WAF 3.0 melindungi instans Application Load Balancer (ALB) Anda dari serangan web tanpa mengubah arsitektur jaringan atau konfigurasi DNS yang sudah ada. Perlindungan diaktifkan melalui SDK yang tertanam langsung di bidang data ALB—tanpa lompatan gerbang tambahan serta tanpa deviasi sertifikat atau konfigurasi antara WAF dan ALB.
Cara kerja
Saat trafik mencapai instans ALB Anda, SDK yang tertanam melakukan deteksi ancaman secara real-time dalam jalur penerusan. SDK tersebut memblokir permintaan serangan dan meneruskan permintaan yang valid ke server backend. Karena WAF tidak berpartisipasi dalam penerusan trafik sebagai gerbang terpisah, permintaan hanya melewati satu gerbang saja. Hal ini menghilangkan latensi akibat lompatan tambahan dan menghapus kebutuhan untuk menyinkronkan sertifikat serta paket sandi antara WAF dan ALB.
Prasyarat
Sebelum memulai, pastikan bahwa:
Akun yang sama: Instans ALB dan instans WAF berada dalam Akun Alibaba Cloud yang sama, kecuali jika Anda telah mengonfigurasi manajemen multi-akun.
Wilayah yang didukung: Instans ALB berada di salah satu wilayah berikut. Jika tidak, gunakan Mode rekaman CNAME sebagai gantinya.
Tipe instans yang didukung: Hanya instans ALB Edisi Dasar dan Standar dalam status Running yang dapat ditingkatkan ke edisi dengan WAF.
Verifikasi identitas: Lengkapi verifikasi identitas sebelum membeli instans ALB dengan WAF.
Wilayah yang didukung:
| Area | Wilayah |
|---|---|
| Tiongkok | Tiongkok (Chengdu), Tiongkok (Qingdao), Tiongkok (Beijing), Tiongkok (Guangzhou), Tiongkok (Hangzhou), Tiongkok (Ulanqab), Tiongkok (Shanghai), Tiongkok (Shenzhen), Tiongkok (Zhangjiakou), Tiongkok (Hong Kong) |
| Asia-Pasifik | Filipina (Manila), Indonesia (Jakarta), Jepang (Tokyo), Malaysia (Kuala Lumpur), Singapura, Thailand (Bangkok), Korea Selatan (Seoul) |
| Eropa dan Amerika | Jerman (Frankfurt), AS (Silicon Valley), AS (Virginia), Meksiko |
| Timur Tengah | SAU (Riyadh - Partner Region) |
Langkah 1: Buka halaman onboarding ALB
Masuk ke Konsol WAF 3.0. Pada bilah navigasi atas, pilih kelompok sumber daya dan Wilayah (Daratan Tiongkok atau Luar Daratan Tiongkok) untuk instans WAF Anda. Di panel navigasi kiri, klik Onboarding. Buka tab Cloud Native, lalu klik Application Load Balancer (ALB) dari daftar layanan cloud.Konsol Web Application Firewall 3.0
Langkah 2: Otorisasi layanan cloud (hanya pertama kali)
Jika ini pertama kalinya Anda menggunakan integrasi cloud-native, ikuti petunjuk di layar dan klik Authorize Now. Tindakan ini membuat peran terkait layanan AliyunServiceRoleForWAF, yang dapat Anda lihat di halaman Identities > Roles pada Konsol RAM.
Langkah 3: Tambahkan instans ALB
Di daftar sebelah kanan, temukan instans ALB yang ingin dilindungi dan klik Add Now di kolom Actions. Jika instans tidak muncul, klik Synchronize Assets di pojok kanan atas.
Saat status menampilkan Full Protection, instans berhasil ditambahkan.
Menambahkan instans ALB ke WAF secara otomatis meningkatkannya ke edisi dengan WAF. Hal ini menimbulkan biaya tambahan di sisi ALB.
Anda juga dapat menambahkan beberapa instans ALB sekaligus atau klik One-Click Onboarding untuk menambahkan semua instans sekaligus.
Langkah 4: Verifikasi bahwa perlindungan aktif
Masukkan domain website Anda diikuti string uji skrip lintas situs (XSS) di browser Anda:
<your-website-domain>/alert(xss)Jika WAF mengembalikan halaman error 405, berarti permintaan tersebut berhasil dicegat dan perlindungan telah aktif.
Penerapan di lingkungan produksi
Sebelum mengaktifkan WAF pada instans ALB produksi, uji terlebih dahulu dengan instans non-produksi. Mengaktifkan dan menghapus perlindungan WAF tidak mengganggu layanan, tetapi Anda harus memantau log dan kesehatan layanan untuk memastikan ketersediaan layanan.
Rencana peluncuran yang direkomendasikan:
Selama jam sepi, tambahkan instans ALB non-produksi ke WAF.
Pantau log dan metrik bisnis setidaknya selama satu siklus untuk memastikan stabilitas.
Tambahkan instans ALB produksi setelah memastikan tidak ada pemblokiran yang tidak diinginkan.
Pantau layanan Anda setelah diaktifkan:
| Yang harus diperiksa | Tool | Yang harus dicari |
|---|---|---|
| Log trafik | Log ALB | Penurunan signifikan pada kode status 200 atau lonjakan/menurun mendadak pada QPS |
| Trafik yang ditangani WAF | Log WAF | False positive — permintaan sah yang diblokir oleh WAF |
| Metrik bisnis | Tool pemantauan Anda | Akses pengguna, transaksi, dan layanan lain berjalan dengan benar |
Maintenance berkelanjutan:
Tinjau event keamanan: Pantau laporan keamanan dan konfigurasikan notifikasi Cloud Monitor agar tetap mengetahui serangan.
Sesuaikan aturan perlindungan: Tinjau log WAF untuk mengidentifikasi false positive dan sesuaikan aturan agar tidak memblokir permintaan bisnis yang sah.
Konfigurasi dan kelola aturan perlindungan
WAF secara otomatis membuat objek yang dilindungi dengan akhiran -alb dan mengaktifkan aturan perlindungan default, termasuk modul perlindungan inti. Lihat aturan tersebut di halaman Protection Configuration > Protected Objects.
Jika aturan default tidak memenuhi kebutuhan Anda, buat atau edit aturan perlindungan. Lihat Ikhtisar konfigurasi perlindungan.
Jika beberapa domain mengarah ke instans ALB yang sama dan Anda ingin aturan perlindungan berbeda untuk masing-masing domain, tambahkan domain tersebut secara manual sebagai objek yang dilindungi.
Nonaktifkan atau hapus perlindungan WAF
Nonaktifkan sementara perlindungan WAF
Jika Anda mengalami masalah seperti jumlah false positive yang tinggi, buka halaman Protected Objects di Konsol WAF dan matikan sakelar WAF Protection Status. Lihat Nonaktifkan perlindungan WAF dengan satu klik.
Hapus perlindungan WAF
Buka tab Cloud Native, klik Application Load Balancer (ALB) dari daftar layanan cloud, temukan instans target, lalu klik Remove di kolom Actions. Di kotak dialog yang muncul, klik OK.
Setelah dihapus, trafik ke instans ALB tidak lagi dilindungi WAF, dan laporan keamanan tidak akan mencakup data trafik tersebut.
Untuk instans pay-as-you-go: biaya pemrosesan permintaan berhenti setelah penghapusan, tetapi biaya penggunaan fitur tetap berlaku karena instans WAF dan aturan perlindungannya masih ada. Untuk menghentikan semua penagihan WAF, lihat Hentikan layanan WAF.
Aktifkan dan kelola perlindungan WAF di Konsol ALB
Anda juga dapat mengaktifkan dan mengelola perlindungan WAF dari Konsol ALB:
Batasan
| Batasan | Detail |
|---|---|
| Verifikasi identitas | Diperlukan sebelum membeli instans ALB dengan WAF |
| Tipe instans yang memenuhi syarat | Hanya instans ALB Edisi Dasar dan Standar dalam status Running |
| Container Service for Kubernetes (ACK) | Untuk mengaktifkan WAF pada instans ALB di ACK, lihat Gunakan instans ALB dengan WAF untuk melindungi aplikasi |
| Langganan — maksimum instans terintegrasi | Edisi Dasar: 300 / Edisi Pro: 600 / Edisi Perusahaan: 2.500 / Edisi Ultimate: 10.000 |
| Pay-as-you-go — maksimum instans terintegrasi | 10.000 |
| Fitur yang tidak didukung | Pencegahan kebocoran data; integrasi otomatis Web SDK untuk skenario anti-crawler di Bot Management |
FAQ
Mengapa saya tidak dapat menemukan instans ALB yang ingin ditambahkan?
Klik Synchronize Assets di pojok kanan atas halaman Onboarding terlebih dahulu.
Jika instans tetap tidak muncul, artinya instans tersebut tidak memenuhi prasyarat. Misalnya, instans ALB di luar Tiongkok daratan memerlukan instans WAF dalam grup wilayah yang sama untuk integrasi cloud-native. Jika wilayah Anda tidak didukung, gunakan Mode rekaman CNAME sebagai gantinya.
Satu domain mengarah ke beberapa instans ALB — bagaimana cara menambahkan perlindungan WAF?
Dalam mode cloud-native, tambahkan semua instans ALB tersebut ke WAF. Dalam mode rekaman CNAME, tambahkan domain tersebut dan konfigurasikan CNAME beberapa instans ALB sebagai alamat origin.
Beberapa domain mengarah ke instans ALB yang sama — bagaimana menerapkan aturan berbeda untuk masing-masing domain?
Setelah menambahkan instans ALB dalam mode cloud-native, semua domain di dalamnya dilindungi oleh kebijakan default. Untuk menerapkan aturan perlindungan berbeda per domain, tambahkan setiap domain secara manual sebagai objek yang dilindungi. Dalam mode rekaman CNAME, tambahkan setiap domain secara individual.
Apakah saya dapat menggunakan mode cloud-native dan mode rekaman CNAME secara bersamaan untuk domain yang sama pada instans ALB?
Tidak. Menggunakan kedua mode secara bersamaan menyebabkan konflik penerusan dan kegagalan perlindungan. Untuk mengalihkan domain dari mode rekaman CNAME ke mode cloud-native: arahkan kembali rekaman DNS Anda ke origin, tunggu perubahan DNS tersebar, hapus konfigurasi mode rekaman CNAME, lalu tambahkan instans ALB dalam mode cloud-native.
Apa perbedaan antara integrasi WAF 2.0 dan WAF 3.0 dengan ALB?
WAF 3.0 menggunakan SDK yang tertanam di instans ALB. SDK tersebut menangani ekstraksi trafik, deteksi, dan perlindungan tanpa berada di jalur penerusan, sehingga permintaan hanya melewati satu gerbang. Hal ini menghilangkan latensi akibat lompatan tambahan dan menghapus kebutuhan untuk menyinkronkan sertifikat serta paket sandi antara WAF dan ALB.
WAF 2.0 menggunakan proxy transparan. Trafik dialihkan melalui WAF, yang memblokir serangan dan meneruskan permintaan bersih ke origin. Permintaan melewati dua gerbang, sehingga Anda harus menjaga sinkronisasi konfigurasi seperti timeout dan sertifikat di kedua sisi.
Untuk perbandingan lengkap, lihat Bandingkan WAF 3.0 dengan WAF 2.0.