Untuk melindungi instans Classic Load Balancer (CLB) yang menghadap publik dari serangan web, Anda dapat mengaktifkan proteksi Web Application Firewall (WAF). Mode ini tidak memerlukan perubahan pada arsitektur jaringan atau konfigurasi DNS yang sudah ada. Cukup konfigurasikan port perutean trafik, dan sistem secara otomatis akan mengalihkan trafik publik dari port tersebut pada instans CLB Anda ke WAF untuk pemeriksaan dan penyaringan keamanan, sehingga memberikan perlindungan yang efisien dan transparan.
Cara kerja
Cara kerja: Web Application Firewall (WAF) terintegrasi dengan instans CLB Anda menggunakan transparent proxy. Cukup konfigurasikan traffic routing port untuk instans CLB Anda. Sistem secara otomatis menyesuaikan kebijakan perutean jaringan di lapisan bawah untuk mengalihkan seluruh trafik HTTP/HTTPS dari port tersebut ke WAF guna pemeriksaan keamanan. Setelah WAF memblokir permintaan serangan, permintaan yang sah diteruskan ke instans CLB origin.
Lingkup proteksi: Mode ini melindungi semua domain pada port perutean trafik yang ditentukan, termasuk layanan yang hanya diakses melalui Alamat IP publik tanpa nama domain.
Protokol listener yang didukung: WAF dapat melindungi instans CLB dengan listener HTTP, HTTPS, atau TCP. Untuk listener TCP, WAF hanya memeriksa trafik HTTP/HTTPS pada port tersebut. Trafik non-HTTP/HTTPS seperti FTP, SMTP, atau database tidak diteruskan maupun dilindungi.
Kesesuaian
Jika instans CLB Anda tidak memenuhi persyaratan berikut, gunakan mode rekaman CNAME.
Persyaratan instance:
Instans harus menghadap publik, atau merupakan instans privat dengan Elastic IP address (EIP) yang terikat padanya.
Anda harus menambahkan listener HTTP, HTTPS, atau TCP ke instans CLB sebelum menambahkan instans tersebut ke WAF.
Versi IP harus IPv4.
Instans CLB bersama (shared) tidak didukung karena tidak mendukung konfigurasi Kebijakan keamanan TLS.
Persyaratan wilayah instance:
WAF di Tiongkok daratan: Tiongkok (Chengdu), Tiongkok (Beijing), Tiongkok (Zhangjiakou), Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Shenzhen), dan Tiongkok (Qingdao).
WAF Di luar Tiongkok daratan: Tiongkok (Hong Kong), Malaysia (Kuala Lumpur), Indonesia (Jakarta), dan Singapura.
Menambahkan instans ke WAF dapat menyebabkan gangguan koneksi singkat selama beberapa detik. Lakukan proses ini pada jam sepi dan pantau layanan Anda setelahnya. Klien dengan fitur reconnect otomatis akan pulih tanpa dampak bisnis.
Memulai cepat
Buka Konsol
Login ke Konsol Web Application Firewall. Di bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland) dari instans WAF Anda. Di panel navigasi sebelah kiri, klik Onboarding. Klik tab Cloud Native, lalu pilih Classic Load Balancer (CLB) dari daftar jenis layanan cloud.
Otorisasi WAF (hanya untuk penyiapan pertama kali)
Ikuti petunjuk di layar untuk mengklik Authorize Now dan berikan izin yang diperlukan. Anda dapat melihat peran terkait layanan yang dibuat, yaitu AliyunServiceRoleForWAF, di halaman Roles di Konsol RAM.
Tambahkan instans CLB
Di daftar instans, temukan instans CLB target. Klik ikon
untuk memperluas detailnya, pilih port yang ingin dilindungi, lalu klik Add Now di kolom Actions.Jika instans target tidak muncul dalam daftar, klik Synchronize Assets di pojok kanan atas. Jika instans tetap tidak muncul, artinya tidak memenuhi persyaratan yang ditentukan dalam Kesesuaian.
Jika tombol Add Now tidak tersedia atau statusnya Protection Exception, lihat FAQ.

Konfigurasikan pengaturan berdasarkan protokol listener port tersebut.
Listener HTTP dan HTTPS
Di halaman Configure Instance, untuk menyesuaikan pengaturan Layer 7 proxy settings (such as CDN), X-Forwarded-Proto header settings, atau Traffic Tagging, lihat Dapatkan informasi klien sebenarnya. Untuk menyesuaikan pengaturan back-to-origin timeout atau back-to-origin keep-alive, lihat Optimalkan kualitas tautan kembali ke asal. Jika tidak, klik OK untuk menerapkan pengaturan default.
CatatanJika protokolnya HTTPS, sertifikat dikonfigurasi di Konsol CLB. Anda tidak perlu mengonfigurasi sertifikat di Konsol WAF.
Listener TCP
Di halaman Configure Instance, pilih Protocol Type berdasarkan trafik yang ditangani oleh port tersebut.
HTTP
Untuk menyesuaikan pengaturan Layer 7 proxy settings (such as CDN), X-Forwarded-Proto header settings, atau Traffic Tagging, lihat Dapatkan informasi klien sebenarnya. Untuk menyesuaikan pengaturan back-to-origin timeout atau back-to-origin keep-alive, lihat Optimalkan kualitas tautan kembali ke asal. Jika tidak, klik OK untuk menerapkan pengaturan default.
HTTPS
Untuk menyesuaikan pengaturan HTTP/2, Versi TLS, cipher suite, atau sertifikat tambahan, lihat Tingkatkan keamanan HTTPS. Jika tidak, gunakan pengaturan default.
-
Di bagian Default Certificate, pilih metode untuk mengunggah sertifikat:
-
Upload: Gunakan opsi ini jika sertifikat Anda tidak berada di Certificate Management Service (Original SSL Certificate).
-
Select Existing Certificate: Pilih sertifikat yang diterbitkan oleh atau diunggah ke Certificate Management Service (Original SSL Certificate).
Upload
-
Certificate Name: Masukkan nama unik untuk sertifikat tersebut. Nama tidak boleh sama dengan sertifikat yang sudah ada.
-
Certificate File: Buka file sertifikat di editor teks dan tempel seluruh isi sertifikat dalam format PEM, CER, atau CRT.
Contoh format:
-----BEGIN CERTIFICATE-----......-----END CERTIFICATE------
Konversi format: Jika sertifikat Anda dalam format seperti PFX atau P7B, gunakan certificate tool untuk mengonversinya ke format PEM.
-
Rantai sertifikat: Jika mencakup sertifikat perantara, tempel sertifikat server diikuti oleh sertifikat perantara.
-
-
Private Key: Buka file kunci privat di editor teks dan tempel seluruh isi kunci privat dalam format PEM.
Contoh format:
-----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----
Select existing certificate
Dari daftar drop-down sertifikat, pilih sertifikat yang ingin diunggah ke WAF.
CatatanJika Konsol WAF menampilkan pesan "Failed to verify the integrity of the certificate chain. If you use this certificate, service access may be affected.", berarti terdapat masalah pada rantai sertifikat Anda. Pastikan konten sertifikat sudah benar dan lengkap, lalu unggah ulang melalui konsol Layanan Manajemen Sertifikat. Unggah, sinkronkan, dan bagikan sertifikat SSL.
-
-
Untuk menyesuaikan pengaturan Layer 7 proxy settings (such as CDN), X-Forwarded-Proto header settings, atau Traffic Tagging, lihat Dapatkan informasi klien sebenarnya. Untuk menyesuaikan pengaturan back-to-origin timeout atau back-to-origin keep-alive, lihat Optimalkan kualitas tautan kembali ke asal. Jika tidak, klik OK untuk menerapkan pengaturan default.
Verifikasi Perlindungan
Setelah menambahkan instans, verifikasi proteksi dengan mengunjungi website yang di-host di instans CLB melalui browser dan menambahkan muatan uji serangan web ke URL. Misalnya, gunakan
http://yourdomain.com/alert(xss). Jika WAF mengembalikan halaman blokir 405, serangan berhasil dicegat dan proteksi WAF aktif.Tinjau dan Konfigurasi Aturan Proteksi
Setelah instans ditambahkan, WAF secara otomatis membuat objek yang dilindungi bernama
instance-id-port-asset-typedan mengaktifkan aturan proteksi default untuknya, seperti aturan proteksi inti web. Anda dapat melihat objek tersebut di halaman . Jika aturan default tidak sesuai kebutuhan bisnis Anda (misalnya, Anda perlu menambahkan alamat IP tertentu ke daftar putih agar semua permintaannya diizinkan), Anda dapat membuat atau mengedit aturan proteksi. Untuk informasi lebih lanjut, lihat Ikhtisar.
Status sertifikat dan instans: Setelah menambahkan instans, pastikan sertifikat valid dan status instans normal. Proteksi WAF menjadi tidak berlaku jika sertifikat kedaluwarsa atau EIP instans berubah. Untuk informasi lebih lanjut, lihat Perbarui sertifikat yang terikat pada port perutean trafik dan Tambahkan ulang instans ke WAF setelah perubahan.
Beberapa domain pada satu instans CLB: Jika beberapa domain mengarah ke instans CLB yang sama dan Anda perlu mengonfigurasi aturan proteksi berbeda untuk masing-masing, Anda harus menambahkan setiap domain secara manual sebagai objek yang dilindungi. Untuk informasi lebih lanjut, lihat Tambahkan objek yang dilindungi.
Tingkatkan keamanan HTTPS
Pengaturan ini hanya tersedia jika protokol listener port adalah TCP dan trafik yang ditangani adalah HTTPS.
Parameter | Deskripsi |
Mengaktifkan protokol HTTP/2 untuk meningkatkan kecepatan pemuatan halaman, mengurangi latensi, dan meningkatkan pengalaman pengguna. Anda dapat mengaktifkan fitur ini jika website Anda mendukung HTTP/2. Setelah diaktifkan, HTTP/2 dan HTTPS menggunakan port yang sama, serta protokol listener dan kembali ke asal keduanya adalah HTTP/2. Jika website Anda tidak mendukung HTTP/2, jangan aktifkan fitur ini. Jika tidak, website Anda tidak akan dapat diakses. | |
Menentukan versi TLS yang diizinkan untuk koneksi antara klien dan WAF. Versi yang lebih tinggi menawarkan keamanan lebih kuat tetapi kompatibilitas lebih rendah dengan klien lama. Untuk skenario keamanan tinggi, kami merekomendasikan memilih TLS 1.2 atau yang lebih baru. | |
Menentukan algoritma enkripsi yang diizinkan untuk koneksi antara klien dan WAF. Paket sandi yang kuat memberikan keamanan tinggi tetapi kompatibilitas rendah dengan klien lama. Untuk skenario keamanan tinggi, kami merekomendasikan memilih paket sandi yang kuat. | |
Jika instans CLB meng-host website HTTPS untuk beberapa domain dan satu sertifikat tidak mencakup semuanya, Anda perlu mengunggah sertifikat untuk setiap domain. |
HTTP/2
Di halaman Configure Instance, pilih HTTP/2 untuk mengaktifkan fitur ini.
Versi TLS
Di halaman Configure Instance, pilih opsi di bagian TLS Version.
TLS 1.0 and Later (Best Compatibility and Low Security): Mengizinkan akses dari semua klien lama.
TLS 1.1 and Later (High Compatibility and High Security): Mencegah klien lama yang menggunakan TLS 1.0 mengakses website.
TLS 1.2 and Later (High Compatibility and Best Security): Memenuhi persyaratan kepatuhan keamanan terbaru tetapi mencegah klien lama yang menggunakan TLS 1.0 atau TLS 1.1 mengakses website.
Support TLS 1.3: Jika website Anda mendukung TLS 1.3, centang kotak ini. Secara default, WAF tidak mendengarkan permintaan klien yang menggunakan TLS 1.3.
Cipher suite
Di halaman Configure Instance, pilih opsi di bagian Cipher Suite.
All Cipher Suites (High Compatibility and Low Security)
Custom Cipher Suite (Select It based on protocol version. Proceed with caution.): Jika website Anda hanya mendukung paket sandi tertentu, pilih opsi ini dan pilih paket yang didukung dari daftar.
Cipher suite kuat
Cipher suite lemah
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-SHA384
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-SHA
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-SHA
AES128-SHA
AES256-SHA
DES-CBC3-SHA
CatatanCatatan keamanan cipher suite: Paket sandi ECDHE-RSA-AES128-SHA256 dan ECDHE-RSA-AES256-SHA384 menggunakan ECDHE untuk pertukaran kunci, RSA untuk otentikasi, dan enkripsi AES-CBC. Dibandingkan dengan paket sandi yang menggunakan mode enkripsi terotentikasi seperti AES-GCM, paket ini memiliki keamanan dan performa lebih rendah. Beberapa alat pemindaian keamanan mungkin menandainya sebagai paket sandi lemah. Jika hal ini terjadi, gunakan paket sandi kustom dan secara manual mengecualikan dua paket ini.
Konvensi penamaan cipher suite: WAF menampilkan paket sandi dalam format OpenSSL, tetapi beberapa alat pemindaian mungkin menggunakan konvensi penamaan IANA. Misalnya, ECDHE-ECDSA-AES256-SHA384 dalam OpenSSL sesuai dengan TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 dalam IANA. Untuk mencari pemetaannya, kunjungi ciphersuite.info atau gunakan alat pencarian paket sandi TLS lainnya.
Sertifikat tambahan
Di halaman Configure Instance, unggah sertifikat di bagian Additional Certificate. Metode pengunggahan sama seperti untuk sertifikat default. Untuk detailnya, lihat Sertifikat default.
CatatanSaat menambahkan beberapa sertifikat tambahan, semua sertifikat harus valid. Jika ada sertifikat yang kedaluwarsa, operasi akan gagal.
Dapatkan informasi klien sebenarnya
Parameter | Deskripsi |
Apakah Proxy Lapisan-7 (seperti Anti-DDoS atau CDN) diterapkan di depan WAF? | Jika proxy Lapisan-7 seperti CDN diterapkan di depan WAF, Anda harus mengonfigurasi Obtain Actual IP Address of Client. Ini memastikan bahwa WAF dapat memperoleh alamat IP klien sebenarnya untuk analitik keamanan, seperti mengidentifikasi Attacker IP Address dalam Security Reports. |
Memungkinkan server origin Anda membedakan permintaan yang telah melewati WAF dan memperoleh IP sumber atau port klien sebenarnya. | |
Dapatkan protokol listener WAF menggunakan header X-Forwarded-Proto | Secara default, WAF menyisipkan header |
Di halaman Configure Instance, konfigurasikan pengaturan ini di bagian Is a Layer 7 proxy such as Anti-DDoS Proxy or CDN deployed in front of WAF. Opsi yang tersedia:
Tidak ada proxy lain
Menunjukkan bahwa permintaan dikirim langsung dari klien ke WAF.
Proxy lain
Menunjukkan bahwa permintaan diteruskan ke WAF dari proxy lapisan 7 lain. Anda juga harus menentukan Obtain Actual IP Address of Client.
-
Use the First IP Address in X-Forwarded-For Field as Actual IP Address of Client
Jika Anda memilih opsi ini, WAF memperoleh IP sumber dengan urutan prioritas sebagai berikut:
-
Nilai header permintaan X-Real-IP.
-
Jika header X-Real-IP tidak ada, alamat IP pertama dalam header X-Forwarded-For (XFF).
-
-
[Recommended] Use the First IP Address in Specified Header Field as Actual IP Address of Client to Prevent X-Forwarded-For Forgery
CatatanKami merekomendasikan agar Anda mengonfigurasi layanan proxy upstream untuk menulis alamat IP sumber ke bidang header yang ditentukan, seperti X-Real-IP atau X-Client-IP. Menggunakan header yang ditentukan mencegah penyerang melewati WAF dengan memalsukan header XFF.
Di kotak Header Field, masukkan satu atau beberapa bidang header. Tekan Enter setelah setiap bidang. WAF memperoleh IP sumber dengan urutan prioritas sebagai berikut:
-
Header Field yang ditentukan, sesuai urutan yang dimasukkan.
-
Jika tidak ada header yang ditentukan, nilai header X-Real-IP.
-
Jika header X-Real-IP juga tidak ada, alamat IP pertama dalam header XFF.
-
-
Use the Client IP from the Proxy Protocol header as the client's source IP.: Jika proxy upstream memiliki Proxy Protocol diaktifkan, Anda dapat memilih opsi ini untuk mengekstrak IP klien asli. Metode ini mentransmisikan IP sumber di lapisan transport, sehingga tidak dapat dipalsukan di lapisan HTTP. Metode ini ideal untuk skenario yang memerlukan tingkat kepercayaan tinggi terhadap IP sumber. Jika Proxy Protocol tidak berisi IP klien, WAF menggunakan alamat IP proxy upstream sebagai IP sumber.
-
Di halaman Configure Instance, perluas Advanced Settings, pilih Enable Traffic Tagging, lalu konfigurasikan jenis header penanda berikut:
Custom Header: Dengan mengonfigurasi Header Name dan Header Value, WAF menambahkan informasi header ini ke permintaan kembali ke asal untuk mengidentifikasi permintaan yang telah melewati WAF. Misalnya, Anda dapat mengonfigurasi tag
WAF-TAG: Yes, di manaWAF-TAGadalah nama header danYesadalah nilai header. Setelah dikonfigurasi, server dapat menetapkan kebijakan validasi atau kontrol akses berdasarkan header ini untuk meningkatkan keamanan dan identifikasi permintaan.PentingJangan masukkan nama header HTTP standar (seperti User-Agent). Jika tidak, konten header standar akan ditimpa oleh nilai kustom.
Originating IP Address: Dengan mengonfigurasi nama header tempat IP sumber klien sebenarnya berada, WAF dapat mencatat header ini dan meneruskannya ke server origin. Untuk aturan spesifik tentang cara WAF menentukan IP sumber klien sebenarnya, lihat deskripsi parameter Apakah Proxy Lapisan-7 (seperti Anti-DDoS atau CDN) diterapkan di depan WAF?.
Source Port: Dengan mengonfigurasi nama header tempat port sumber klien sebenarnya berada, WAF dapat mencatat header ini dan meneruskannya ke server origin.
Di halaman Configure Instance, perluas Advanced Settings dan pilih Retrieve client protocol from the X-Forwarded-Proto header sesuai kebutuhan.
Optimalkan kualitas tautan kembali ke asal
Parameter | Deskripsi |
Jika server origin Anda memerlukan waktu lama untuk memproses permintaan, yang dapat menyebabkan timeout, Anda dapat menyesuaikan pengaturan timeout koneksi baca dan tulis di WAF. | |
Mempertahankan koneksi persisten antara WAF dan server origin Anda. Jika Anda mengalami error 502 sesekali setelah menambahkan instans, periksa parameter terkait di server origin. Kami merekomendasikan menyetel parameter keep-alive WAF kurang dari atau sama dengan parameter sisi server yang sesuai. |
Setel timeout koneksi baca dan tulis
Di halaman Configure Instance, perluas Advanced Settings dan konfigurasikan item berikut:
Read Timeout: Periode timeout untuk menunggu respons dari server origin. Untuk antarmuka dengan waktu respons lama, seperti ekspor laporan atau pemrosesan data batch, Anda perlu meningkatkan parameter ini. Nilai default adalah 120 detik, dan rentang yang dapat dikonfigurasi adalah 1–3600 detik.
Write Timeout: Periode timeout untuk WAF mengirim permintaan ke server origin. Biasanya tidak perlu disesuaikan. Tingkatkan nilai ini hanya jika beban server origin tinggi dan memproses permintaan secara lambat. Nilai default adalah 120 detik, dan rentang yang dapat dikonfigurasi adalah 1–3600 detik.
- Penting
Jika fitur ini dinonaktifkan, koneksi keep-alive kembali ke asal tidak akan mendukung protokol WebSocket.
Di halaman Configure Instance, perluas Advanced Settings, aktifkan fitur di bagian Origin Keep-alive, dan konfigurasikan pengaturan berikut:
Max Requests per Connection: Nilai default adalah 1.000, dan rentang yang dapat dikonfigurasi adalah 60–1.000. Misalnya, jika server origin menggunakan Nginx, parameter ini sesuai dengan parameter Nginx
keepalive_requests. Untuk informasi lebih lanjut, lihat dokumentasi Nginx.Idle Timeout: Nilai default adalah 3600 detik, dan rentang yang dapat dikonfigurasi adalah 10–3600 detik. Misalnya, jika server origin menggunakan Nginx, parameter ini sesuai dengan parameter Nginx
keepalive_timeout.
Kontrol ukuran unggahan file
Max Body Size (Hanya tersedia di Edisi Ultimate)
Deskripsi: Secara default, WAF mendukung ukuran unggahan file maksimum 2 GB. Edisi Ultimate WAF memungkinkan Anda meningkatkan batas ini untuk mengakomodasi unggahan file besar.
Prosedur: Di halaman Add Now, perluas Advanced Settings dan konfigurasikan Max Body Size. Nilai default adalah 2 GB, dan maksimum adalah 10 GB. Setelah mengonfigurasi pengaturan ini, Anda juga harus meningkatkan nilai Read Timeout dan Write Timeout. Jika protokol listener port adalah HTTP/HTTPS, hubungi tim backend Alibaba Cloud CLB untuk mengoordinasikan penyesuaian parameter read connection timeout dan write connection timeout CLB.
Tingkatkan manajemen sumber daya
Resource Group
Deskripsi: Gunakan kelompok sumber daya untuk menyederhanakan manajemen sumber daya dan izin. Jika tidak ada kelompok sumber daya yang ditentukan, instans akan ditambahkan ke Default resource group. Untuk informasi lebih lanjut, lihat Kelompok sumber daya.
Prosedur: Di halaman Configure Instance, di bagian Resource Group, pilih kelompok sumber daya untuk instans dari daftar drop-down.
O&M harian
Perbarui sertifikat port perutean trafik
Anda harus memperbarui sertifikat untuk port perutean trafik ketika sertifikat akan kedaluwarsa atau telah diubah (misalnya, dicabut).
Langkah 1: Siapkan sertifikat baru
Beli sertifikat baru
Perpanjang Sertifikat SSL Anda di Konsol Certificate Management Service (Original SSL Certificate). Untuk informasi lebih lanjut, lihat Perpanjang Sertifikat SSL.
Unggah sertifikat eksternal
Unduh file sertifikat dari platform pembelian asli.
Buka halaman Upload Certificate dan klik Additional Certificate untuk mengunggah sertifikat dalam format PEM. Untuk informasi lebih lanjut, lihat Unggah sertifikat lokal.
Langkah 2: Ganti sertifikat lama
Listener asli: HTTP dan HTTPS
Di Konsol CLB, buat sertifikat dan pilih Purchase Certificate sebagai sumber sertifikat. Jangan pilih Upload. Untuk informasi lebih lanjut, lihat Buat sertifikat.
Di Konsol CLB, ubah konfigurasi listener untuk mengganti sertifikat server dengan sertifikat yang baru diunggah. Untuk informasi lebih lanjut, lihat Langkah 2: Konfigurasi Sertifikat SSL.
Listener asli: TCP
Di tab Cloud Native, pilih halaman Classic Load Balancer (CLB). Temukan instans target, klik ikon
, lalu di kolom Actions untuk port target, klik Modify.
Di bagian Default Certificate, pilih Select Existing Certificate dan pilih ulang sertifikat pengganti.
-
Jika sertifikat akan kedaluwarsa dalam waktu kurang dari 30 hari, WAF menampilkan ikon
di daftar domain untuk menunjukkan bahwa sertifikat akan segera kedaluwarsa. Perbarui sertifikat segera untuk menghindari gangguan layanan. -
Anda dapat mengatur notifikasi untuk Sertifikat SSL agar menerima peringatan kedaluwarsa melalui email, SMS, dan metode lainnya. Untuk informasi lebih lanjut, lihat Atur notifikasi pesan untuk Sertifikat SSL.
-
Untuk mencegah gangguan layanan akibat sertifikat kedaluwarsa, aktifkan layanan hosting sertifikat di Certificate Management Service (Original SSL Certificate) Alibaba Cloud. Layanan ini secara otomatis mengajukan sertifikat sebelum kedaluwarsa. Untuk informasi lebih lanjut, lihat Apa itu Layanan Hosting Sertifikat?.
Hapus instans
Nonaktifkan sementara proteksi WAF: Jika Anda mengalami masalah setelah menambahkan instans, seperti banyak false positive, dan perlu menonaktifkan sementara proteksi WAF, Anda dapat mematikan sakelar WAF Protection Status di halaman Protected Objects di Konsol WAF. Untuk informasi lebih lanjut, lihat Nonaktifkan proteksi WAF dengan satu klik.
Hapus instans: Jika Anda tidak lagi ingin menggunakan WAF untuk melindungi instans CLB, Anda dapat mengikuti langkah-langkah berikut untuk menghapusnya.
Di tab Cloud Native, pilih halaman Classic Load Balancer (CLB), temukan instans target, klik ikon
, klik Remove, lalu di kotak dialog Remove, klik OK.
-
Dampak layanan: Menghapus instans dari WAF dapat menyebabkan gangguan koneksi singkat selama beberapa detik. Lakukan proses ini pada jam sepi. Klien dengan fitur reconnect otomatis akan pulih tanpa dampak bisnis.
-
Menambahkan kembali proteksi: Setelah dihapus, trafik tidak lagi dilindungi. Klik Add Now untuk mengonfigurasi ulang port penerusan trafik.
-
Pengingat penagihan: Untuk instans WAF pay-as-you-go, biaya mencakup instans, aturan proteksi, dan biaya pemrosesan permintaan. Untuk menghentikan penagihan, Nonaktifkan WAF.
Tambahkan ulang instans setelah perubahan
WAF melindungi trafik bisnis melalui port perutean trafik instans CLB. Ketika instans CLB diubah oleh salah satu operasi berikut, konfigurasi port perutean trafik asli menjadi tidak valid, menyebabkan trafik melewati WAF dan membuatnya terpapar risiko jaringan publik:
Melepas instans CLB.
Menghapus port listener yang ditambahkan ke WAF.
Mengganti EIP yang terikat pada instans CLB.
Untuk memulihkan proteksi keamanan, Anda harus menambahkan ulang instans CLB di Konsol WAF.
Penerapan produksi
Untuk memastikan keamanan dan stabilitas di lingkungan produksi, kami merekomendasikan mengikuti praktik terbaik berikut saat menambahkan instans CLB produksi.
Konfigurasi HTTPS: Kami merekomendasikan mengonfigurasi port perutean trafik HTTPS: dan memperhatikan konfigurasi berikut untuk mengelola sertifikat secara efisien.
Unggah file sertifikat ke Certificate Management Service (Original SSL Certificate).
Kami merekomendasikan mengonfigurasi versi TLS ke TLS 1.2 atau yang lebih baru.
Atur notifikasi pesan untuk Sertifikat SSL agar memperbaruinya tepat waktu sebelum kedaluwarsa.
Strategi rilis canary: Utamakan menambahkan instans CLB non-produksi pada jam sepi. Setelah periode uji coba untuk memverifikasi bahwa layanan beroperasi normal, tambahkan instans CLB produksi.
Periksa kesehatan bisnis: Setelah menambahkan instans, Anda dapat memverifikasi bahwa layanan beroperasi normal dengan cara berikut.
Periksa log: Periksa apakah proporsi kode status 200 dalam log berfluktuasi signifikan, atau jika ada lonjakan atau penurunan mendadak dalam QPS. Jika layanan log WAF diaktifkan, Anda dapat memeriksa log WAF.
Pemantauan bisnis: Periksa apakah fungsi bisnis, seperti akses pengguna dan transaksi, beroperasi normal.
Pemeliharaan berkelanjutan: Setelah lingkungan produksi terhubung, diperlukan pemeliharaan berkelanjutan untuk memantau serangan dan false positive.
Penanganan event: Kami merekomendasikan memantau Laporan keamanan dan mengonfigurasi notifikasi CloudMonitor agar tetap mendapat informasi tentang serangan dan event keamanan secara tepat waktu.
Penyesuaian aturan: Terus pantau log serangan, analisis log untuk false positive di mana permintaan sah diblokir, dan optimalkan aturan proteksi sesuai kebutuhan.
Kuota dan batasan
Jumlah port: Jumlah total port perutean trafik yang dikonfigurasi tidak boleh melebihi batas edisi instans WAF Anda.
Instans WAF subscription: Edisi Basic mendukung hingga 300 port; Edisi Pro hingga 600 port; Edisi Enterprise hingga 2.500 port; Edisi Ultimate hingga 10.000 port.
Instans WAF pay-as-you-go: Hingga 10.000 port.
Persyaratan untuk instans CLB dengan listener HTTPS:
Sertifikat tidak boleh kedaluwarsa.
Hanya kebijakan keamanan TLS bawaan CLB yang didukung.
Sertifikat yang diunggah secara manual ke Konsol CLB tidak didukung.
Otentikasi timbal balik tidak dapat diaktifkan.
Persyaratan sertifikat: Sertifikat SM tidak didukung.
FAQ
Mengapa "Add Now" dinonaktifkan atau menampilkan pengecualian?
Listener TCP
Temukan instans CLB target, klik ikon
untuk memperluas detailnya, lalu tambahkan instans. Anda tidak dapat mengklik Add Now tanpa memperluas detailnya.
Pendengar HTTPS
Kemungkinan penyebab
Sertifikat telah kedaluwarsa.
Otentikasi timbal balik diaktifkan.
Sertifikat hanya diunggah secara manual ke Konsol CLB.
Solusi
Jika sertifikat telah kedaluwarsa, perbarui seperti yang dijelaskan dalam Perbarui sertifikat yang terikat pada port perutean trafik.
Jika otentikasi timbal balik diaktifkan, nonaktifkan sebelum menambahkan instans. Untuk informasi lebih lanjut, lihat Konfigurasi otentikasi timbal balik.
Jika sertifikat hanya diunggah secara manual ke Konsol CLB, lakukan operasi berikut:
Unggah sertifikat ke Certificate Management Service (Original SSL Certificate). Untuk informasi lebih lanjut, lihat Unggah Sertifikat SSL.
Di Konsol CLB, buat sertifikat dan pilih Purchase Certificate sebagai sumber sertifikat. Untuk informasi lebih lanjut, lihat Buat sertifikat.
Di Konsol CLB, konfigurasi listener untuk mengganti sertifikat server dengan sertifikat yang baru diunggah. Untuk informasi lebih lanjut, lihat Langkah 2: Konfigurasi Sertifikat SSL.
CatatanSaat Anda mengunggah sertifikat secara manual ke Konsol CLB, informasi sertifikat tidak disinkronkan secara otomatis ke Certificate Management Service. Karena WAF hanya mengambil informasi sertifikat dari Certificate Management Service, masalah ini terjadi.
Mengapa saya tidak dapat menemukan instans CLB saya?
Pertama, klik Synchronize Assets di pojok kanan atas halaman Onboarding.
Jika instans tetap tidak muncul, artinya tidak memenuhi persyaratan yang ditentukan dalam Kesesuaian. Misalnya, instans CLB di wilayah Di luar Tiongkok daratan harus ditambahkan ke instans WAF yang dibeli untuk wilayah Di luar Tiongkok daratan dalam mode cloud native. Atau, gunakan mode rekaman CNAME.

Bagaimana cara melindungi domain dengan beberapa instans CLB?
Gunakan mode cloud native: Anda perlu menambahkan masing-masing instans CLB ini satu per satu untuk memastikan bahwa WAF mengarahkan trafik ke semua instans target.
Gunakan mode rekaman CNAME: Tambahkan domain dalam mode rekaman CNAME dan konfigurasikan Alamat IP publik dari beberapa instans CLB sebagai alamat origin.
Bagaimana cara melindungi beberapa domain pada satu instans CLB?
Gunakan mode cloud native: Setelah menambahkan instans CLB ini, semua domain pada instans tersebut dilindungi oleh kebijakan proteksi WAF default. Namun, jika Anda perlu mengonfigurasi aturan proteksi berbeda untuk masing-masing domain tersebut, Anda harus menambahkannya secara manual sebagai objek yang dilindungi. Untuk informasi lebih lanjut, lihat Tambahkan manual objek yang dilindungi.
Gunakan mode rekaman CNAME: Tambahkan setiap domain satu per satu.