全部产品
Search

搜索本产品

    Web Application Firewall:Aktifkan perlindungan WAF untuk instance ECS

    文档中心

    Web Application Firewall:Aktifkan perlindungan WAF untuk instance ECS

    更新时间:Sep 22, 2025

    Untuk melindungi instance Elastic Compute Service (ECS) yang menghadap publik dari serangan web, aktifkan perlindungan Web Application Firewall (WAF 3.0). Pendekatan ini terintegrasi tanpa memerlukan perubahan pada arsitektur jaringan atau konfigurasi DNS yang ada. Cukup konfigurasikan port pengalihan lalu lintas, dan lalu lintas publik pada port tersebut akan diarahkan melalui WAF untuk inspeksi dan penyaringan, memberikan keamanan yang efisien dan transparan.

    Cara kerjanya

    WAF melindungi instance ECS menggunakan proxy transparan. Anda hanya perlu mengonfigurasi port pengalihan lalu lintas untuk instance ECS tersebut. Sistem kemudian secara otomatis menyesuaikan kebijakan pengaturan rute jaringan dasar untuk mengarahkan semua lalu lintas HTTP/HTTPS pada port tersebut ke WAF untuk inspeksi keamanan. Setelah memblokir permintaan berbahaya, WAF meneruskan permintaan sah ke instance ECS asal. Metode ini melindungi semua domain pada port tersebut dan mendukung layanan yang menggunakan alamat IP publik tetapi tidak memiliki nama domain.

    Prasyarat

    Jika instance ECS Anda tidak memenuhi persyaratan berikut, gunakan tipe koneksi CNAME.

    • Alamat IP Publik: Instance harus memiliki alamat IP publik, baik statis maupun Elastic IP Address (EIP). Metode ini tidak mendukung instance yang mengakses Internet melalui Gateway NAT tanpa alamat IP publik.

    • Akun: Instance dan instance WAF harus milik Akun Alibaba Cloud yang sama, kecuali jika fitur manajemen multi-akun telah dikonfigurasi.

    • Wilayah:

      • Instance WAF di Daratan Tiongkok: China (Chengdu), China (Beijing), China (Zhangjiakou), China (Hangzhou), China (Shanghai), China (Shenzhen), dan China (Qingdao).

      • Instance WAF Luar daratan Tiongkok: China (Hong Kong), Malaysia (Kuala Lumpur), Indonesia (Jakarta), dan Singapura.

    Penting

    Layanan web Anda mungkin mengalami gangguan koneksi singkat selama beberapa detik saat menambahkan instance ke WAF. Lakukan operasi ini selama jam sepi dan pantau layanan Anda setelahnya. Jika klien atau layanan Anda memiliki mekanisme rekoneksi yang efektif, koneksi akan dipulihkan secara otomatis tanpa memengaruhi bisnis Anda.

    Konfigurasi Dasar

    Setelah memastikan bahwa instance Anda memenuhi prasyarat, mulailah konfigurasi dasar. Lihat bagian Pengaturan Lanjutan untuk mengonfigurasi versi TLS, sertifikat ganda, permintaan keep-alive, dan identifikasi lalu lintas untuk mendapatkan IP klien nyata di balik proxy Layer 7.

    1. Pergi ke Konsol Web Application Firewall 3.0:

      Di bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland). Di panel navigasi di sebelah kiri, klik Onboarding. Pilih tab Cloud Native. Dalam daftar produk cloud di sebelah kiri, pilih Elastic Compute Service (ECS)..

    2. Otorisasi WAF untuk mengakses sumber daya cloud (untuk konfigurasi pertama kali):

      Ikuti petunjuk di layar dan klik Authorize Now untuk memberikan izin yang diperlukan. Anda dapat melihat peran terkait layanan yang dibuat AliyunServiceRoleForWAF di Konsol RAM dengan menavigasi ke Identity Management > Roles.

    3. Tambahkan instance ECS:

      1. Dalam daftar di sebelah kanan, temukan instance target dan lihat status perlindungan WAF-nya. Di kolom Actions, klik Add Now. Jika Anda tidak dapat menemukan instance, klik Synchronize Assets di sudut kanan atas halaman. Jika instance masih tidak ditemukan, itu tidak memenuhi Prasyarat.image

      2. Di area Select instances & ports to protect, klik Add Port di kolom Actions. Pada halaman Add Port yang muncul, konfigurasikan pengaturan berdasarkan jenis protokol situs web Anda.

        Catatan

        Anda hanya dapat menambahkan satu port pada satu waktu. Untuk menambahkan beberapa port, ulangi langkah ini untuk setiap port.

        Cara menentukan port yang digunakan situs web Anda

        • Port standar (default): Layanan web menggunakan port standar secara default, sehingga Anda tidak perlu menentukannya dalam URL.

          • HTTP: Misalnya, http://yourdomain.com menggunakan port 80.

          • HTTPS: Misalnya, https://yourdomain.com menggunakan port 443.

        • Port non-standar: Jika situs web Anda menggunakan port non-standar, nomor port akan muncul langsung setelah nama domain dalam format nama domain:nomor port.

          • HTTP: Misalnya, http://yourdomain.com:8080 menggunakan port 8080.

          • HTTPS: Misalnya, https://yourdomain.com:8443 menggunakan port 8443.

          Catatan

          Untuk memastikan akurasi, kami sarankan memeriksa file konfigurasi server web Anda (seperti nginx.conf untuk Nginx atau Apache) untuk menemukan informasi port yang tepat.

        Situs web HTTP

        Tentukan nomor port dan protokol untuk lalu lintas yang ingin Anda inspeksi oleh WAF.

        • Port: Masukkan port untuk situs web.

        • Protocol Type: Pilih HTTP.

        Situs web HTTPS

        1. Masukkan port untuk situs web Anda di bidang Port.

        2. Atur Protocol Type ke HTTPS.

        3. Untuk menyesuaikan HTTP/2, Versi TLS, Paket Sandi, atau Sertifikat Tambahan, lihat Pengaturan Lanjutan. Jika tidak, gunakan pengaturan default.

        4. Di area Default Certificate, pilih cara mengunggah sertifikat:

          • Unggah: Gunakan opsi ini jika sertifikat Anda belum diunggah ke Certificate Management Service (Original SSL Certificate).

          • Pilih Sertifikat yang Ada: Pilih sertifikat yang diterbitkan atau diunggah di Certificate Management Service (Original SSL Certificate).

            Unggah

            • Certificate Name: Masukkan nama unik untuk sertifikat. Nama tersebut tidak boleh cocok dengan sertifikat yang sudah ada.

            • Certificate File: Buka file sertifikat di editor teks dan tempelkan seluruh konten sertifikat yang diformat PEM, CER, atau CRT.

              Format contoh: -----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----

              • Konversi format: Jika sertifikat Anda dalam format seperti PFX atau P7B, gunakan alat sertifikat untuk mengonversinya ke format PEM.

              • Rantai sertifikat: Jika sertifikat perantara disertakan, tempelkan sertifikat server terlebih dahulu, diikuti oleh sertifikat perantara.

            • Private Key: Tempelkan konten file kunci privat dalam format PEM.

              Format contoh: -----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----

            Pilih Sertifikat yang Ada

            Pilih sertifikat untuk diunggah ke WAF dari daftar dropdown.

            Catatan

            Jika Konsol WAF menampilkan pesan "Failed to verify the integrity of the certificate chain. If you use this certificate, service access may be affected.", ini menunjukkan adanya masalah dengan rantai sertifikat. Pastikan konten sertifikat Anda benar dan lengkap, lalu unggah ulang di konsol Layanan Manajemen Sertifikat Digital. Untuk informasi lebih lanjut, lihat Unggah, sinkronkan, dan bagikan sertifikat SSL.

      3. Untuk menyesuaikan pengaturan lanjutan, seperti Whether Layer 7 Proxy, Such as Anti-DDoS Proxy, or Alibaba Cloud CDN, Is Deployed in Front of WAF, Resource Group, Kontrol header X-Forwarded-Proto, Traffic Tag, Connection Timeout Period, atau Back-to-origin Keep-alive Requests, lihat Konfigurasi Lanjutan. Jika tidak, klik OK untuk menerapkan konfigurasi default.

    4. Verifikasi perlindungan:

      Setelah menyelesaikan pengaturan, verifikasi bahwa Web Application Firewall (WAF) berfungsi dengan benar. Di browser, kunjungi situs web yang dihosting pada instance Elastic Compute Service (ECS) Anda dan tambahkan string uji serangan web ke URL (misalnya, http://yourdomain.com/alert(xss)). Jika WAF mengembalikan halaman blokir 405, serangan tersebut telah berhasil dicegat, menunjukkan bahwa perlindungan telah aktif.

    Penting

    Setelah menambahkan instance, pastikan bahwa sertifikat valid dan status instance normal. Perlindungan WAF akan menjadi tidak efektif jika sertifikat kedaluwarsa atau alamat IP publik instance berubah. Untuk informasi lebih lanjut, lihat Perbarui sertifikat untuk port pengalihan lalu lintas dan Tambahkan ulang ke WAF setelah perubahan instance.

    Pengaturan Lanjutan

    Tingkatkan keamanan untuk HTTPS

    Catatan

    Pengaturan terkait HTTPS hanya dapat dikonfigurasi setelah Anda memilih HTTPS sebagai Protocol Type saat menambahkan port.

    • Dukungan HTTP/2

      • Deskripsi: HTTP/2 adalah peningkatan besar dari HTTP/1.1 yang meningkatkan kecepatan pemuatan halaman dan mengurangi latensi. Jika situs web Anda mendukung HTTP/2, Anda dapat mengaktifkan fitur ini. Saat diaktifkan, HTTP/2 menggunakan port yang sama dengan HTTPS.

      • Prosedur: Pada halaman Add Port, pilih HTTP/2.

    • Kontrol versi TLS

      • Deskripsi: Tentukan versi TLS yang diizinkan. Versi yang lebih tinggi menawarkan keamanan yang lebih kuat tetapi kompatibilitas yang lebih rendah dengan klien lama. Jika klien menggunakan versi protokol yang tidak diizinkan, WAF akan menjatuhkan permintaannya.

      • Prosedur: Di halaman Add Port, pilih opsi TLS Version.

        • TLS 1.0 and Later (Best Compatibility and Low Security)

        • TLS 1.1 and Later (High Compatibility and High Security): Klien yang hanya mendukung TLS 1.0 tidak dapat mengakses situs web Anda.

        • TLS 1.2 and Later (High Compatibility and Best Security): Opsi ini memenuhi persyaratan kepatuhan keamanan terbaru, namun klien yang hanya mendukung TLS 1.0 atau TLS 1.1 tidak dapat mengakses situs web Anda.

        • Support TLS 1.3: Pilih opsi ini jika situs web Anda mendukung protokol TLS 1.3. Secara default, WAF tidak mendengarkan permintaan klien yang menggunakan TLS 1.3.

    • Pilihan paket sandi

      • Deskripsi: WAF menjatuhkan permintaan dari klien yang menggunakan paket sandi yang tidak diizinkan.

      • Prosedur: Pada halaman Add Port, pilih opsi untuk Cipher Suite.

        • All Cipher Suites (High Compatibility and Low Security)

        • Custom Cipher Suite (Select It based on protocol version. Proceed with caution.): Pilih opsi ini jika situs web Anda hanya mendukung paket sandi tertentu, lalu pilih suite yang diperlukan dari daftar.

          Paket sandi yang didukung

          • Paket sandi yang kuat

            • ECDHE-ECDSA-AES128-GCM-SHA256

            • ECDHE-ECDSA-AES256-GCM-SHA384

            • ECDHE-ECDSA-AES128-SHA256

            • ECDHE-ECDSA-AES256-SHA384

            • ECDHE-RSA-AES128-GCM-SHA256

            • ECDHE-RSA-AES256-GCM-SHA384

            • ECDHE-RSA-AES128-SHA256

            • ECDHE-RSA-AES256-SHA384

            • ECDHE-ECDSA-AES128-SHA

            • ECDHE-ECDSA-AES256-SHA

          • Paket sandi lemah

            • AES128-GCM-SHA256

            • AES256-GCM-SHA384

            • AES128-SHA256

            • AES256-SHA256

            • ECDHE-RSA-AES128-SHA

            • ECDHE-RSA-AES256-SHA

            • AES128-SHA

            • AES256-SHA

            • DES-CBC3-SHA

          Catatan

          Paket sandi ECDHE-RSA-AES128-SHA256 dan ECDHE-RSA-AES256-SHA384 menggunakan ECDHE untuk pertukaran kunci dan RSA untuk otentikasi identitas, dengan mode enkripsi AES-CBC. Paket ini menawarkan keamanan dan performa yang sedikit lebih rendah dibandingkan paket sandi yang menggunakan mode AES-GCM atau sertifikat ECDSA. Beberapa pemindai keamanan mungkin mengidentifikasi mereka sebagai paket sandi lemah.

    • Sertifikat tambahan

      • Deskripsi: Jika instance ECS Anda menghosting situs web HTTPS untuk beberapa nama domain dan satu sertifikat tidak dapat mencakup semuanya, unggah sertifikat yang sesuai untuk setiap nama domain.

      • Prosedur: Di bagian Additional Certificate pada halaman Add Port, unggah sertifikat tersebut. Prosesnya serupa dengan pengunggahan sertifikat default. Untuk detail lebih lanjut, lihat Sertifikat Default di bagian Konfigurasi Dasar.

        Catatan

        Saat menambahkan beberapa sertifikat tambahan, semua sertifikat harus valid. Jika ada sertifikat yang kedaluwarsa, operasi akan gagal.

    Dapatkan informasi klien nyata

    • Dapatkan IP klien nyata dalam skenario proxy

      • Deskripsi: Saat proxy Layer 7 (seperti CDN Alibaba Cloud) diterapkan di depan WAF, Anda harus mengonfigurasi cara WAF menentukan alamat IP klien. Ini memastikan bahwa WAF dapat memperoleh IP klien nyata untuk analisis keamanan, seperti menampilkan Attacker IP Address di Security Reports.

      • Prosedur: Pada halaman Add Now, konfigurasikan pengaturan untuk Whether Layer 7 Proxy, Such as Anti-DDoS Proxy or Alibaba Cloud CDN, Is Deployed in Front of WAF.

        No.

        Menunjukkan bahwa permintaan yang diterima oleh WAF berasal langsung dari klien.

        Ya

        Menunjukkan bahwa permintaan yang diterima oleh WAF diteruskan dari layanan proxy Layer 7 lainnya. Anda harus mengonfigurasi lebih lanjut cara menentukan alamat IP klien.

        • Use the First IP Address in X-Forwarded-For Field as Actual IP Address of Client

          WAF mendapatkan alamat IP klien dalam urutan berikut:

          1. Baca header X-Real-IP sebagai alamat IP klien.

          2. Jika X-Real-IP tidak ada, gunakan alamat IP pertama di header X-Forwarded-For (XFF) sebagai alamat IP klien.

        • [Recommended] Use the First IP Address in Specified Header Field as Actual IP Address of Client to Prevent X-Forwarded-For Forgery

          Konfigurasikan layanan proxy lain Anda untuk menulis alamat IP sumber klien ke bidang header kustom (seperti X-Real-IP, X-Client-IP). Lalu, pilih opsi ini untuk mencegah penyerang melewati aturan WAF dengan memalsukan header XFF.

          Di kotak Header Field, masukkan bidang header yang diperlukan. Anda dapat memasukkan beberapa bidang header dengan menekan Enter setelah setiap satu. Jika beberapa header disetel, WAF mendapatkan IP klien dalam urutan berikut:

          1. Cocokkan Header Field yang dikonfigurasi dalam urutan tertentu.

          2. Jika tidak ada header yang ditentukan, coba baca bidang X-Real-IP.

          3. Jika masih belum ada hasil, gunakan alamat IP pertama di header XFF sebagai alamat IP klien.

    • Aktifkan tag lalu lintas

      • Deskripsi: Mengaktifkan tag lalu lintas memungkinkan server asal Anda membedakan permintaan yang telah melewati WAF dan mendapatkan alamat IP sumber klien nyata atau port.

      • Prosedur: Di halaman Add Now, perluas bagian Advanced Settings, pilih opsi Enable Traffic Tag, lalu konfigurasikan bidang tag berikut ini.

        • Custom Header: Mengonfigurasi Header Name dan Header Value membuat WAF menambahkan header ini ke permintaan kembali ke asal, mengidentifikasinya sebagai permintaan yang diproses oleh WAF.

          Sebagai contoh, Anda dapat mengonfigurasi tag WAF-TAG: Yes, di mana WAF-TAG adalah nama header dan Yes adalah nilai header. Server Anda kemudian dapat menggunakan bidang ini untuk validasi atau kebijakan kontrol akses, meningkatkan keamanan dan identifikasi permintaan.

          Penting

          Jangan gunakan bidang header HTTP standar (seperti User-Agent). Melakukan hal itu akan menyebabkan konten bidang header standar tertimpa oleh nilai kustom.

        • Originating IP Address: Tentukan nama header untuk alamat IP sumber klien. WAF akan menambahkan header ini dengan IP nyata klien ke permintaan yang dikirim ke server asal Anda. Untuk detail tentang cara WAF menentukan alamat IP sumber klien nyata, lihat Pengaturan alamat IP asal dalam skenario proxy.

        • Source Port: Tentukan nama header untuk port sumber klien. WAF akan menambahkan header ini dengan port nyata klien ke permintaan yang dikirim ke server asal Anda.

    • Kontrol bidang header X-Forwarded-Proto

      • Deskripsi: Secara default, WAF menyisipkan header X-Forwarded-Proto ke dalam permintaan HTTP yang diteruskan untuk menunjukkan protokol yang digunakan untuk koneksi antara klien dan proxy Layer 7 terakhir. Jika situs web Anda tidak dapat menangani header ini dengan benar, ikuti langkah-langkah berikut untuk menonaktifkan penyisipan otomatis.

      • Prosedur: Di halaman Add Now, perluas bagian Advanced Settings dan hapus centang pada opsi Obtain the listening protocol of WAF by using the X-Forwarded-Proto header field.

    Optimalkan koneksi kembali ke asal

    • Atur periode batas waktu kembali-ke-asal

      • Deskripsi: Jika server asal Anda merespons lambat dan menyebabkan timeout, sesuaikan periode timeout baca dan tulis untuk interaksi antara WAF dan asal.

      • Prosedur: Di halaman Add Now, perluas bagian Advanced Settings dan konfigurasikan pengaturan berikut:

        • Read Connection Timeout Period: Jumlah waktu untuk menunggu respons dari server asal. Nilai default adalah 120 detik, dengan rentang valid antara 1 detik hingga 3.600 detik.

        • Write Connection Timeout Period: Jumlah waktu WAF menunggu saat mengirim permintaan ke server asal. Defaultnya adalah 120 detik, dengan rentang yang dapat dikonfigurasi antara 1 hingga 3.600 detik.

    • Aktifkan permintaan keep-alive kembali ke asal

      • Deskripsi: Aktifkan koneksi keep-alive antara WAF dan server asal untuk skenario dengan konkurensi tinggi atau permintaan sering.

      • Prosedur: Pada halaman Add Now, perluas Advanced Settings. Di bagian Back-to-origin Keep-alive Requests, aktifkan fitur ini dan konfigurasikan pengaturan berikut.

        • Max Requests per Connection: Nilai defaultnya adalah 1.000, dengan rentang yang dapat dikonfigurasi antara 60 hingga 1.000.

        • Timeout Period of Idle Keep-alive Requests: Nilai defaultnya adalah 3.600 detik, dengan rentang konfigurasi antara 10 detik hingga 3.600 detik.

    Rencanakan kelompok sumber daya instance

    • Perencanaan sumber daya

      • Deskripsi: Kelompok sumber daya menyederhanakan manajemen sumber daya dan konfigurasi izin, serta meningkatkan efisiensi administratif. Jika Anda tidak menentukan kelompok sumber daya, instance akan ditambahkan ke Default Resource Group. Untuk informasi lebih lanjut, lihat Kelompok sumber daya.

      • Prosedur: Pada halaman Add Now, di bagian Resource Group, pilih kelompok sumber daya untuk instance dari daftar dropdown.

    Langkah selanjutnya

    Lihat dan konfigurasikan aturan perlindungan

    Setelah instance ditambahkan, WAF secara otomatis membuat objek yang dilindungi bernama ID instance-port-Jenis Aset dan mengaktifkan aturan perlindungan default untuk modul seperti Perlindungan Inti Web. Anda dapat melihat ini di halaman Protection Configuration > Protected Objects. Jika aturan default tidak memenuhi kebutuhan bisnis Anda, Anda dapat membuat atau mengeditnya. Untuk informasi lebih lanjut, lihat Ikhtisar Pengaturan Mitigasi.

    Catatan

    Jika beberapa nama domain diselesaikan ke instance ECS yang sama dan Anda perlu mengonfigurasi aturan perlindungan yang berbeda untuk mereka, tambahkan setiap nama domain secara manual sebagai objek yang dilindungi. Untuk informasi lebih lanjut, lihat Tambahkan objek yang dilindungi secara manual.

    image

    Operasi terkait

    Perbarui sertifikat untuk port pengalihan lalu lintas

    Jika sertifikat akan segera kedaluwarsa atau berubah karena alasan lain, seperti dicabut, perbarui sertifikat yang terikat ke port pengalihan lalu lintas.

    Beli sertifikat baru dari Alibaba Cloud

    1. Perpanjang sertifikat SSL di konsol Certificate Management Service (Original SSL Certificate). Untuk informasi lebih lanjut, lihat Perpanjang sertifikat SSL.

    2. Di tab Cloud Native, pilih Elastic Compute Service (ECS), temukan instance target, lalu di kolom Actions untuk port target, klik ikon image.png dan pilih Modify.

    3. Di bagian Default Certificate, pilih Select Existing Certificate, pilih sertifikat baru, lalu klik OK.

    Gunakan sertifikat baru yang dibeli dari penyedia lain

    1. Unduh file sertifikat dari penyedia tempat Anda membelinya.

    2. Di tab Cloud Native, pilih Elastic Compute Service (ECS) dan temukan instance target. Di kolom Actions untuk port target, klik ikon image.png dan pilih Modify.

    3. Di bagian Default Certificate, pilih Upload, konfigurasikan pengaturan sertifikat berikut dan klik OK.

      • Certificate Name: Masukkan nama unik untuk sertifikat. Nama tersebut tidak boleh cocok dengan sertifikat yang sudah ada.

      • Certificate File: Buka file sertifikat di editor teks dan tempelkan seluruh konten sertifikat yang diformat PEM, CER, atau CRT.

        Format contoh: -----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----

        • Rantai sertifikat: Jika sertifikat perantara disertakan, tempelkan sertifikat server terlebih dahulu, diikuti oleh sertifikat perantara.

        • Konversi format: Jika sertifikat Anda dalam format seperti PFX atau P7B, gunakan alat sertifikat untuk mengonversinya ke format PEM.

      • Private Key: Buka file kunci privat di editor teks dan tempelkan seluruh konten kunci yang diformat PEM.

        Format contoh: -----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----

    Catatan

    • Jika sertifikat memiliki kurang dari 30 hari kalender sebelum kedaluwarsa, WAF menampilkan ikon image.png di daftar instance untuk memberi tahu Anda. Segera perbarui sertifikat tersebut guna menghindari gangguan layanan.

    • Anda dapat mengatur notifikasi untuk Sertifikat SSL agar menerima peringatan melalui email atau pesan teks sebelum sertifikat kedaluwarsa. Untuk informasi lebih lanjut, lihat Atur notifikasi untuk Sertifikat SSL.

    • Untuk mencegah gangguan layanan akibat sertifikat yang kedaluwarsa, kami sarankan mengaktifkan layanan penyimpanan sertifikat di Alibaba Cloud Certificate Management Service (Original SSL Certificate). Layanan ini secara otomatis meminta sertifikat sebelum masa berlakunya habis. Untuk informasi lebih lanjut, lihat Apa itu penyimpanan sertifikat?

    Nonaktifkan atau hapus perlindungan WAF

    • Nonaktifkan Sementara Perlindungan WAF: Jika Anda mengalami masalah setelah onboarding, seperti jumlah positif palsu yang tinggi, dan perlu menonaktifkan sementara perlindungan WAF, matikan saklar WAF Protection Status di halaman Protected Objects pada konsol WAF. Untuk informasi lebih lanjut, lihat Nonaktifkan Perlindungan WAF dengan Satu Klik.

    • Hapus Instance: Jika Anda tidak ingin lagi menggunakan WAF untuk melindungi instance ECS, ikuti langkah-langkah berikut untuk menghapusnya.

      1. Di halaman Onboarding, klik tab Cloud Native.

      2. Pilih Elastic Compute Service (ECS) dan klik ikon image.png untuk instance target guna memperluas detailnya dan melihat port yang dilindungi oleh WAF.image

      3. Klik Remove. Di kotak dialog Remove, klik OK.

    Penting

    • Dampak Layanan: Menghapus instance dari WAF dapat menyebabkan gangguan koneksi singkat selama beberapa detik untuk layanan web Anda. Lakukan operasi ini selama jam sepi dan pantau layanan Anda setelahnya. Jika klien atau layanan Anda memiliki mekanisme rekoneksi yang efektif, koneksi akan dipulihkan secara otomatis tanpa memengaruhi bisnis Anda.

    • Pendaftaran Ulang: Setelah penghapusan, lalu lintas ke instance tidak akan lagi dilindungi oleh WAF. Klik Add Now untuk mengonfigurasi ulang port pengalihan lalu lintas.

    • Penagihan: Untuk instance WAF bayar sesuai penggunaan, selain biaya pemrosesan permintaan, Anda juga dikenakan biaya untuk fitur, termasuk instance itu sendiri dan aturan perlindungan. Jika Anda ingin berhenti menggunakan WAF dan menghentikan penagihan, lihat Nonaktifkan WAF.

    Tambahkan ulang ke WAF setelah perubahan instance

    WAF memberikan perlindungan dengan mengikat alamat IP publik instance Elastic Compute Service (ECS). Jika alamat IP publik instance berubah akibat salah satu operasi berikut, konfigurasi port pengalihan lalu lintas yang ada akan menjadi tidak valid, sehingga lalu lintas melewati WAF dan langsung terpapar pada risiko jaringan publik:

    • Melepaskan instance ECS.

    • Mengubah alamat IP publik yang terikat ke instance ECS.

    • Mengubah zona instance ECS melalui tugas migrasi.

    Untuk memulihkan perlindungan, tambahkan kembali instance ECS yang telah dimodifikasi ke konsol WAF.

    Terapkan dalam produksi

    Untuk memastikan keamanan dan stabilitas di lingkungan produksi, ikuti praktik terbaik berikut saat mendaftarkan instance Elastic Compute Service (ECS) produksi.

    • Konfigurasi HTTPS: Terapkan sertifikat pada instance ECS Anda dan gunakan konfigurasi berikut untuk manajemen sertifikat yang efisien.

      • Unggah file sertifikat Anda ke Certificate Management Service (Original SSL Certificate).

      • Saat menambahkan instance ECS ke Web Application Firewall (WAF), konfigurasikan port pengalihan lalu lintas bertipe HTTPS. Di bagian Kontrol Versi TLS, konfigurasikan TLS 1.2 atau yang lebih baru.

      • Atur notifikasi untuk Sertifikat SSL agar dapat diperbarui tepat waktu sebelum kedaluwarsa.

    • Penerapan Bertahap: Tambahkan instance ECS non-produksi terlebih dahulu selama jam sepi. Setelah menjalankannya selama periode tertentu untuk memastikan layanan normal, lanjutkan dengan menambahkan instance ECS produksi.

    • Periksa Layanan: Setelah proses onboarding selesai, pastikan layanan Anda berjalan normal dengan cara berikut:

      • Periksa Log: Periksa adanya fluktuasi signifikan dalam persentase kode status 200 di log Anda dan cari lonjakan atau penurunan mendadak dalam QPS. Jika Anda telah mengaktifkan layanan log WAF, lihat Log WAF.

      • Pemantauan Aplikasi: Periksa apakah fungsi inti aplikasi, seperti akses pengguna dan transaksi, berfungsi dengan normal.

    • Pemeliharaan: Setelah onboarding di lingkungan produksi, pemeliharaan berkelanjutan diperlukan untuk memantau serangan dan peristiwa positif palsu.

      • Penanganan Peristiwa: Periksa Laporan Keamanan dan konfigurasikan notifikasi CloudMonitor untuk tetap mendapatkan informasi tentang serangan dan peristiwa keamanan.

      • Penyetelan Aturan: Pantau terus log serangan untuk menganalisis apakah permintaan pengguna sah diblokir secara keliru dan optimalkan aturan perlindungan sesuai.

    Keterbatasan

    • Jumlah port: Total jumlah port pengalihan lalu lintas yang dikonfigurasi tidak boleh melebihi batas langganan instance WAF Anda.

      • Instance WAF berlangganan: Edisi Dasar (300), Pro (600), Enterprise (2.500), Ultimate (10.000).

      • Instance WAF bayar sesuai penggunaan: 10.000.

    • Penggunaan dengan Anti-DDoS: Jika Anda juga menggunakan Anti-DDoS Proxy, lalu lintas harus melewati Anti-DDoS Proxy terlebih dahulu sebelum diteruskan ke WAF. Instance Anti-DDoS Proxy harus dikonfigurasi dalam mode Konfigurasi Situs Web (Layer 7).

    • Skenario yang tidak didukung:

      • Melindungi situs web IPv6 pada instance ECS.

      • Mengonfigurasi pengalihan HTTPS paksa di WAF.

      • Mengunggah sertifikat algoritma GM/T (SM).

    FAQ

    Fitur produk

    Mengapa saya tidak dapat menemukan instance ECS yang ingin saya tambahkan?

    Pertama, klik Synchronize Assets di sudut kanan atas halaman Onboarding.image

    Jika instance masih tidak ditemukan, berarti instance tersebut tidak memenuhi prasyarat. Sebagai contoh, instance ECS di wilayah Luar daratan Tiongkok memerlukan instance WAF untuk wilayah yang sama. Alternatifnya, gunakan metode koneksi CNAME.

    image

    Bisakah WAF melindungi lalu lintas non-web seperti FTP dan SSH?

    Tidak. WAF dirancang khusus untuk melindungi lalu lintas web (HTTP dan HTTPS) dan tidak mendukung perlindungan untuk protokol lain, seperti FTP dan SSH.

    Port apa yang didukung untuk metode onboarding Cloud Native?

    Saat menggunakan metode Cloud Native untuk menambahkan instance ke WAF, Anda dapat melindungi port apa pun dari 1 hingga 65.535. Untuk informasi lebih lanjut, lihat Rentang port yang didukung oleh WAF.

    Metode onboarding

    Bisakah domain pada instance ECS menggunakan metode onboarding Cloud Native dan CNAME secara bersamaan?

    Setiap domain hanya dapat menggunakan satu metode onboarding, baik itu Cloud Native maupun CNAME. Penggunaan kedua metode untuk domain yang sama akan menyebabkan konflik penerusan dan kebingungan dalam kebijakan. Untuk beralih domain dari CNAME ke Cloud Native, ubah catatan DNS kembali ke asal, tunggu propagasi perubahan DNS, hapus konfigurasi CNAME untuk domain tersebut, lalu tambahkan domain menggunakan metode Cloud Native.

    Bagaimana cara menambahkan perlindungan jika domain diselesaikan ke beberapa instance ECS?

    • Menggunakan onboarding Cloud Native: Tambahkan setiap instance ECS secara individual untuk memastikan WAF mengarahkan lalu lintas ke semua instance target.

    • Menggunakan onboarding CNAME: Tambahkan domain menggunakan metode CNAME dan konfigurasikan alamat IP publik dari beberapa instance ECS sebagai alamat asal.

    Bagaimana cara menambahkan perlindungan jika beberapa domain diselesaikan ke satu instance ECS?

    • Menggunakan onboarding Cloud Native: Setelah menambahkan instance ECS, semua domain pada instance tersebut akan dilindungi oleh kebijakan perlindungan default WAF. Untuk mengonfigurasi aturan perlindungan berbeda untuk setiap domain, tambahkan setiap domain secara manual sebagai objek yang dilindungi terpisah. Untuk informasi lebih lanjut, lihat Tambahkan objek yang dilindungi secara manual.

    • Menggunakan onboarding CNAME: Tambahkan setiap domain satu per satu.