全部产品
Search

搜索本产品

    Web Application Firewall:Aktifkan perlindungan WAF untuk instans CLB

    文档中心

    Web Application Firewall:Aktifkan perlindungan WAF untuk instans CLB

    更新时间:Nov 25, 2025

    Lindungi instans Classic Load Balancer (CLB) yang menghadap publik dari serangan web dengan mengaktifkan Web Application Firewall (WAF) 3.0. Metode ini mengalihkan lalu lintas dari port tertentu ke WAF secara transparan untuk pemeriksaan, tanpa memerlukan perubahan pada arsitektur DNS atau jaringan Anda.

    Cara kerja

    • Cara kerja: WAF terintegrasi dengan instans CLB melalui metode proxy transparan. Anda hanya perlu mengonfigurasi port yang dilindungi pada instans CLB, dan sistem akan secara otomatis menyesuaikan kebijakan routing jaringan di lapisan bawah untuk mengarahkan seluruh lalu lintas HTTP/HTTPS pada port tersebut ke WAF guna pemeriksaan keamanan. Setelah WAF memeriksa lalu lintas dan memblokir permintaan berbahaya, permintaan sah diteruskan ke instans CLB asal.

    • Ruang lingkup perlindungan: Mencakup semua nama domain yang terkait dengan port yang dilindungi. Mendukung juga layanan yang diakses hanya melalui alamat IP publik (tanpa nama domain yang dikonfigurasi).

    • Protokol listener yang didukung: WAF terintegrasi dengan instans CLB yang memiliki listener HTTP, HTTPS, atau TCP. Untuk listener TCP, WAF hanya dapat melindungi lalu lintas HTTP/HTTPS pada port tersebut. WAF tidak mendukung penerusan atau perlindungan lalu lintas protokol non-HTTP/HTTPS, seperti FTP, SMTP, atau lalu lintas database.

    Catatan penggunaan

    Jika instans CLB Anda tidak memenuhi persyaratan berikut, gunakan onboarding berbasis CNAME.

    Persyaratan instance:

    • Instans harus merupakan instans yang menghadap publik atau instans privat dengan EIP yang terpasang.

    • Sebelum onboarding, Anda harus menambahkan listener ke instans CLB, dan protokol listener harus berupa HTTP, HTTPS, atau TCP.

    • Versi IP harus IPv4.

    • Instans CLB bersama (shared) tidak didukung.

    Persyaratan wilayah instance:

    • Instans WAF di Daratan Tiongkok: Tiongkok (Chengdu), Tiongkok (Beijing), Tiongkok (Zhangjiakou), Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Shenzhen), dan Tiongkok (Qingdao).

    • Instans WAF Luar daratan Tiongkok: Tiongkok (Hong Kong), Malaysia (Kuala Lumpur), Indonesia (Jakarta), dan Singapura.

    Penting

    Saat Anda menambahkan instans ke WAF, layanan web Anda mungkin mengalami gangguan koneksi singkat selama beberapa detik. Kami menyarankan melakukan operasi ini pada jam sepi dan memantau status layanan setelahnya. Jika klien atau layanan Anda memiliki mekanisme penyambungan ulang, gangguan ini akan terselesaikan secara otomatis dan tidak memengaruhi operasi bisnis Anda.

    Prosedur

    1. Buka konsol WAF.

      Login ke konsol Web Application Firewall 3.0. Di bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland) dari instans WAF. Di panel navigasi kiri, klik Onboarding. Klik tab Cloud Native. Dari daftar jenis layanan cloud di sebelah kiri, pilih Classic Load Balancer (CLB).

    2. Otorisasi produk cloud (Konfigurasi awal).

      Ikuti petunjuk di layar dan klik Authorize Now untuk memberikan izin yang diperlukan. Anda dapat melihat peran terkait layanan yang dibuat, AliyunServiceRoleForWAF, di halaman Roles konsol RAM.

    3. Onboard instans CLB.

      1. Di daftar sebelah kanan, temukan instans CLB target dan lihat status perlindungan WAF-nya. Klik ikon image.png untuk memperluas detailnya. Pilih port yang akan dilindungi dan klik Add Now di kolom Actions.

        • Jika Anda tidak menemukan instans target, klik Synchronize Assets di pojok kanan atas. Jika instans tetap tidak muncul, berarti instans tersebut tidak memenuhi Persyaratan.

        • Jika tombol Add Now tidak tersedia atau statusnya Protection Exception, rujuk bagian FAQ.image

      2. Lakukan langkah-langkah berikut berdasarkan protokol port yang sedang di-onboard.

        HTTP/HTTPS

        Di halaman Configure Instance, untuk menyesuaikan pengaturan seperti Apakah proxy Layer 7 seperti Anti-DDoS Proxy atau CDN ditempatkan di depan WAF atau traffic tag, lihat Dapatkan alamat IP asli klien. Untuk menyesuaikan origin timeout atau origin keep-alive, lihat Optimalkan koneksi back-to-origin. Jika tidak diperlukan penyesuaian, klik OK untuk menerapkan konfigurasi default.

        Catatan

        Jika protokolnya HTTPS, Anda harus mengonfigurasi pengaturan terkait sertifikat di sisi CLB. Anda tidak perlu mengonfigurasi sertifikat di konsol WAF.

        TCP

        Di halaman Configure Instance, pilih Protocol Type untuk lalu lintas pada port tersebut.

        HTTP

        Untuk menyesuaikan Apakah proxy Layer 7 seperti Anti-DDoS Proxy atau CDN ditempatkan di depan WAF, lihat Dapatkan alamat IP asli klien. Untuk menyesuaikan origin timeout atau origin keep-alive , lihat Optimalkan koneksi back-to-origin. Jika tidak diperlukan penyesuaian, klik OK untuk menerapkan konfigurasi default.

        HTTPS

        1. Anda dapat menyesuaikan pengaturan seperti HTTP/2, Versi TLS, cipher suite, atau sertifikat tambahan. Untuk informasi lebih lanjut, lihat Tingkatkan keamanan (HTTPS). Jika tidak, pertahankan pengaturan default untuk bidang lainnya.

        2. Di area Default Certificate, pilih metode unggah sertifikat:

          • Manual Upload: Pilih opsi ini jika sertifikat Anda tidak berada di Certificate Management Service (Original SSL Certificate) Alibaba Cloud.

          • Select Existing Certificate: Pilih sertifikat yang diterbitkan atau diunggah di Certificate Management Service (Original SSL Certificate) Alibaba Cloud.

            Manual Upload

            • Certificate Name: Masukkan nama unik untuk sertifikat tersebut.

            • Certificate File: Buka file sertifikat di editor teks dan tempel seluruh isi sertifikat. Sertifikat harus dalam format PEM, CER, atau CRT.

              Contoh format: -----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----

              • Konversi format: Jika sertifikat Anda dalam format seperti PFX atau P7B, gunakan tool sertifikat untuk mengonversinya ke format PEM.

              • Rantai sertifikat: Jika mencakup sertifikat perantara, gabungkan sertifikat server dan sertifikat perantara secara berurutan, lalu tempel konten gabungan tersebut.

            • Private Key: Buka file kunci privat di editor teks dan tempel isinya dalam format PEM.

              Contoh format: -----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----

            Select Existing Certificate

            Dari daftar drop-down sertifikat, pilih sertifikat yang ingin Anda unggah ke WAF.

            Catatan

            Jika konsol WAF menampilkan pesan "Failed to verify the integrity of the certificate chain. If you use this certificate, service access may be affected.", hal ini menunjukkan adanya masalah pada rantai sertifikat. Verifikasi bahwa sertifikat benar dan lengkap, lalu unggah ulang di konsol Certificate Management Service. Untuk informasi lebih lanjut, lihat Unggah, sinkronkan, dan bagikan sertifikat SSL.

        3. Untuk menyesuaikan pengaturan seperti Apakah proxy Layer 7 seperti Anti-DDoS Proxy atau CDN ditempatkan di depan WAF atau traffic tag, lihat Dapatkan alamat IP asli klien. Untuk menyesuaikan origin timeout atau origin keep-alive, lihat Optimalkan koneksi back-to-origin. Jika tidak diperlukan penyesuaian, klik OK untuk menerapkan konfigurasi default.

    4. Verifikasi perlindungan.

      Setelah onboarding selesai, verifikasi bahwa perlindungan WAF aktif dengan mengunjungi website yang di-host di instans CLB melalui browser dan menambahkan muatan uji serangan web ke URL-nya (misalnya, http://yourdomain/alert(xss)). Jika WAF mengembalikan halaman blokir 405-nya, berarti serangan berhasil dicegat.

    5. Lihat dan konfigurasi aturan perlindungan.

      Setelah onboarding, WAF secara otomatis membuat objek yang dilindungi bernama instance-id-port-asset-type dan mengaktifkan modul aturan perlindungan, seperti aturan perlindungan inti web, untuk objek tersebut secara default. Anda dapat melihatnya di halaman Protection Configuration > Protected Objects. Jika aturan default tidak memenuhi kebutuhan Anda (misalnya, jika Anda perlu menambahkan alamat IP tertentu ke daftar putih agar semua permintaannya diizinkan), Anda dapat membuat atau mengedit aturan perlindungan. Untuk informasi lebih lanjut, lihat Ikhtisar konfigurasi perlindungan.

      image

    Penting

    Tingkatkan keamanan (HTTPS)

    Catatan

    Anda hanya dapat mengonfigurasi opsi terkait HTTPS jika protokol port adalah TCP dan lalu lintas yang ditanganinya adalah HTTPS.

    Parameter

    Deskripsi

    HTTP/2

    Menggunakan protokol HTTP/2 untuk meningkatkan kecepatan pemuatan halaman, mengurangi latensi, dan meningkatkan pengalaman pengguna. Jika website Anda mendukung HTTP/2, aktifkan fitur ini. Setelah diaktifkan, HTTP/2 dan HTTPS menggunakan port yang sama.

    Versi TLS

    Menentukan versi TLS yang diizinkan antara klien dan WAF. Versi yang lebih tinggi menawarkan keamanan lebih kuat tetapi mungkin memiliki kompatibilitas lebih rendah dengan klien lama. Untuk skenario keamanan tinggi, kami merekomendasikan memilih TLS 1.2 atau yang lebih baru.

    Cipher suite

    Menentukan algoritma enkripsi yang diizinkan antara klien dan WAF. Paket sandi yang kuat memberikan keamanan tinggi tetapi mungkin memiliki kompatibilitas rendah dengan klien lama. Untuk skenario keamanan tinggi, kami merekomendasikan memilih paket sandi yang kuat.

    Sertifikat tambahan

    Jika instans CLB meng-host website HTTPS untuk banyak nama domain dan satu sertifikat tidak mencakup semuanya, Anda harus mengunggah sertifikat yang sesuai untuk setiap nama domain.

    • HTTP/2

      Di halaman Configure Instance, aktifkan HTTP/2.

    • Versi TLS

      Di halaman Configure Instance, pilih opsi dari bagian TLS Version.

      • TLS 1.0 and Later (Best Compatibility and Low Security): Mengizinkan akses dari semua klien lama.

      • TLS 1.1 and Later (High Compatibility and High Security): Mencegah klien yang menggunakan TLS 1.0 mengakses website.

      • TLS 1.2 and Later (High Compatibility and Best Security): Memenuhi persyaratan kepatuhan keamanan terbaru tetapi mencegah klien yang menggunakan TLS 1.0 atau 1.1 mengakses website.

      • Support TLS 1.3: Pilih opsi ini jika website Anda mendukung protokol TLS 1.3. Secara default, WAF tidak mendengarkan permintaan klien yang menggunakan TLS 1.3.

    • Cipher suite

      Di halaman Configure Instance, pilih opsi dari bagian Cipher Suite.

      • All Cipher Suites (High Compatibility and Low Security)

      • Custom Cipher Suite (Select It based on protocol version. Proceed with caution.): Jika website Anda hanya mendukung paket sandi tertentu, pilih opsi ini lalu pilih paket yang didukung dari daftar.

        Paket sandi kuat

        Paket sandi lemah

        • ECDHE-ECDSA-AES128-GCM-SHA256

        • ECDHE-ECDSA-AES256-GCM-SHA384

        • ECDHE-ECDSA-AES128-SHA256

        • ECDHE-ECDSA-AES256-SHA384

        • ECDHE-RSA-AES128-GCM-SHA256

        • ECDHE-RSA-AES256-GCM-SHA384

        • ECDHE-RSA-AES128-SHA256

        • ECDHE-RSA-AES256-SHA384

        • ECDHE-ECDSA-AES128-SHA

        • ECDHE-ECDSA-AES256-SHA

        • AES128-GCM-SHA256

        • AES256-GCM-SHA384

        • AES128-SHA256

        • AES256-SHA256

        • ECDHE-RSA-AES128-SHA

        • ECDHE-RSA-AES256-SHA

        • AES128-SHA

        • AES256-SHA

        • DES-CBC3-SHA

        Catatan

        • Rekomendasi keamanan cipher suite: Paket sandi ECDHE-RSA-AES128-SHA256 dan ECDHE-RSA-AES256-SHA384 menggunakan ECDHE untuk pertukaran kunci, RSA untuk autentikasi, dan mode enkripsi AES-CBC. Dibandingkan dengan paket yang menggunakan mode enkripsi terautentikasi seperti AES-GCM, paket ini menawarkan keamanan dan performa lebih rendah. Beberapa tool pemindaian keamanan mungkin menandainya sebagai paket sandi lemah. Jika hal ini terjadi, pilih kebijakan paket sandi kustom dan secara manual kecualikan kedua paket ini.

        • Standar penamaan cipher suite: Paket sandi memiliki standar penamaan berbeda. WAF menampilkan paket sandi menggunakan format OpenSSL, sedangkan beberapa tool pemindaian mungkin menggunakan standar Internet Assigned Numbers Authority (IANA). Misalnya, ECDHE-ECDSA-AES256-GCM-SHA384 dalam OpenSSL sesuai dengan TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 dalam standar IANA. Untuk mencari nama yang sesuai dengan cepat, kunjungi ciphersuite.info atau gunakan tool pencarian TLS lainnya.

    • Sertifikat tambahan

      Di halaman Configure Instance, Anda dapat mengunggah sertifikat di bagian Additional Certificate. Metode unggahnya sama seperti sertifikat default. Untuk informasi lebih lanjut, lihat Default Certificate.

      Catatan

      Saat Anda menambahkan banyak sertifikat tambahan, semua sertifikat harus valid. Jika ada sertifikat yang kedaluwarsa, operasi gagal.

    Dapatkan alamat IP asli klien

    Parameter

    Deskripsi

    Apakah proxy Layer 7 (seperti Anti-DDoS atau CDN) ditempatkan di depan WAF?

    Jika Anda menempatkan proxy Layer 7 seperti CDN di depan WAF, Anda harus mengatur Obtain Actual IP Address of Client agar WAF dapat memperoleh alamat IP klien asli untuk analitik keamanan, seperti mengidentifikasi Attacker IP Address serangan dalam Security Reports.

    Enable Traffic Tag

    Membantu server origin membedakan permintaan yang telah melewati WAF dan memperoleh alamat IP atau port asal klien.

    Gunakan header X-Forwarded-Proto untuk mengidentifikasi protokol listener WAF

    Secara default, WAF menyisipkan header X-Forwarded-Proto ke permintaan HTTP yang diprosesnya. Header ini mengidentifikasi protokol yang digunakan klien untuk terhubung ke proxy Layer 7 terdekat. Jika aplikasi web Anda perlu memproses header ini, konfigurasikan sesuai kebutuhan.

    • Is a Layer 7 proxy such as Anti-DDoS Proxy or CDN deployed in front of WAF

      Di halaman Configure Instance, konfigurasikan pengaturan di bagian Is a Layer 7 proxy such as Anti-DDoS Proxy or CDN deployed in front of WAF. Opsi yang tersedia:

      Tidak, tidak ada proxy lain

      Menunjukkan bahwa permintaan bisnis yang diterima WAF langsung berasal dari klien.

      Ya, ada proxy lain

      Pengaturan ini menunjukkan bahwa WAF menerima permintaan bisnis dari layanan proxy Layer 7 lain. Anda juga harus mengonfigurasi Obtain Actual IP Address of Client.

      • Use the First IP Address in X-Forwarded-For Field as Actual IP Address of Client

        Setelah memilih opsi ini, WAF memperoleh IP klien dengan urutan berikut:

        1. Membaca X-Real-IP dari header permintaan sebagai IP klien.

        2. Jika X-Real-IP tidak ada, WAF menggunakan alamat IP pertama di X-Forwarded-For (XFF) sebagai IP klien.

      • [Recommended] Use the First IP Address in Specified Header Field as Actual IP Address of Client to Prevent X-Forwarded-For Forgery

        Catatan

        Anda dapat mengonfigurasi layanan proxy lain untuk menulis alamat IP asal klien ke field Header tertentu (seperti X-Real-IP atau X-Client-IP) dan memilih konfigurasi ini untuk mencegah penyerang melewati WAF dengan memalsukan field XFF.

        Di kotak Header Field, masukkan satu atau beberapa field header dan tekan Enter setelah setiap field. WAF memperoleh IP klien dari field-field ini dengan urutan berikut:

        1. Mencocokkan Header Field yang dikonfigurasi secara berurutan.

        2. Jika tidak ada Header yang ditentukan, WAF mencoba membaca field X-Real-IP.

        3. Jika masih tidak ada hasil, WAF menggunakan alamat IP pertama di XFF sebagai IP klien.

    • Di halaman Configure Instance, perluas Advanced Settings, pilih Enable Traffic Tag, dan konfigurasikan field penanda berikut:

      • Custom Header: Anda dapat mengonfigurasi WAF untuk menambahkan header kustom ke permintaan ke server asal dengan menentukan Header Name dan Header Value. Ini memungkinkan server Anda untuk mengidentifikasi permintaan yang diteruskan oleh WAF. Misalnya, Anda dapat mengatur header ke WAF-TAG: Yes, di mana WAF-TAG adalah nama header dan Yes adalah nilai header. Server Anda kemudian dapat menggunakan bidang ini untuk menerapkan kebijakan validasi atau kontrol akses untuk meningkatkan keamanan dan identifikasi permintaan.

        Penting

        Jangan masukkan field header HTTP standar, seperti User-Agent. Jika tidak, konten field header standar akan ditimpa oleh nilai field kustom.

      • Originating IP Address: Menentukan field header yang berisi alamat IP asal klien. WAF mencatat field header ini dan meneruskannya ke server origin. Untuk informasi lebih lanjut tentang cara WAF menentukan alamat IP asal klien, lihat deskripsi parameter Apakah proxy Layer 7 (seperti Anti-DDoS atau CDN) ditempatkan di depan WAF?.

      • Source Port: Menentukan nama field header yang berisi port sumber klien. WAF mencatat field header ini dan meneruskannya ke server origin.

    • Di halaman Configure Instance, perluas Advanced Settings. Jika diperlukan, pilih Obtain the listening protocol of WAF by using the X-Forwarded-Proto header field.

    Optimalkan koneksi back-to-origin

    Parameter

    Deskripsi

    Atur timeout koneksi baca dan tulis

    Jika server origin memerlukan waktu lama untuk memproses permintaan sehingga menyebabkan timeout, Anda dapat mengonfigurasi timeout baca dan tulis WAF.

    Koneksi persisten back-to-origin

    Mengonfigurasi kemampuan untuk mempertahankan koneksi jangka panjang antara WAF dan server origin. Jika Anda mengalami error 502 sesekali setelah menambahkan layanan, periksa parameter terkait server origin. Kami merekomendasikan agar nilai parameter koneksi persisten WAF diatur kurang dari atau sama dengan nilai parameter yang sesuai di server origin.

    • Atur timeout koneksi baca dan tulis

      Di halaman Configure Instance, perluas bagian Advanced Settings dan atur parameter berikut:

      • Read Connection Timeout Period: Menentukan timeout untuk menerima respons dari server origin. Untuk operasi yang memerlukan waktu respons lama, seperti ekspor laporan atau pemrosesan data batch, Anda mungkin perlu menambah nilai ini. Nilai default adalah 120 detik, dan nilainya dapat berkisar antara 1 hingga 3.600 detik.

      • Write Connection Timeout Period: Parameter ini menentukan periode timeout untuk permintaan yang dikirim WAF ke server origin. Anda tidak perlu menyesuaikan parameter ini dalam kebanyakan kasus. Namun, Anda dapat menambah nilainya jika beban server origin sangat tinggi dan menyebabkan pemrosesan permintaan lambat. Nilai default adalah 120 detik, dan rentang yang dapat dikonfigurasi adalah 1 hingga 3.600 detik.

    • Penting

      Jika Anda menonaktifkan fitur ini, origin keep tidak mendukung protokol WebSocket.

      Di halaman Configure Instance, perluas Advanced Settings. Di bagian Back-to-origin Keep-alive Requests, aktifkan fitur ini dan konfigurasikan pengaturan berikut:

      • Max Requests per Connection: Nilainya dapat berupa bilangan bulat antara 60 hingga 1.000. Nilai default adalah 1.000. Misalnya, jika server origin menggunakan Nginx, parameter ini sesuai dengan parameter Nginx keepalive_requests. Untuk informasi lebih lanjut, lihat dokumentasi Nginx.

      • Timeout Period of Idle Keep-alive Requests: Nilai default adalah 3.600 detik. Nilainya dapat diatur dalam rentang 10 hingga 3.600 detik. Misalnya, jika server origin menggunakan Nginx, parameter ini sesuai dengan parameter Nginx keepalive_timeout.

    Tingkatkan efisiensi manajemen sumber daya

    Resource Group

    • Deskripsi: Menyederhanakan manajemen sumber daya dan konfigurasi izin untuk meningkatkan efisiensi manajemen. Jika tidak ada kelompok sumber daya yang ditentukan, instans akan ditambahkan ke Default Resource Group. Untuk informasi lebih lanjut, lihat Kelompok sumber daya.

    • Prosedur: Di halaman Configure Instance, di bagian Resource Group, pilih kelompok sumber daya untuk instans dari daftar drop-down.

    O&M harian

    Perbarui sertifikat untuk port pengalihan lalu lintas

    Jika sertifikat akan kedaluwarsa atau berubah karena alasan lain, seperti dicabut, Anda harus memperbarui sertifikat yang terikat ke port pengalihan lalu lintas.

    Langkah 1: Siapkan sertifikat baru

    Beli sertifikat baru dari Alibaba Cloud

    Perpanjang sertifikat SSL di konsol Certificate Management Service (Original SSL Certificate). Untuk informasi lebih lanjut, lihat Perpanjang sertifikat SSL.

    Unggah sertifikat baru yang dibeli dari platform lain ke Alibaba Cloud

    1. Unduh file sertifikat dari platform tempat Anda membelinya.

    2. Buka halaman Upload Certificate. Klik Upload Certificate untuk mengunggah sertifikat dalam format PEM. Untuk informasi lebih lanjut, lihat Unggah sertifikat lokal.

    Langkah 2: Ganti sertifikat lama

    Protokol CLB asli adalah HTTP/HTTPS

    1. Di konsol CLB, buat sertifikat dan pilih Alibaba Cloud Certificates sebagai sumber sertifikat. Jangan pilih sertifikat yang tidak dikeluarkan oleh Alibaba Cloud. Untuk informasi lebih lanjut, lihat Buat sertifikat.

    2. Di konsol CLB, ubah konfigurasi listener untuk mengganti sertifikat server dengan sertifikat yang baru diunggah. Untuk informasi lebih lanjut, lihat Langkah 2: Konfigurasi sertifikat SSL.

    Protokol CLB asli adalah TCP

    1. Di tab Cloud Native, pilih tab Classic Load Balancer (CLB). Temukan instans target, klik ikon image.png, lalu di kolom Actions untuk port target, klik Modify.image

    2. Di bagian Default Certificate, pilih Select Existing Certificate, lalu pilih sertifikat pengganti.

    Catatan

    • Saat sertifikat memiliki masa berlaku kurang dari 30 hari kalender, WAF menampilkan ikon image.png di daftar catatan untuk menunjukkan bahwa sertifikat akan segera kedaluwarsa. Anda harus segera memperbaruinya untuk menghindari gangguan operasi bisnis normal.

    • Anda dapat mengatur pengingat pesan sertifikat SSL untuk menerima notifikasi melalui email, pesan teks, dan metode lain sebelum sertifikat kedaluwarsa. Untuk informasi lebih lanjut, lihat Atur notifikasi pesan untuk sertifikat SSL.

    • Untuk menghindari gangguan bisnis akibat sertifikat kedaluwarsa, aktifkan layanan penyimpanan sertifikat Alibaba Cloud Certificate Management Service (Original SSL Certificate). Layanan ini secara otomatis meminta sertifikat sebelum kedaluwarsa. Untuk informasi lebih lanjut, lihat Apa itu Layanan Penyimpanan Sertifikat?.

    Nonaktifkan sementara/hapus instans

    • Nonaktifkan sementara perlindungan WAF: Jika Anda mengalami masalah setelah onboarding, seperti jumlah positif palsu yang tinggi, Anda dapat mematikan sakelar WAF Protection Status di halaman Protected Objects di konsol WAF. Untuk informasi lebih lanjut, lihat Nonaktifkan perlindungan WAF dengan satu klik.

    • Hapus instans: Jika Anda tidak lagi ingin menggunakan WAF untuk melindungi instans CLB, ikuti langkah-langkah berikut untuk menghapusnya.

      Di tab Cloud Native, klik tab Classic Load Balancer (CLB). Temukan instans target, klik ikon image.png, lalu klik Remove. Di kotak dialog Remove, klik OK.image

    Penting

    • Dampak bisnis: Menghapus instans dari WAF dapat menyebabkan gangguan koneksi selama beberapa detik. Kami menyarankan melakukan operasi ini pada jam sepi dan memantau layanan Anda setelahnya. Jika klien atau layanan Anda memiliki mekanisme penyambungan ulang yang efektif, koneksi akan dipulihkan secara otomatis dan tidak akan memengaruhi operasi bisnis Anda.

    • Onboarding ulang: Setelah aset dihapus, lalu lintasnya tidak lagi dilindungi oleh WAF. Klik Add Now untuk mengonfigurasi ulang port pengalihan lalu lintas.

    • Penagihan: Untuk instans WAF pay-as-you-go, Anda dikenai biaya berdasarkan pemrosesan permintaan dan fitur, termasuk instans dan aturan perlindungan. Jika Anda ingin berhenti menggunakan WAF dan menghentikan semua penagihan terkait, lihat Nonaktifkan WAF.

    Tambahkan kembali instans CLB ke WAF setelah perubahan

    WAF melindungi lalu lintas layanan melalui port pengalihan lalu lintas instans CLB. Jika instans CLB diubah karena salah satu operasi berikut, konfigurasi port pengalihan lalu lintas asli menjadi tidak valid. Hal ini menyebabkan lalu lintas layanan melewati WAF dan terpapar ancaman jaringan publik:

    • Melepas instans CLB.

    • Menghapus port listener yang telah ditambahkan ke WAF.

    • Mengganti EIP yang terpasang ke instans CLB.

    Untuk memulihkan perlindungan keamanan, Anda harus menambahkan kembali instans CLB yang telah dimodifikasi ke konsol WAF.

    Terapkan di lingkungan produksi

    Untuk memastikan keamanan dan stabilitas di lingkungan produksi, kami merekomendasikan mengikuti praktik terbaik berikut saat menambahkan instans CLB produksi.

    • Konfigurasi HTTPS: Konfigurasikan port pengalihan lalu lintas HTTPS dan gunakan konfigurasi berikut untuk manajemen sertifikat yang efisien.

      • Unggah file sertifikat ke Certificate Management Service (Original SSL Certificate).

      • Atur versi TLS ke TLS 1.2 atau lebih baru.

      • Atur notifikasi untuk sertifikat SSL agar segera memperbaruinya saat akan kedaluwarsa.

    • Strategi canary release: Pertama, tambahkan instans CLB non-produksi pada jam sepi. Setelah menjalankannya selama periode tertentu dan memastikan layanan normal, Anda dapat menambahkan instans CLB produksi.

    • Periksa layanan: Setelah onboarding selesai, pastikan layanan Anda normal dengan cara berikut:

      • Periksa log: Periksa fluktuasi signifikan pada persentase kode status 200 di log Anda dan cari lonjakan atau penurunan mendadak pada QPS. Jika Anda telah mengaktifkan layanan log WAF, lihat Log WAF.

      • Pemantauan aplikasi: Periksa apakah fungsi inti aplikasi, seperti akses pengguna dan transaksi, berjalan normal.

    • Maintenance: Setelah onboarding di lingkungan produksi, diperlukan maintenance berkelanjutan untuk memantau serangan dan event positif palsu.

      • Penanganan event: Periksa Laporan Keamanan dan konfigurasikan notifikasi CloudMonitor untuk tetap mengetahui serangan dan event keamanan.

      • Penyesuaian aturan: Pantau terus log serangan untuk menganalisis apakah permintaan pengguna sah secara keliru diblokir dan optimalkan aturan perlindungan sesuai kebutuhan.

    Batasan

    • Jumlah port: Jumlah total port penerusan lalu lintas yang dikonfigurasi tidak boleh melebihi batas langganan instans WAF Anda.

      • Instans langganan WAF: Edisi Dasar (300). Pro (600). Enterprise (2.500). Ultimate (10.000).

      • Instans WAF pay-as-you-go: 10.000.

    • Persyaratan untuk instans CLB dengan listener HTTPS:

      • Sertifikat tidak boleh kedaluwarsa.

      • Hanya kebijakan keamanan TLS bawaan CLB yang didukung.

      • Sertifikat yang diunggah secara manual ke konsol CLB tidak didukung.

      • Otentikasi timbal balik tidak dapat diaktifkan.

    • Persyaratan sertifikat: Sertifikat SM tidak didukung.

    FAQ

    Apa yang harus saya lakukan jika tombol "Add Now" berwarna abu-abu atau statusnya "Protection Abnormal"?

    Protokol adalah TCP

    Temukan instans CLB target. Anda harus mengklik ikon image.png untuk memperluas detail instans sebelum mengklik Add Now.image

    Protokol adalah HTTPS

    • Kemungkinan penyebab

      • Sertifikat telah kedaluwarsa.

      • Otentikasi timbal balik diaktifkan.

      • Sertifikat diunggah secara manual ke konsol CLB.

    • Solusi

      • Jika sertifikat telah kedaluwarsa, lihat Perbarui sertifikat untuk port pengalihan lalu lintas untuk memperbaruinya.

      • Jika otentikasi timbal balik diaktifkan, nonaktifkan sebelum menambahkan instans. Untuk informasi lebih lanjut, lihat Konfigurasi otentikasi timbal balik.

      • Jika sertifikat diunggah secara manual ke konsol CLB, lakukan operasi berikut:

        1. Unggah sertifikat ke Certificate Management Service (Original SSL Certificate). Untuk informasi lebih lanjut, lihat Unggah sertifikat SSL.

        2. Di konsol CLB, Anda dapat membuat sertifikat dan mengatur sumber sertifikat ke Alibaba Cloud Certificates. Untuk informasi lebih lanjut, lihat Buat sertifikat.

        3. Di konsol CLB, konfigurasikan listener untuk mengganti sertifikat server dengan sertifikat yang baru diunggah. Untuk informasi lebih lanjut, lihat Langkah 2: Konfigurasi sertifikat SSL.

        Catatan

        Saat sertifikat diunggah secara manual ke konsol CLB, informasi sertifikat tidak disinkronkan secara otomatis ke Certificate Management Service. Masalah ini terjadi karena WAF hanya mengambil informasi sertifikat dari Certificate Management Service.

    Mengapa saya tidak dapat menemukan instans CLB yang ingin saya tambahkan?

    Pertama, di halaman Onboarding, klik Synchronize Assets di pojok kanan atas.image

    Jika Anda masih tidak dapat menemukan instans tersebut, berarti instans tidak memenuhi Persyaratan. Misalnya, instans CLB di wilayah Luar daratan Tiongkok harus ditambahkan ke instans WAF yang dibeli untuk wilayah Luar daratan Tiongkok menggunakan mode cloud native, atau Anda harus menggunakan mode rekaman CNAME.

    image

    Bagaimana cara menambahkan nama domain yang di-resolve ke banyak instans CLB?

    • Gunakan mode cloud native: Anda harus menambahkan setiap instans CLB ini satu per satu untuk memastikan WAF mengarahkan lalu lintas ke semua instans target.

    • Gunakan mode rekaman CNAME: Tambahkan nama domain ini menggunakan provisioning berbasis CNAME dan konfigurasikan alamat IP publik dari banyak instans CLB sebagai alamat server origin.

    Bagaimana cara menambahkan banyak domain yang di-resolve ke instans CLB yang sama?

    • Gunakan mode cloud native: Setelah menambahkan instans CLB ini, semua nama domain pada instans tersebut dilindungi oleh kebijakan perlindungan default WAF. Namun, untuk mengonfigurasi aturan perlindungan berbeda untuk nama domain tersebut, Anda harus menambahkan setiap nama domain secara manual sebagai objek yang dilindungi. Untuk informasi lebih lanjut, lihat Tambahkan objek yang dilindungi secara manual.

    • Gunakan mode rekaman CNAME: Tambahkan banyak nama domain tersebut satu per satu.