat CNAME domain menjadi tidak valid, dan situs web Anda akan tidak dapat diakses.

    • Penagihan: Untuk instans WAF pay-as-you-go, Anda dikenai biaya fitur selain biaya pemrosesan permintaan. Biaya fitur mencakup instans dan aturan proteksi. Untuk berhenti menggunakan WAF dan menghindari biaya lebih lanjut, lihat Nonaktifkan WAF.

    Kelola domain WAF secara massal melalui API

    Jika Anda mengelola beberapa domain dengan WAF, gunakan API untuk menambahkannya dengan cepat atau melihat detail konfigurasinya.

    • Untuk menambahkan domain ke instans WAF, lihat operasi API CreateDomain.

    • Untuk mengkueri detail konfigurasi domain yang ditambahkan melalui CNAME, lihat operasi API DescribeDomain.

    Penerapan ke produksi

    Untuk memastikan keamanan dan stabilitas di lingkungan produksi Anda, ikuti praktik terbaik berikut saat menambahkan nama domain produksi.

    • Konfigurasi HTTPS: Kami menyarankan Anda menerapkan sertifikat di server asal dan di WAF, serta menggunakan pengaturan berikut untuk manajemen sertifikat yang efisien.

      • Unggah file sertifikat Anda ke Certificate Management Service (Original SSL Certificate).

      • Saat menambahkan nama domain ke WAF, atur Protocol Type ke HTTPS. Di bagian Versi TLS, kami menyarankan mengonfigurasi TLS 1.2 atau yang lebih baru. Di bagian Paket sandi HTTPS, konfigurasikan paket sandi kuat kustom.

      • Atur notifikasi untuk sertifikat SSL untuk memperbaruinya tepat waktu sebelum kedaluwarsa.

    • Peluncuran bertahap: Pertama, tambahkan nama domain non-produksi selama jam sepi. Setelah memastikan layanan beroperasi normal, tambahkan nama domain produksi Anda.

    • Validasi layanan: Setelah pengaturan, verifikasi operasi layanan normal dengan cara berikut:

      • Tinjau log: Periksa fluktuasi signifikan dalam persentase kode status 200 dan lonjakan atau penurunan tiba-tiba dalam QPS. Jika Anda mengaktifkan layanan log WAF, tinjau log WAF.

      • Pemantauan aplikasi: Pastikan fungsi aplikasi inti, seperti akses pengguna dan transaksi, berfungsi dengan benar.

    • Penguatan server asal: Kami menyarankan mengonfigurasi server asal agar hanya mengizinkan lalu lintas dari blok IP kembali ke asal WAF. Hal ini memastikan hanya WAF yang dapat berkomunikasi dengan server asal Anda, mencegah penyerang melewati WAF untuk mengakses alamat IP publiknya secara langsung.

    • Pemeliharaan berkelanjutan: Setelah menambahkan nama domain ke lingkungan produksi, pantau terus-menerus serangan dan false positive.

      • Respons insiden: Kami menyarankan memantau Laporan Keamanan dan mengonfigurasi notifikasi CloudMonitor untuk tetap mendapat informasi tentang serangan dan peristiwa keamanan.

      • Penyetelan aturan: Pantau terus-menerus log serangan untuk mengidentifikasi permintaan bisnis yang salah diblokir, dan optimalkan aturan proteksi Anda sesuai kebutuhan.

    FAQ

    Onboarding

    • Blok CIDR kembali ke asal WAF dan CNAME

      Anda dapat menemukan blok CIDR kembali ke asal WAF dan alamat CNAME untuk setiap domain yang ditambahkan di daftar onboarding, seperti yang ditunjukkan pada gambar berikut. Untuk instruksi tentang cara mengizinkan blok CIDR kembali ke asal WAF, lihat Izinkan blok CIDR kembali ke asal WAF.image

    • Status DNS domain

      Anda dapat memeriksa status DNS nama domain di daftar onboarding untuk mengidentifikasi domain yang berisiko mengalami anomali DNS dan menyesuaikan pengaturan resolusi DNS sesuai petunjuk konsol.

      Status DNS

      Tindakan

      Resolusi DNS normal

      Nama domain diselesaikan ke WAF seperti yang diharapkan. Tidak diperlukan tindakan.

      Resolusi DNS abnormal, terhubung melalui rekaman A

      Hapus rekaman A domain, tambahkan rekaman CNAME, dan atur nilai catatannya ke alamat CNAME yang disediakan WAF. Untuk informasi lebih lanjut, lihat Modifikasi pengaturan DNS untuk nama domain.

      Resolusi DNS abnormal, menggunakan IP WAF yang salah

      Hapus rekaman A untuk nama domain yang ditambahkan, tambahkan rekaman CNAME, dan atur nilai catatannya ke alamat CNAME yang disediakan WAF. Untuk informasi lebih lanjut, lihat Modifikasi pengaturan DNS untuk nama domain.

      Resolusi DNS abnormal, menggunakan alamat CNAME yang salah

      Perbarui nilai rekaman CNAME ke alamat CNAME yang disediakan WAF. Untuk informasi lebih lanjut, lihat Modifikasi pengaturan DNS untuk nama domain.

      Resolusi DNS tidak diketahui, proxy diaktifkan untuk domain

      Proxy Layer 7 diaktifkan di depan WAF. Periksa apakah origin yang dikonfigurasi proxy adalah alamat CNAME yang disediakan WAF. Jika alamat benar, Anda dapat mengabaikan peringatan ini.

      Pemeriksaan DNS timeout

      Klik ikon update untuk menjalankan kembali pemeriksaan status DNS.

      Tidak ada rekaman DNS, silakan sambungkan ke WAF

      Tambahkan rekaman CNAME dan atur nilai catatannya ke alamat CNAME yang disediakan WAF. Untuk informasi lebih lanjut, lihat Modifikasi pengaturan DNS untuk nama domain.

      DNS tidak diselesaikan ke WAF, silakan sambungkan ke WAF

      Perbarui nilai rekaman CNAME ke alamat CNAME yang disediakan WAF. Untuk informasi lebih lanjut, lihat Modifikasi pengaturan DNS untuk nama domain.

      Resolusi DNS normal (proxy diaktifkan secara salah)

      Nama domain diselesaikan ke WAF seperti yang diharapkan, tetapi fitur proxy frontend diaktifkan secara tidak sengaja. Jika tidak ada proxy Layer 7 seperti CDN atau Anti-DDoS yang dideploy di depan WAF, atur Is a Layer 7 proxy such as Anti-DDoS Proxy or CDN deployed in front of WAF ke No.

    • Informasi pendaftaran ICP

      Buka alat Analisis Diagnostik Jaringan, pilih Analisis Diagnostik Jaringan, lalu masukkan nama domain. Konfirmasi bahwa status Pemeriksaan Pendaftaran adalah Website telah terdaftar. Jika ditampilkan pesan "Website belum terdaftar. Silakan konsultasikan dengan penyedia server website Anda", Anda harus menyelesaikan pendaftaran ICP sebelum menambahkan nama domain ke WAF.

      • Jika server Anda di-host di Alibaba Cloud, gunakan sistem Pendaftaran ICP Alibaba Cloud untuk menyelesaikan pendaftaran ICP. Untuk informasi lebih lanjut, lihat Proses pendaftaran ICP.

      • Jika server Anda tidak berada di Alibaba Cloud, ajukan pendaftaran ICP melalui sistem penyedia Anda atau situs web resmi MIIT.

    • Alamat server asal

      Di bagian Configure Forwarding Rule > Alamat Server, jika Anda tidak yakin tentang alamat server asal, buka halaman Analisis Diagnostik Jaringan, masukkan nama domain, lalu periksa area Hasil Resolusi Penyedia DNS. Jika dikembalikan rekaman IP, seperti rekaman A atau AAAA, masukkan IP yang sesuai. Jika dikembalikan rekaman domain, seperti rekaman CNAME, masukkan Domain Name (Such as CNAME) yang sesuai.

    • Port situs web

      Pada bagian Configure Forwarding Rule > Server Address, Anda perlu mengonfigurasi Port kembali ke origin—yaitu Port yang digunakan oleh situs web Anda. Gunakan informasi berikut untuk mengidentifikasi Port tersebut.

      • Port standar (default): Layanan web menggunakan port standar secara default, sehingga Anda tidak perlu menentukannya di nama domain untuk mengakses layanan.

        • HTTP: Misalnya, http://yourdomain.com menggunakan port 80.

        • HTTPS: Misalnya, https://yourdomain.com menggunakan port 443.

      • Port non-standar: Jika situs web menggunakan port non-standar, nomor port muncul segera setelah nama domain dalam format domain:port.

        • HTTP: Misalnya, http://yourdomain.com:8080 menggunakan port 8080.

        • HTTPS: Misalnya, https://yourdomain.com:8443 menggunakan port 8443.

        Catatan

        Untuk memastikan akurasi, periksa file konfigurasi server web Anda (seperti nginx.conf untuk Nginx) untuk menemukan port yang tepat.

    WAF VIP

    • Memahami dan melihat VIP WAF

      Setelah Anda menambahkan nama domain ke WAF, WAF menetapkan alamat IP virtual (VIP) khusus untuk menerima permintaan bisnis. VIP ini tidak dibagi dengan penyewa lain. Untuk memastikan ketersediaan tinggi, VIP ini merupakan bagian dari kluster WAF Alibaba Cloud dan tidak terikat pada perangkat fisik tertentu. Dalam instans WAF yang sama:

      • Jika IP eksklusif domain atau penyeimbangan beban cerdas tidak diaktifkan, semua nama domain berbagi satu VIP.

      • Setelah Anda mengaktifkan IP eksklusif domain, setiap domain diberi VIP independen.

      • Setelah Anda mengonfigurasi penyeimbangan beban cerdas, semua nama domain berbagi beberapa VIP.

      Anda tidak dapat melihat VIP WAF secara langsung di konsol. Anda harus menggunakan perintah ping atau nslookup untuk mengkueri domain yang dilindungi WAF.

      ping example.com  # Ganti dengan domain yang dilindungi WAF
      Penting

      VIP ini adalah alamat IP ingress WAF, bukan rentang alamat IP kembali ke asal WAF. Anda harus mengonfigurasi server asal seperti yang dijelaskan di Izinkan rentang alamat IP kembali ke asal WAF.

    • Kebijakan SSL/TLS default untuk kepatuhan

      Untuk memenuhi persyaratan kepatuhan, Anda dapat menyesuaikan sertifikat SSL dan kebijakan TLS untuk VIP WAF Anda. Sebelum menjalankan pemindaian kepatuhan pada VIP WAF, ikuti langkah-langkah berikut untuk mengunggah sertifikat HTTPS yang sesuai dan mengaktifkan atau menonaktifkan versi protokol TLS dan paket sandi tertentu.

      Catatan

      Jika fitur Exclusive IP Address diaktifkan, konfigurasi ini juga berlaku untuk alamat IP eksklusif.

      1. Di atas daftar domain yang ditambahkan, klik Default SSL/TLS Settings.image.png

      2. Di kotak dialog Default SSL/TLS Settings, konfigurasikan pengaturan berikut dan klik OK.

        Parameter

        Deskripsi

        HTTPS Upload Type

        Unggah sertifikat SSL. Prosedurnya sama seperti mengunggah sertifikat domain. Untuk detailnya, lihat Unggah sertifikat.

        TLS Version

        Nilai yang valid:

        • TLS 1.0 and Later (Best Compatibility and Low Security)

        • TLS 1.1 and Later (High Compatibility and High Security): Mencegah klien lama yang menggunakan protokol TLS 1.0 mengakses website Anda.

        • TLS 1.2 and Later (High Compatibility and Best Security): Memenuhi persyaratan kepatuhan keamanan terbaru tetapi mencegah klien lama yang menggunakan protokol TLS 1.0 dan 1.1 mengakses website Anda.

        • Support TLS 1.3: Pilih opsi ini jika website Anda mendukung protokol TLS 1.3.

        HTTPS Cipher Suite

        Pilih paket sandi yang ingin Anda aktifkan. Nilai yang valid:

        • All Cipher Suites (High Compatibility and Low Security)

        • Custom Cipher Suite (Select It based on protocol version. Proceed with caution.): Pilih opsi ini jika website Anda hanya mendukung paket sandi tertentu. Lakukan dengan hati-hati untuk menghindari gangguan layanan Anda. Untuk informasi lebih lanjut tentang paket sandi kustom yang didukung, lihat Paket sandi yang didukung WAF.

    • Hasil pemindaian port dan risiko keamanan

      Saat Anda menggunakan alat seperti Nmap untuk memindai domain yang ditambahkan ke WAF menggunakan rekaman CNAME, pemindaian mungkin melaporkan port sebagai terbuka padahal port tersebut tertutup di server asal Anda. Ini adalah perilaku yang diharapkan karena domain diselesaikan ke VIP WAF. Pemindaian menargetkan port VIP WAF, bukan port server asal Anda.

      WAF hanya meneruskan lalu lintas untuk port yang Anda konfigurasi di konsol. Di port yang tidak dikonfigurasi, WAF menyelesaikan jabat tangan tiga arah TCP tetapi kemudian segera menghentikan koneksi dengan paket RST tanpa meneruskan data apa pun. Oleh karena itu, port-port ini tidak menimbulkan risiko keamanan. Port VIP tidak dapat ditutup secara manual. Untuk informasi lebih lanjut, lihat Penjelasan port non-standar di WAF.

    • Rekaman DNS dan VIP WAF

      Tidak. Saat Anda menambahkan domain ke WAF menggunakan rekaman CNAME, Anda harus mengarahkan rekaman DNS Anda ke alamat CNAME yang disediakan WAF, bukan ke alamat VIP WAF. Hal ini karena alamat VIP dapat berubah, misalnya saat Anda mengaktifkan atau menonaktifkan IP eksklusif atau penyeimbangan beban cerdas, atau dalam kasus ekstrem kegagalan WAF. Mengarahkan domain Anda langsung ke alamat VIP dapat menyebabkan gangguan layanan. Menggunakan rekaman CNAME memastikan alamat IP backend secara otomatis dialihkan untuk menjamin kelangsungan bisnis.

    Kemampuan produk